從感恩節到聖誕節,看看黑客在節假日都幹了啥?
與藉助某些重大事件一樣,網路犯罪分子也會選擇利用西方節日來製造誘餌和騙局,誘使使用者點選惡意連結、安裝惡意軟體、轉移資金,或者以其他方式落入其圈套。無論是收到要求使用者購買虛假禮品卡的電子郵件詐騙資訊,還是在受到惡意軟體感染的終端使用信用卡,節假日總會給商家和消費者帶來多樣化的網路安全威脅。
特別需要指出的是,Proofpoint的研究人員觀察到,與禮品卡、節日主題惡意電子郵件、“黑色星期五”購物誘餌以及POS惡意軟體等相關的BEC商業電子郵件詐騙活動在今年一直呈現出上升趨勢。
禮品卡BEC詐騙
伴隨著網路犯罪分子不斷改進他們的技術以及探索針對目標組織實施盜竊的新方法,BEC商業電子郵件詐騙活動也在不斷髮展。美國聯邦調查局(FBI)在最近釋出的一份公開諮詢中指出,要求受害者購買用於企業送禮或節日活動禮品卡的BEC攻擊有所增加。雖然這種新興的攻擊技術僅佔整個電子郵件詐騙的一小部分,但Proofpoint的研究人員也發現,今年與禮品卡相關的電子郵件詐騙總體呈快速季度環比增長。
在2018年第一季度,幾乎沒有與禮品卡相關的電子郵件詐騙被觀察到。但到了第二季度,此類詐騙在整個電子郵件詐騙中所佔的比例達到了1%,而這一比例在第三季度翻了一倍之多(圖1)。
圖1:2018年禮品卡詐騙佔整個電子郵件詐騙的百分比(按季度統計)
在遭遇過電子郵件詐騙的組織中,遭遇禮品卡詐騙的組織的比例在每個季度也呈現出迅速上升態勢(圖2)。
圖2:在2018年遭遇過禮品卡詐騙的組織的百分比(按季度統計)
在與禮品卡相關的電子郵件詐騙資訊中,排名前五位的主題是:
- itunes gift card
- gift cards
- donation (gift cards)
- amazon gift cards
- gift card
與大多數其他型別的電子郵件詐騙一樣,網路犯罪分子的目標是無論規模和行業的所有公司。換句話來說,禮品卡BEC詐騙所針對的目標與公司的具體型別並沒有什麼關聯,屬於“廣撒網”型。
POS惡意軟體
我們經常觀察到POS惡意軟體活動會在黑色星期五和即將到來的假日購物季期間有所上升。網路犯罪分子很清楚地意識到,它們是一年中最繁忙的購物日,在11月和12月期間會發生大量的信用卡交易。即使是在少數終端上植入POS惡意軟體,網路犯罪分子也可以竊取信用卡資料,進而用於欺詐性交易。雖然晶片和PIN技術的廣泛採用降低了某些型別的POS惡意軟體的有效性,但實施欺詐性的無卡交易仍然是可能的。此外,新型POS惡意軟體已經出現,它可以計算出晶片卡的驗證碼,並將其用於欺詐性交易。
在2018年,POS惡意軟體活動總體上趨於平穩。其中,FindPOS仍然是最為常見的POS惡意軟體。另外,MagikPOS在11月初出現了激增,這很可能是在為即將到來的假日購物季做準備(圖3)。
圖3:由Proofpoint IDS感測器檢測到的自今年年初以來的POS惡意軟體活動
社交媒體釣魚
雖然目前大多數社交平臺在自動刪除垃圾評論方面已經做得很不錯了,但更復雜的網路犯罪分子仍在繼續利用社交媒體渠道來直接攻擊使用者。社交媒體能夠使得詐騙或釣魚成為可能,網路犯罪分子會試圖將自己偽裝成合法品牌來與使用者進行會話,這是因為黑色星期五為使用者提供了大量查詢可用交易、商品可用性等的機會。例如,假設使用者在推特上聯絡@AcmeAnvils,以詢問當地的Acme商店是否會以黑色星期五的價格出售頂錘,如果使用者提供了信用卡號碼,網路犯罪分子則可能會攔截會話,並提出自己有頂錘出售。在這個例子中,網路犯罪分子可能使用類似於@AcmeAnvilsDeals這樣的賬戶,以盜用合法品牌。雖然這個例子看上去有些老套,但這種社交媒體釣魚與去年同期相比的確增漲了486%。我們在這裡提醒廣大使用者,在社交媒體上詢問交易時,應該確保自己是真的在與合法品牌且經過驗證的帳戶進行互動。
