林蔚文賽門鐵克公布五月份垃圾郵件報告指出,今年五月是垃圾郵件誕生的 30 歲生日,然而在垃圾郵件的數量始終居高不下的情況下,塞爆的郵件信箱只令人牙癢癢,根本沒有人想歡度這個特殊的月份。而四月份垃圾郵件數量持續維持整體郵件的 80%,並一度上升至 87% 。本次報告內容指出,Google 再次被垃圾由件散播者所利用。此外,賽門鐵克觀察到魚叉式釣魚手法 (Spear phishing) 針對特定組織攻擊,發出偽造的法院傳單;並出現假冒即時通訊軟體公司的垃圾郵件,宣稱將禮物贈與給接收者。新手法如會議通知垃圾郵件 也可在本月份的垃圾郵件報告中見到詳細內容。
本文目錄
1. 垃圾郵件愛 Google
垃圾郵件一項喜愛利用知名品牌獲取接收者的信任。在去年 2007 年,賽門鐵克觀察到垃圾郵件散播者利用 Google 進階搜尋以及” 好手氣” 的機制將使用者引導至垃圾郵件網站。今年二月,AdSense 也出現受到利用的跡象。而在 2008 四月份,賽門鐵克觀察到假裝來自 Google AdWords 的釣魚網站。這封信件假冒 Google AdWords,要求使用 AdWords 的顧客點選連結以更新結帳資訊以及帳戶。點選這個假冒的連結後則會開啟一個詐騙的網站,要求使用者輸入個人資訊。
由於資安公司以及網路社群如今越來越重視個別網站以及寄件者的聲譽,因此垃圾郵件散佈者為了達到目的,也盡一切可能的隱藏在知名品牌之下,以騙取接受者的信任。
2. 魚叉式釣魚 (Spear Phishing) 傳你上法庭
魚叉式釣魚是針對特定人士或是機構進行的釣魚詐騙,近來,賽門鐵克觀察到一些組織收到來自美國地方法院的傳票,信中宣稱接收者必須在信上標示的某時某地提供證言。同時在信中附上連結,要求接收者下載並列印出該封信件作為存檔。然而,接收者若是點選了這個連結,便會下載一個鍵盤側錄木馬。
此類針對特定人士或機構的垃圾郵件,可能運用社交工程手法或其他方式,製作量身打造的訊息,因而更容易獲得接收者的信任。進而能獲得更為機密、更有價值的資料,造成更為嚴重的後果。
3. 垃圾郵件招數多,這次送你即時通訊大禮
本月份較為有趣的攻擊方式是垃圾郵件宣稱贈送接收者一個機會,去搜尋誰將他們從好友名單中封鎖。由於即時通訊軟體已成為現代人常常使用的交流媒介,使用的頻率甚至比電話還多,對人際關係的影響甚鉅。因此搜尋誰把你封鎖不但能讓使用者了解這些朋友,也能了解自己的人際關係。
此封信件的接收者會被要求點選信中的連結,並提供帳號及密碼。這種攻擊最有意思的面向是在於,很多人習慣使用同一組帳號密碼,因此這封信不但讓即時通訊的帳號密碼被盜,也有可能使接收者在網路上的其他服務,甚至是機密性的資料外洩。
4. 垃圾郵件選秀會
你有想不想在電影裡面客串呢? 賽門鐵克在四月份發現一封垃圾郵件,似乎也在找尋新的超級偶像。
信中宣稱只要接收者提供他們的電子郵件地址,就能獲得如何成為電影的臨時演員的資訊。若接收者點選信中的連結,便會被導向垃圾郵件散播者的網站,要求留下個人的連繫資訊,這種類型的垃圾郵件主要是利用來蒐集個人的聯絡資訊。
5. 新手法—會議邀請垃圾郵件
在上個月份賽門鐵克觀察到利用會議邀請形式的垃圾郵件正逐漸出現,目前觀察到這類的垃圾郵件主題是與過去介紹過的奈及利亞 419 詐騙內容相關,雖然為數不多,但仍然讓我們見識到垃圾郵件多變的手法。
註: 奈及利亞 419 詐騙: 電子郵件中,主筆者說他們是某位重要人士的關係人 (親戚或是該人物的銀行家),而這位重要人物最近過世 (該人物跟死亡方式通常是真實的),需要將一大筆錢轉移到別的地方去,但為了某個原因他們無法直接轉帳,而想要透過收信人的名義轉到他的帳戶去,同時承諾誘人的條件。
