ASRC 2014第二季電子郵件安全趨勢(shì)

　　2014年第二季，垃圾郵件占全體流量沒有持續(xù)升高，但垃圾郵件用于規(guī)避偵測(cè)的方法卻始終沒有停止演進(jìn)，垃圾郵件發(fā)送者開始大量利用編碼、HTML等相關(guān)特殊符號(hào)等交錯(cuò)應(yīng)用，達(dá)成規(guī)避偵測(cè)卻不妨礙收信者閱讀的區(qū)隔。本季出現(xiàn)的惡意郵件是較為棘手的，除了新出現(xiàn)的CryptoWall勒索病毒外，CVE-2014-1716漏洞被揭露時(shí)，也是一時(shí)無法可防的。

　　第二季電子郵件安全趨勢(shì)觀察

　　1. 垃圾郵件占比雖下滑，仍占整體78%以上

　　2014年第二季，垃圾郵件占全體流量沒有持續(xù)升高，但垃圾郵件用于規(guī)避偵測(cè)的方法卻始終沒有停止演進(jìn)，占全體郵件流的比例持續(xù)下滑，占整體郵件的比例大約在78%~80%間。其中垃圾郵件比較大宗的發(fā)送國(guó)仍為中國(guó)。

　　2. 威脅郵件中，以冒名偽造的郵件為最大宗

　　特別的是冒名的郵件占比成了最大宗，帶有惡意檔案的郵件也較上一季上升不少。本季出現(xiàn)較大宗帶有連往釣魚網(wǎng)站超連結(jié)的郵件；冒名發(fā)信后，要求回信至與發(fā)信人完全無關(guān)的電子郵件位址郵件；以及冒名金融、第三方支付、快遞公司等的偽造郵件。

　　3. 垃圾及釣魚郵件，使用特殊符號(hào)躲避防護(hù)機(jī)制掃描

　　垃圾郵件開始大量使用某些特殊符號(hào)來躲避垃圾郵件防護(hù)機(jī)制的掃描。這些特殊符號(hào)多半都可以被瀏覽器或發(fā)信軟件自動(dòng)轉(zhuǎn)換為一般常見的符號(hào)，因此一般收信者在視覺或點(diǎn)擊操作上并不會(huì)察覺有異，但卻能成功躲過某些偵測(cè)機(jī)制。

　　而釣魚郵件也開始向垃圾郵件學(xué)習(xí)躲避被偵測(cè)的方法，故意在郵件內(nèi)容中塞入大量垃圾字符（spammy），試圖躲避一般的判斷檢查。

　　4. 詐騙郵件運(yùn)用人性弱點(diǎn)進(jìn)行社交工程攻擊

　　常見的詐騙郵件從來也沒有缺席，沒有太花俏的技術(shù)，純粹利用人心中的弱點(diǎn)，要求其回復(fù)電子郵件，以便進(jìn)行更進(jìn)一步的社交工程攻擊。

　　5. 發(fā)現(xiàn)夾帶CryptowWall 勒索病毒的郵件

　　此外，我們?cè)诘诙�季也發(fā)現(xiàn)了帶有CryptoWall勒索病毒郵件。

　　一旦遭到CrptoWall感染，并且連接網(wǎng)際網(wǎng)絡(luò)的話，電腦中的重要檔案將被自動(dòng)加密，即便清除CryptoWall病毒，也無法自行還原遭到加密的檔案。針對(duì)病毒，建議在事前經(jīng)常進(jìn)行備份并做好防范，付出「贖金」并不保證一定能獲得解密，而且會(huì)鼓舞此類犯罪的增長(zhǎng)。

　　6. APT攻擊郵件十分活絡(luò)

　　利用PDF、Word弱點(diǎn)進(jìn)行APT攻擊的郵件在第二季也十分活躍。除了舊有的文件閱讀器漏洞持續(xù)被利用外，2014年新發(fā)現(xiàn)的CVE-2014-1716的Microsoft Word RTF檔案讀取弱點(diǎn)也在被公布后，快速的被用以結(jié)合時(shí)事，并對(duì)相關(guān)政府單位進(jìn)行APT攻擊。

　　垃圾郵件經(jīng)常出現(xiàn)在你我的信箱中早已見怪不怪，甚少人會(huì)去追究垃圾郵件究竟是如何找上門的！或許，垃圾郵件本身并無大害，頂多算是一種叨擾，但若是特殊的攻擊郵件能直接命中標(biāo)的，就不該再以忽視的角度來看待。第二季的樣本分析，看到了不少新的惡意郵件攻擊，若是您收到了這樣的郵件，除了不要任意開啟外，也建議您仔細(xì)觀察并思考這類惡意攻擊是從何而來。此外，對(duì)外公開的群組電子郵件帳號(hào)經(jīng)常是惡意郵件發(fā)動(dòng)起始攻擊的重要入口，對(duì)于開啟來自群組帳號(hào)的郵件應(yīng)更加謹(jǐn)慎。

　　一般病毒信的擴(kuò)散，多半由中毒的電腦群而來，它們擴(kuò)散的標(biāo)的可能是一組搜集好的名單，也可能是中毒電腦的通訊錄名單。若發(fā)現(xiàn)病毒或攻擊郵件來自自己認(rèn)識(shí)的人，除了做好個(gè)人防范外，也應(yīng)立即通知發(fā)信人盡快找出中毒或受駭?shù)年P(guān)鍵原因，避免再次遭到攻擊或與該發(fā)信人間的互動(dòng)遭到第三方竊聽；企業(yè)單位也應(yīng)經(jīng)常檢視自有的Public IP是否被列入RBL，若有則通常代表著內(nèi)部存在資安漏洞，應(yīng)盡快尋求解決方法。

　　關(guān)于ASRC垃圾訊息研究中心：

　　ASRC垃圾訊息研究中心（Asia Spam-message Research Center），長(zhǎng)期與中華數(shù)位科技合作，致力于全球垃圾郵件發(fā)展特徵之研究事宜，并運(yùn)用相關(guān)數(shù)據(jù)統(tǒng)計(jì)、調(diào)查、趨勢(shì)分析、學(xué)術(shù)研究、跨業(yè)交流、研討活動(dòng)等方式，促成產(chǎn)官學(xué)界共同致力于凈化網(wǎng)際網(wǎng)絡(luò)之電子郵件使用環(huán)境。