除了日益普遍存在的利用社交媒體實施詐騙的問題之外,使用者還應該更多地關注目的在於傳播惡意軟體的網路安全威脅。特別需要指出的是,Proofpoint一直在跟蹤通過假日電子賀卡來傳播惡意軟體的活動。攻擊者目前正在濫用Facebook Messenger來作為惡意電子賀卡的載體,進而通過由攻擊者控制的或被攻陷的網站來傳播一系列的惡意軟體。
黑色星期五垃圾電子郵件
這些垃圾電子郵件本身通常並不是惡意的,而是旨在說服使用者點選其中所包含的連結來檢視其他的網頁。這些網頁可能與電子郵件本身所描述的內容有關,也可能無關。比如,以黑色星期五為主題的垃圾電子郵件往往利用了收件人希望從交易中獲得優惠的心態,為使用者製造充滿誘惑力的點選誘餌。這些垃圾電子郵件往往涉及到盜用合法品牌,再以誘人的主題來說服使用者點選。經不住誘惑的使用者通常會被重定向到佈滿廣告的網頁、潛在的網路釣魚網站,以及包含惡意內容的網站,或販賣假冒商品的網站。
利用節日主題電子郵件傳播惡意軟體
所有節日和重大活動都為網路犯罪分子提供了各種各樣的素材,以製造出包含足夠吸引眼球的誘餌和主題的電子郵件。例如,一些會定期傳播Emotet銀行木馬的網路犯罪分子在過去的兩週裡就傳送了一系列以感恩節、黑色星期五和網路星期一為主題的惡意垃圾電子郵件。這些電子郵件被描述為電子賀卡(圖4)、感恩節祝福、以及亞馬遜購物折扣。而實際上,附件或者連結指向的文件包含用於安裝Emotet的惡意程式碼(圖5-7)。
圖4:來自11月19日活動的電子郵件示例,以感恩節電子賀卡為主題,使用惡意附件傳播Emotet
圖5:盜用亞馬遜品牌,以黑色星期五為主題,連結指向包含惡意巨集的文件,旨在傳播Emotet
圖6:盜用亞馬遜品牌,以黑色星期五為主題,連結指向包含惡意巨集的文件,旨在傳播Emotet
圖7:盜用亞馬遜品牌,以網路星期一為主題,連結指向包含惡意巨集的文件,旨在傳播Emotet。請注意,黑色星期五主要是美國的活動,而網路星期一更具國際性。因此,在這個電子郵件示例中,出現的是英鎊符號“£”。
當你回到辦公室,垃圾郵件會給你“驚喜”
在去年,Proofpoint的研究人員觀察到,曾在過去幾年裡發起了大規模Dridex和Locky活動的網路犯罪團伙TA505在感恩節這天發起了一場規模龐大的垃圾電子郵件活動。在這場活動中,開啟附件中的文件並“啟用內容”會導致Scarab勒索軟體的安裝。這場活動是不尋常的,因為網路犯罪分子通常不會選擇在重大節日傳送垃圾電子郵件,而是選擇收件人通常會在辦公室的工作日。然而,Proofpoint的研究人員在聖誕節前後再次觀察到了類似的活動,這再次打破了傳統的概念。
今年,旨在傳播Emotet銀行木馬的網路犯罪團伙在感恩節、黑色星期五和週末集中發起了三場大規模的垃圾電子郵件活動,並於11月26日恢復了平日的正常傳送量,使用了上面提到的網路星期一誘餌。另外,TA505也在今年的黑色星期五再次發起了一場活動,而一些旨在傳播資訊竊取程式、RAT、銀行木馬等的網路犯罪分子也發起了類似的活動。對於沒有采取保護措施的組織和忙碌的使用者來說,在節假日過後,他們的收件箱裡很快就會出現惡意資訊,以及各種各樣的虛假“黑色星期五”和“網路星期一”優惠活動。
總結
節假日通常會帶來一系列的網路安全威脅,這些威脅來自那些希望利用人們的好奇心和易犯錯誤弱點的網路犯罪分子,而不是軟體漏洞。在2018年的節假日,新的威脅與舊的威脅並存,而禮品卡電子郵件詐騙活動更是迅速崛起。與此同時,越來越多的已知網路犯罪團伙也開始在節假日傳播惡意軟體。
廣大使用者應該清楚地意識到,這些威脅必將繼續通過電子郵件和社交媒體渠道在節假日如期而至,而好的電子郵件使用習慣和必要的保護措施是避免遭受這些季節性網路安全威脅侵害的關鍵。如果無法證明自己收到的電子郵件來自知名品牌或社交媒體運營商,那麼我們應該避免點選任何連結或開啟任何附件。