【IT168 分析报告】2008年11月初发生了垃圾邮件历史上的一个重要里程碑事件,由网上志愿者组成的一个互联网安全联盟HostExploit通过长时间追踪和记录之后,曝光了目前最大的垃圾邮件组织团伙之一—McColo,使得本月被确定为垃圾邮件的比例大幅度下降,该公司曾托管了全球大量僵尸网络控制系统。然而最近垃圾邮件数量的猛增表明,垃圾邮件活动正试图恢复到以往的正常状态,这意味着虽然垃圾邮件在此役中败北,但打击垃圾邮件的战争还远未结束。
本月另外一部重头戏是无处不在的圣诞礼物垃圾邮件,似乎如果没有兜售冒牌手表或类似圣诞礼品的垃圾邮件,一个就是节日好像就少点什么。
以下是赛门铁克12月垃圾邮件现状报告中的主要发现:
·圣诞气氛无处不在
·垃圾邮件组织团伙遭曝光,垃圾邮件数量短期下降
·图片垃圾邮件数量表明,“老狗”的战斗力犹存
·与美国总统竞选相关的垃圾邮件活动仍余音未了
· 伴随个人纳税期而来的垃圾邮件
·不认识英文? Ecco lo Spam Italiano!
·赌博类垃圾邮件数量攀升
·孟买恐怖袭击揭示垃圾邮件发送者最丑陋的面目
被确定为垃圾邮件的电子邮件比例
全球互联网邮件网关垃圾邮件比例(Worldwide Internet Mail Gateway Spam Percentage),是指在扫描电子邮件网关时,被分类操作列为垃圾邮件占信息总量的比例。这一比例代表了SMTP层的过滤,并且不包括在网络层级所检测到的电子邮件数量。
添加的趋势曲线表示一周内的平均动向
全球垃圾邮件分类:
垃圾邮件分类数据来源于赛门铁克探测网络(Symantec Probe Network)的信息分类搜集库。
垃圾邮件来源地区
来源地区指过去30天内来自特定国家和地区的垃圾邮件比例。
圣诞气氛无处不在
似乎如果没有兜售冒牌手表或类似圣诞礼品的垃圾邮件,一个就是节日好像就少点什么。垃圾邮件发送者一直在忙于发送一些以节日为主题的垃圾邮件。2008年十月和十一月间观察到的十大圣诞季垃圾邮件标题包括:
1 2008年最热卖货!
2 今年圣诞节花费的更少
3一份真正不错的礼物
4 圣诞节特价
5 圣诞节大促销,仅剩数日
6 圣诞节礼物
7 节日的高级礼品
8 圣诞节特价热卖
9 最物美价廉的礼物
10 超低价格圣诞礼物
这些圣诞季垃圾邮件的特点包括:
? 随着合法商家正在通过发出越来越多名为“特卖”、“特价”的邮件(如“网路星期一”和“黑色星期五”前所发现的),试图在经济不景气期推销自己的产品,垃圾邮件发送者也模仿使用类似标题来吸引用户。
? 由于这些圣诞类垃圾邮件主题不使用随机化(randomization),通常也被合法邮件发送者使用。然而,通过对一些合法邮件主题的观察,我们能够发现垃圾邮件发送者采取的固定模式,通过将合法邮件的主题做稍微修改,以避开某些反垃圾邮件的过滤器。下面是此方面的几个示例
主题:圣诞节惊人价
主题:圣诞节惊人特卖
请点击链接以获得精选礼品的更多详细信息,高档手表、女包,应有尽有。
主题:年轻一代的超酷圣诞
这一图表显示,垃圾邮件发送者虽然改变了自己的策略,试图绕开反垃圾邮件过滤器,他们仍继续不遗余力地试图传播自己的垃圾信息。但愿“圣诞之灵”能够光顾这些垃圾邮件发送者,使他们痛改前非。
圣诞季垃圾邮件分类
垃圾邮件组织团伙遭曝光,垃圾邮件数量短期下降
约在2008年11月11日美国东令时晚21:30 ,多个上游网络提供商根据顾客投诉,关闭了McColo.com垃圾邮件托管系统的登录权。此举所产生的一个直接结果就是全世界范围垃圾邮件数量迅速且实现大幅降低。赛门铁克监测网络第一时间捕捉到网络流量的变化,该网络发现McColo.com网站关闭前二十四小时与关闭后二十四小时的流量相比下降了65%。
