根據(jù)ASRC研究中心 （Asia Spam-message Research Center） 與守內(nèi)安的觀察，2021年第三季度垃圾郵件總體數(shù)量并無明顯波動(dòng)，但釣魚郵件仍然沒有平息。利用 CVE-2018-0802 程序漏洞偽裝成訂單郵件的攻擊，數(shù)量上相較上季略有趨緩，但仍需要特別留意；冒充企業(yè)的偽造郵件攻擊，較上季增長約1.5 倍，而針對(duì)個(gè)人詐騙郵件的數(shù)量較上季增長了1.2倍，個(gè)人與企業(yè)均須時(shí)刻提防中招。本季較為特殊的樣本如下：

　　釣魚郵件透過 HTML 標(biāo)簽挑選攻擊目標(biāo)

　　調(diào)查中，研究人員發(fā)現(xiàn)了特別的釣魚郵件樣本，這個(gè)樣本在Apple Mac的默認(rèn)郵件客戶端開啟時(shí)，會(huì)直接顯示出可點(diǎn)擊的鏈接；但若在其他的微軟操作系統(tǒng)常見的郵件客戶端，則不會(huì)顯示出可點(diǎn)擊的鏈接。

　　macmail.jpg，在 Apple Mac 的默認(rèn)郵件客戶端開啟時(shí)，會(huì)直接顯示出可點(diǎn)擊的鏈接

　　notmac.jpg，微軟操作系統(tǒng)常見的郵件客戶端則不會(huì)顯示出可點(diǎn)擊的鏈接

　　查看源代碼，發(fā)現(xiàn)這封釣魚郵件使用了HTML標(biāo)簽。這個(gè)標(biāo)簽主要是用于設(shè)定整個(gè)頁面中，所有鏈接類型屬性的默認(rèn)根網(wǎng)址。不過這個(gè)標(biāo)簽并非所有的客戶端系統(tǒng)都支持，因此可借由使用這個(gè)標(biāo)簽來篩選攻擊目標(biāo)。

　　basehtml.jpg，這封釣魚郵件使用了一個(gè) 的HTML標(biāo)簽

　　冒充航空公司問卷調(diào)查，釣取信用卡信息

　　八月份有攻擊者冒充某幾家航空公司身份，以入選客戶忠誠方案為名的問卷調(diào)查，肆意流竄出一波主題為“Congratulations ! You've been selected by xxxx Airline Loyalty Program”的郵件，目標(biāo)是騙取收件人的信用卡信息。

　　假冒某航空公司，以限時(shí)活動(dòng)、花2~3分鐘便可獲得回饋的調(diào)查方案，引誘收件人填寫問卷

　　郵件中宣稱只要花一點(diǎn)時(shí)間協(xié)助做完問卷調(diào)查，就能得到豐厚的賬戶獎(jiǎng)勵(lì)。為了取信收件人，郵件中所有的圖片皆來自航空公司官方網(wǎng)站，只有問卷所在的網(wǎng)址暗藏于被篡改的網(wǎng)站。若收件人貿(mào)然點(diǎn)擊鏈接前往此頁，可能會(huì)被精心設(shè)計(jì)偽裝好的問卷調(diào)查，松懈了戒心；在填完假問卷后，便會(huì)進(jìn)一步要求個(gè)人的信息。

　　聲稱填完問卷可獲得實(shí)質(zhì)獎(jiǎng)勵(lì)

　　當(dāng)被害人填寫完個(gè)人信息后，接著會(huì)被要求輸入信用卡信息，這一切都是為了取得“獎(jiǎng)勵(lì)”的必要步驟。

　　為取得獎(jiǎng)勵(lì)，必須填寫個(gè)人資料與信用卡信息

　　被害人填寫信用卡信息，并按下發(fā)送，則會(huì)收到要求填寫手機(jī)短信驗(yàn)證碼認(rèn)證；若再配合輸入短信驗(yàn)證碼，則后續(xù)來的不是航空公司的獎(jiǎng)勵(lì)，而是一連串刷卡通知。此時(shí)，信用卡已經(jīng)正式遭到盜刷！提醒大家在使用填寫一些公共郵箱的問卷調(diào)查時(shí)，請(qǐng)注意自己最近是否有使用過相關(guān)產(chǎn)品，填寫信息時(shí)注意信息合理性，特別是手機(jī)驗(yàn)證碼等信息，加強(qiáng)此類釣魚防范。

