ASRC 2020 年第一季度郵件安全觀察
責編:gltian |2020-06-10 10:56:392020年第一季度很不平靜,讓世界各國都繃緊神經的莫過于新冠肺炎疫情相關的話題。不論是疫情擴散速度、防疫措施,抑或是物資采購、捐贈等都是熱點話題。隨著新冠肺炎疫情蔓延,出現許多詐騙郵件以提供防止被追蹤的比特幣錢包地址,以采購物資、資助研究的名義募捐,進行斂財。守內安與ASRC 研究中心 (Asia Spam-message Research Center) 在2020年第一季度觀察到幾個值得注意的郵件安全議題:
遠程辦公模式成為黑客攻擊目標,造成各種詐騙泛濫
2020年第一季度,全球在新冠肺炎疫情的影響下,保持“社交距離 (Social Distancing)”改變了人類的生活方式。由于新冠肺炎極高的傳染率,許多企業采取了居家上班的工作模式。這樣的工作模式會帶來如下影響:
- 網絡流量的需求在短時間急劇上升
- 遠程連線、遠程會議、VPN的需求量大增
- 人們直接見面接觸的概率大幅下降
遠程辦公模式成為黑客攻擊目標,造成各種詐騙泛濫。
病毒郵件比上一季度增加 340%、詐騙郵件爆增 400%
根據守內安與 ASRC 研究中心 (Asia Spam-message Research Center) 的觀察,2020年第一季度的整體郵件量微幅上升,尤其是新冠肺炎疫情對全球影響最嚴重的三月;病毒郵件量明顯激增,比上一季度,大約增加了340%;詐騙郵件的數量比上一季度增加約400%。
借新冠肺炎名義的攻擊,以詐騙或入侵企業為目的
在新冠肺炎疫情逐漸蔓延的第一季度,許多攻擊以疫情的名義,試圖誘騙收件人打開惡意攻擊郵件。這些攻擊郵件,其郵件主題多半會帶上cdc、covid、corona、spread這些關鍵字。
數量最多的是詐騙郵件,大部分是假冒研究機構或醫療單位,請求收件人捐錢;也有詐騙郵件謊稱可購買疫苗或檢測試劑,也是以騙財為目的。
募集捐款購買防疫物資的詐騙郵件
另一種目的是試圖通過電子郵件嘗試入侵企業內部,后續進行盜取信息、部署勒索軟件等。這類攻擊,多半直接發送可利用Office漏洞的惡意文件,并以疫情相關主題誘騙收件人開啟,試圖藉此提高攻擊的成功機率。經統計,此類攻擊常用的漏洞編號為:CVE-2012-0158、CVE-2017-11882、CVE-2017-0199以及CVE-2017-8570。
假冒CDC的通知,實際是利用CVE-2017-11882漏洞的惡意文件
在 2020 年 3月,有大量以covid、corona相關的域名被注冊,這些域名被用于售賣新冠肺炎病毒保健品與檢測試劑,這些網站可能都是臨時設立,其售賣的產品大多也是非法的。其他無附件的惡意郵件多半都夾帶了一個以上的超鏈接用于釣魚,或是以超鏈接的方式,誘騙收件人下載遠程的惡意程序并執行。
偽裝的附件以超鏈接的方式,誘騙收件人下載遠程惡意程序并執行
結語
為避免新冠肺炎群聚感染導致企業單位可能出現的人力損失,遠程辦公是普遍采取的應對措施。由于作業方式改變,彼此不見面、信息傳遞阻塞、中間人的竊聽,可能出現冒名的情況 (假冒老板要求通訊錄、匯款、合約、訂單等);攻擊者也利用此波疫情,搭配社交工程攻擊的手法,進行財務相關的詐騙或入侵攻擊,例如:Emotet銀行木馬等。新冠肺炎疫情對于全球來說,如同黑天鵝一般,大家未能預期它的出現,也不相信感染范圍可與1918年西班牙流感匹敵,但新冠肺炎的嚴重性,也慢慢地變成了事實。那信息安全呢?我們可以看見信息安全所帶來的可能性沖擊,就如同灰犀牛一般,若我們忽視,則可能隨時遭到猝不及防的攻擊或損失!
關于 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center),長期與守內安合作,致力于全球垃圾郵件、惡意郵件、網絡攻擊事件等相關研究事宜,并運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動等方式,促成產官學界共同致力于凈化因特網之電子郵件使用環境。更多信息請參考www.asrc-global.cn