赛门铁克从这一事件中观察到了多个有趣的现象。其中的一个发现就是,关闭一个托管公司能会对垃圾邮件的总量产生如此之大的影响。然而,鉴于McColo.com托管了全球大量的僵尸网络控制系统,这一发现也不足为怪。过去,他们的IP地址曾与Rustock下载器的报告相关联,同时还控制着spambot组件。通过切断这些系统与被它们控制的僵尸电脑之间的联系,就能够有力控制从僵尸网络(如Rustock 和Srizbi)发送垃圾邮件的能力。垃圾邮件数量下降的速度也证明了这样一个事实,即,虽然僵尸网络发展势头强劲,但仍可通过切断关键的指挥控制链来对其有效遏制。
随着十一月份的结束,赛门铁克发现,垃圾邮件数量曾经历了数次猛增,并再次出现慢慢上行的趋势。赛门铁克对猛增的垃圾邮件的分析后发现,它们是与“加拿大药品”相关的垃圾邮件,其中使用了HTML信息,其URL中包含可变的域名。在垃圾邮件猛升期间,包含文本/HTML内容类型MIME部分的邮件在所有垃圾邮件中的比例上升到55%。McColo关闭之前,包含文本/HTML内容类型MIME部分的邮件比例超过了55%,关闭之后的平均比例为34%左右。这些垃圾信息中的URL包含了数百个中文优异域名.cn TLD。所有的域名服务器或使用相同的IP地址作为域名,或使用其他位于中国的IP地址。
除了垃圾邮件量的猛增之外,赛门铁克还发现最近恶意软件的数量也在上升。这可能是未来点对点(peer to peer)僵尸攻击抬头的征兆,因为垃圾邮件发送者通常需要恶意软件来推出这些文件。
这些垃圾邮件猛增的现象表明,垃圾邮件活动正恢复其通常的状态,可以肯定的是,虽然McColo被关闭事件从短期来看可能会对垃圾邮件发送者传播自己的信息产生阻力,但获利的动机仍存在,并毫无疑问将推动新的大规模垃圾邮件发送活动。
图片垃圾邮件数量表明,“老狗”的战斗力犹存
马克.吐温曾经说过:“在争斗中,狗的大小并不重要,重要的是狗的战斗力”。 这一说法也可用于发送图片垃圾邮件的发送者。虽然图片垃圾邮件仍未回到2007年的巅峰时期(当时52%的垃圾邮件包含图片),但是2008年11月,图片垃圾邮件最多时占所有垃圾信息的10%。赛门铁克发现,最近使用超大图片的垃圾邮件数量猛增。通过对2008年11月图片垃圾邮件的分析,赛门铁克注意到:
• 13.3%的图片垃圾邮件的大于100kb
• 57.5%的图片垃圾邮件的平均大小在10kb-50kb之间
通过对2008年11月的所有垃圾邮件进行分析,赛门铁克发现,大多数的信息(79%)大小在2kb-5kb之间。随着图片垃圾邮件不断在“垃圾邮件领域”争取一席之地,它可为那些未得到保护的邮件基础设施带来麻烦。
与美国总统竞选相关的垃圾邮件活动仍余音未了
当候任总统奥巴马为自己的总统就职做准备时,垃圾邮件发送者在提醒我们,他们自己的总统竞选垃圾邮件活动仍未结束。当约翰.麦凯恩于2008年11月4日宣布自己竞选失败时,垃圾邮件发送者们发动了一次新的恶意代码垃圾邮件攻击,其中包括“奥巴马成为第一个黑人总统”的主题。此信息告诉大家,奥巴马已被选为美国第四十四届总统。信件请收件人点击链接“观看他在11月5日发表的激动人心的讲演”。但当用户点击视频播放器时就会下载恶意代码。该信息的内容如下:
“巴拉克.奥巴马被选为第四十四届美国总统
四年以前,巴拉克.奥巴马这个名字对大多数美国人来说是陌生的,但他将成为第四十四届美国总统,也是美国第一个非洲裔黑人总统。
观看他在11月5日发表的激动人心的讲演!