　　與自身業(yè)務(wù)有關(guān)的社交工程攻擊

　　在企業(yè)加強(qiáng)倡導(dǎo)信息安全觀念的當(dāng)下，收到與自己業(yè)務(wù)無關(guān)或與自身習(xí)慣使用語言不同的郵件，多半會(huì)有所警覺，并且不會(huì)打開相關(guān)附件內(nèi)容。但若出現(xiàn)與自身業(yè)務(wù)相關(guān)，內(nèi)容也使用自身習(xí)慣用語撰寫的惡意郵件，該如何提防呢？

　　在第三季度出現(xiàn)許多假借業(yè)務(wù)咨詢、保費(fèi)、客服等問題，卻夾帶攻擊文檔的惡意郵件。這些惡意文檔，都以壓縮文件的方式夾帶一個(gè)可執(zhí)行文件，并且將圖示或擴(kuò)展名，試圖偽造為 PDF 文件檔。

　　假借業(yè)務(wù)詢問，卻夾帶攻擊檔案的惡意郵件

　　雖然這些假借業(yè)務(wù)咨詢、保費(fèi)、客服等問題郵件在內(nèi)的社交工程手法類似，但郵件中所附帶的惡意軟件并沒有明確的關(guān)聯(lián)性，部分惡意軟件也會(huì)以壓縮文件加密的方式躲避掃描；運(yùn)行時(shí)攻擊目的也有所不同，目前只發(fā)現(xiàn)攻擊Windows的樣本。防范這類郵件，建議不要隱藏?cái)U(kuò)展名、不要運(yùn)行解壓縮后文件名不明的 .exe檔案。

　　郵件壓縮包炸彈，癱瘓過濾系統(tǒng)

　　Microsoft Office自2007版本之后，提供了新的文件包裝格式，使用XML體系結(jié)構(gòu)和ZIP壓縮將文檔、公式、VBA等內(nèi)容儲(chǔ)存到行和列的組織，常見格式附文件名為。docx、xlsx、pptx、xlsm…等。我們發(fā)現(xiàn)這個(gè)ZIP的包裝結(jié)構(gòu)，與早期的壓縮文件炸彈手法進(jìn)行結(jié)合，用以干擾電子郵件的內(nèi)容掃描機(jī)制。

　　電子郵件中一個(gè)。xlsm的附件文檔，大小約為2mb，之中摻入了壓縮文件炸彈的手法

　　將這個(gè) .xlsm解壓縮后，產(chǎn)生三個(gè)OLE對(duì)象的 .bin文檔，其中較小的兩個(gè)檔案，是由VBScript寫成的惡意軟件主體內(nèi)容下載器，執(zhí)行結(jié)束后會(huì)自我清除；oleObject3.bin則是透過CVE-2017-11882的方程式漏洞去執(zhí)行前述的 VBScript。而oleObject3解壓縮后的大小約為2GB，由于這個(gè)文檔大小過大，會(huì)對(duì)某些掃描機(jī)制產(chǎn)生干擾，也可能造成掃描時(shí)暫存空間瞬間用罄，導(dǎo)致非預(yù)期的問題。

　　oleObject3.bin壓縮文件炸彈膨脹后的大小約為2GB

　　結(jié)語

　　攻擊者如何發(fā)送惡意郵件到目標(biāo)對(duì)象的信箱？主要兩種方式，一種是以字典文件針對(duì)一個(gè)域名持續(xù)嘗試；另一種，則是根據(jù)暴露于網(wǎng)絡(luò)上的數(shù)據(jù)，以及遭到外泄的數(shù)據(jù)庫。以字典文件嘗試發(fā)送的方式，多半具有較低的針對(duì)性，容易偵測出嘗試的行為并加以阻斷；較為危險(xiǎn)及常被忽視的會(huì)是后者。根據(jù)暴露于網(wǎng)絡(luò)上的數(shù)據(jù)，以及遭到外泄的數(shù)據(jù)庫名單所發(fā)送的攻擊信件，多半還伴隨有該郵件地址擁有者的其它相關(guān)資料，如：個(gè)人信息、興趣、其他聯(lián)系信息等等，能夠用于更有針對(duì)性且為受害目標(biāo)量身打造的攻擊。

　　因此，在使用電子郵件地址申請(qǐng)任何服務(wù)時(shí)，最好能依功能分類，或區(qū)分使用私人郵箱注冊(cè)和公司郵箱注冊(cè)，用以區(qū)別收件來源的重要性，必要時(shí)也可以關(guān)閉不用的私人郵箱，避免信息關(guān)聯(lián)，將自己徹底從攻擊者的名單中移除。