垃圾郵件 - 資安趨勢部落格

巨量資料分析和主動式雲端截毒技術

2012 年 09 月 28 日2012 年 10 月 07 日趨勢科技 TrendMicro

巨量資料分析和主動式雲端截毒技術

如果說我從今日的威脅環境中學到了一件事，那就是：它是不斷成長且不斷變化的。行動運算和雲端的出現都在改變著威脅環境，但是舊的威脅，像是惡意軟體和垃圾郵件(SPAM)則還是繼續地成長著。

我們平均每天收到四十三萬個檔案加以分析，其中有廿萬個是不重複的檔案。結果就是每天會有約六萬個新的病毒碼產生。

但是，趨勢科技並不會因此而停止保護我們的客戶。從二〇〇五年起，我們開始利用電子郵件信譽評比技術來解決垃圾郵件問題。同時我們也發現這可能是潛在威脅情報的重要資產：惡意的電子郵件也可能被用來散播惡意軟體或展開目標攻擊。

趨勢科技不僅阻止了這些垃圾郵件(SPAM)進入我們客戶的環境，我們也對這些垃圾郵件做了深入的分析。讓趨勢科技可以發現新的威脅以及這些威脅的模式。

有越來越多的電子郵件不會夾帶惡意附加檔案，而是會連到惡意網站。也因此，我們開始投入巨資在網頁信譽評比技術，而這技術也是我們目前對抗網路犯罪分子的主要武器之一。

我們每天從客戶端收到近八十億次的網址查詢，我們會立即地將查詢網址的相關資訊送回去（是否惡意及它的類別）。我們的產品可以據此封鎖網址，我們也可以收集更多攻擊相關的資訊。正因為如此，我們能夠了解新的攻擊模式、命令和控制伺服器以及目標攻擊。

這三個主元素組成趨勢科技主動式雲端截毒服務 Smart Protection Network的基礎，但隨著威脅環境的發展，趨勢科技也必須隨之進化。

我們現在又加入了行動應用程式信譽評比技術。趨勢科技看到了行動惡意軟體的數量在急速地上升。在去年，Android手機惡意軟體還沒有出現在雷達上，但我們預測在二〇一二年底會看到十二萬個行動惡意軟體出現。我們還因此而被稱為騙子。但是到了今天，已經有超過三萬個已知的Android惡意軟體，我們的預測看來可能是對的。

另外，主動式雲端截毒服務 Smart Protection Network目前可以防止漏洞攻擊和惡意網路流量。全球威脅情報通過對各種威脅途徑的資料做相關聯，我們可以看到更多、關連更多、偵測更多，並更好地保護我們的客戶去面對各式各樣的攻擊。

威脅數目的上升也意味著誤報的風險越來越大，所以我們也加入了白名單技術到主動式雲端截毒技術內。趨勢科技的資料庫中有超過一億四千萬筆已知的正常應用程式，可以幫助我們在積極的惡意程式偵測和避免誤判間取得正確的平衡。

也因為趨勢科技在信譽評比和關連技術領域內的領導地位，有許多執法單位要求我們幫助他們識別並抓住犯罪份子。這也是我們的威脅研究團隊非常自豪的一件事。

除了我們的客戶和執法單位外，趨勢科技也提供威脅情報給我們的合作夥伴，像是RSA，來幫助保護世界各地數百萬的使用者。

趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的關聯技術可以幫我們提供更好的安全防護。因為我們的大量投資，並將威脅專業知識加進主動式雲端截毒技術，讓我們可以提供更好的保護給我們的客戶。

下面的資料圖表說明趨勢科技主動式雲端截毒服務 Smart Protection Network是如何運作以保護趨勢科技的客戶免受攻擊：

趨勢科技主動式雲端截毒技術在軌道上阻止威脅攻擊

在Blackhole漏洞攻擊包垃圾郵件活動裡，攻擊者利用惡名昭彰的Blackhole漏洞攻擊包來攻擊使用者系統內的漏洞，好破壞他們的防護措施並竊取個人資料或金錢。有了使用者的回饋，趨勢科技的主動式雲端截毒技術可以自動判斷關鍵的攻擊組件和獨特的惡意活動順序。利用主動式雲端截毒技術所提供的自動關連技術，我們可以找出潛在的惡意活動，並且在各種惡意組件（垃圾郵件、惡意網址、漏洞攻擊和惡意軟體）進入使用者系統前就加以封鎖。