继续浏览美国政府官方网站 – 此网站提供有关美国外交政策及美国人生活和文化方面的信息。”
除了此视频外,巴拉克.奥巴马总统硬币的垃圾邮件也已经出现。这个自称来自新英格兰造币厂的垃圾邮件提供“一段历史见证,包括送货在内,价格仅为9.95美元”。此垃圾邮件的目的是从那些无戒备之心的邮件用户处获得信用卡信息。
伴随个人纳税期而来的垃圾邮件
从传统上来看,一月到三月,随着四月中旬“纳税日”最后期限的临近,美国纳税人开始与自己的纳税顾问再次打交道。遗憾的是,这一时期也成为“钓鱼”活动比较猖獗的阶段。正如赛门铁克2008年4月的“垃圾邮件状况报告”所显示,垃圾邮件发送者们继续试图将自己伪装成IRS(美国联邦税务局),对不知情的收件人抛出退税的诱饵。
想象一下,当我们在十一月,也就是个人纳税者最后期限到来约五个月之前,观察到使用IRS名义进行钓鱼攻击的现象,我们会感到多么吃惊。钓鱼邮件声称,收件人有资格获得退税,并将用户指向处理退税的网站。这一拥有IRS标识的假冒网站被用来作为收集信用卡及其他个人信息的工具。
垃圾邮件攻击试图利用那些在10月15日申请期限前要求延长缴税时间、并争取退税的个人。此外,IRS(美国联邦税务局)最近报告,正在寻找那些尚未收到振兴经济支票的纳税人(支票总额为1.63亿美元,因邮寄地址错误被美国邮政署退回)。根据法律,振兴经济支票必须于今年12月31日前发出。
电子邮件用户要对这些攻击多加注意。如IRS在其官方网站上所说的,它“不通过电子邮件的方式与纳税者进行联系”。
不认识英文? Ecco lo Spam Italiano!
你或许碰到过所喜爱的书籍或电影的多语种翻译版本。这当然是将自己的作品扩展到更广泛观众读者群中的一种有效方式。对更大利益的渴望促使垃圾邮件发送者们采用类似的策略来发动攻击。最近赛门铁克观察到的垃圾邮件信息包括一起在美国本土发起的诈骗攻击,信件声称提供一个涉及银行间支付转账的工作。作为回报,收件人可以保留一定比例的转账金额。这种诈骗涉及非法洗钱活动。值得注意的是,紧随原来英文版电子邮件攻击之后竟然还有意大利文版。此类垃圾邮件源的特征(来自不同地理位置的源IP)表明,这种攻击是通过垃圾邮件僵尸来进行实施的。
意大利文邮件内容:
“一项极为赚钱的业务正在寻找代表。我公司于2004年成立,在世界各地拥有自己的业务代表。如果你每周有三个小时的自由时间,你可以开始与我们公司合作,赚取2000美元以上的酬劳。如果你对我们所提供的职务感兴趣,请与我们联系,地址:developmentgrou@(具体信息删除),我们将为你提供更多信息。
请提供你的地址等…
某某(具体信息删除)集团”
赌博类垃圾邮件数量攀升
在最近几周内,赛门铁克注意到,推销在线赌博的邮件数量上升,这种邮件通常提供现金奖励或VIP待遇。11月初,休闲类垃圾邮件(定义是,提供或宣传奖金、奖励或打折休闲活动的电子邮件攻击)占全球垃圾邮件总数的10%。
正如我们在2007年3月的“垃圾邮件状况报告”所报告的,这些垃圾邮件攻击通常被翻译为多种不同的欧洲语言,以将攻击的覆盖面最大化。各邮件的URL不断发生着变化,每种欧洲语言的目录进行简单的修改 – 下面有法语的示例。垃圾邮件发送者经常改变URL的目的是为了走在基于URL的反垃圾邮件过滤器的前面。赛门铁克使用了二十多种不同的过滤技术,目的是确保对垃圾邮件攻击的全面拦截,不管这些垃圾邮件发送者们使用何种技术。
美国对在线赌博有各种法律限制,最著名的是2006“互联网非法赌博执行法案”,该法案规定银行或类似机构与在线赌博网站间的交易是违法的,但这些限制并没有阻止垃圾邮件发送者们将美国作为攻击目标,因为很显然该市场的规模巨大,不容忽视。免费虚拟主机URL被用于更多的用于针对美国市场所发起的垃圾邮件攻击中,不仅是为了躲避反垃圾邮件过滤器,还因为这样做不容易追踪到最终目的的网站的主机。
该类邮件的目的是使最终用户下载运行各种游戏的软件。该软件可能会窃取敏感信息,如登录证书等。但不要被提供意外之才的许诺所诱惑。玩游戏除了需要交纳押金以外,条款还声明,下注金额必须高于押金和奖励的二十五倍才能变现 – 到那时很可能赌场早已赚个钵满盆满了。
孟买恐怖袭击揭示垃圾邮件发送者最丑陋的面目
印度孟买最近发生了严重的恐怖主义袭击,人质劫持涉及了印度本地人和外国人。全世界都在密切关注着恐怖主义者的活动。不幸的是,垃圾邮件发送者们也在密切关注着这一事件的动态,他们最近发送的垃圾邮件中也涉及了孟买恐怖袭击的主题。这些邮件的内容是提供药品。
使用近期发生的悲剧事件来发送垃圾邮件的伎俩已成为垃圾邮件发送者们的标志性策略。其他事件中包括今年年初针对缅甸飓风和中国地震的所发送垃圾邮件。建议电子邮件用户不要点击此类垃圾邮件中包含的链接。