在二〇一二年六月，趨勢科技發現134起垃圾郵件攻擊了40個組織或公司。
封鎖了對到達網頁的存取，同時也發佈了可偵測漏洞攻擊包的雲端病毒碼以保護系統，對抗漏洞攻擊

更新雲端病毒碼去偵測產生的惡意檔案，預防惡意軟體被下載及執行
回復正軌：六月廿日，上午四點十六分（格林威治標準時間）

發佈基於行為判斷的垃圾郵件識別碼，防止垃圾郵件進入使用者信箱
回復正軌：八月八日，上午八點十八分（格林威治標準時間）

在短短廿四小時內，趨勢科技主動式雲端截毒技術偵測到149筆連線連到被代管在趨勢科技所封鎖的網站上

在短短廿四小時內，趨勢科技主動式雲端截毒技術偵測到149筆連線連到https://216.231.139.103/download.php?id=de34fec5。這個網址被代管在趨勢科技所封鎖的網站上

封鎖對到達網頁的存取，同時也發佈了可偵測漏洞攻擊包的雲端病毒碼以保護系統，對抗漏洞攻擊。

發佈基於行為判斷的垃圾郵件識別碼，防止垃圾郵件進入使用者信箱
回復正軌：八月八日，上午八點十八分（格林威治標準時間）

封鎖對到達網頁的存取，同時也發佈了可偵測漏洞攻擊包的雲端病毒碼以保護系統，對抗漏洞攻擊。
回復正軌：八月八日，下午一點五分（格林威治標準時間）

惡意網域已經被封鎖，防止使用者被重新導向或連到被感染網站
回復正軌：八月九日，上午一點（格林威治標準時間）

避免首次可能的火車出軌：八月九日，早上六點（格林威治標準時間）
帶有惡意連結的垃圾郵件被發送出去；如果沒有加以阻止，最終會導致惡意軟體的下載
點入網址會讓使用者進入受感染網站；如果沒有加以阻止，最終會導致惡意軟體的下載

避免首次可能的火車出軌：八月九日，早上六點〇一分（格林威治標準時間）
受感染網站會將重新導向使用者；如果沒有加以阻止，最終會導致惡意軟體的下載
使用者被重新導向到內有Blackhole漏洞攻擊包的網頁；如果沒有加以阻止，最終會造成惡意軟體的下載

某些黑洞攻擊包垃圾郵件活動的組件也可能被用在其他垃圾郵件活動中。

避免第一次可能的火車災難：八月九日，早上六點〇五分（格林威治標準時間）
黑洞漏洞攻擊包找尋並攻擊已知的系統和應用程式弱點；如果沒有加以阻止，最終會導致惡意軟體的下載

有漏洞的系統會被惡意軟體所感染；如果沒有加以阻止，最終會導致惡意軟體的下載
在五月十七日的一次攻擊使用了291個被感染網站上的1960個不重複網址。

黑洞漏洞攻擊包找尋並攻擊已知的系統和應用程式弱點；如果沒有加以阻止，最終會導致惡意軟體的下載繼續閱讀

四個垃圾郵件陷阱: 「綁架讚（Likejacking）」，「假分身（Sock Puppet）」、「QR碼垃圾郵件」和「垃圾應用程式（Junk Apps）」

2012 年 06 月 07 日2018 年 06 月 28 日趨勢科技 TrendMicro

只要還有網路，騙子就會想用來賺錢

所用的技術可能會改變，但伎倆本質卻是不變的：網路詐騙會試圖引誘你去連上一個不該去的網站，或是讓你不自覺地送出你的信用卡資料。他們會盡可能將目標灑向更多的人。當你聽到像「綁架讚（Likejacking）」，「假分身（Sock Puppet）」、「QR碼垃圾郵件」和「垃圾應用程式（Junk Apps）」時，請記住，這些都是新瓶裝舊酒的在重複著過去的伎倆罷了。

綁架讚（Likejacking）

這是基於Facebook的騙局，一開始是受害人去點了一個連結，可能是因為被有趣的標題或影片所吸引。結果被導到假問卷調查或廣告網站，誘騙使用者對它們按讚（他們會被要求按「讚」或「繼續」，不過兩種的結果都是會變成按「讚」）。接著就會被貼到受害者的塗鴉牆上，讓所有的朋友都落入到相同的騙局裡。基本上它就是舊式垃圾郵件的變形，之前是看似來自好友的電子郵件，結果是因為某人盜用了它的電子郵件地址所設下的騙局。

假分身（Sock Puppers）

就是現在常見的以假身分在網路上發表評論。如果一個部落格或討論區上的評論有點太過熱情地去推銷特定的公司、產品或人，這些人的身分可能都只是假分身，通常這些是來自不道德的公關公司或有心人士想去操弄民意才這麼做。

另一個雷同的報告:每天有一億九千萬則twitter被送出,平均每個Twitter使用者有126個關注者。只有35%是真人。請看這裡

QR碼垃圾郵件

正當人們終於學會去懷疑那些出現在電子郵件裡的隨機連結，隨之而來的QR碼（基本上就是將這些隨機連結做成可愛的黑白小方塊）。它們無處不在：出現在廣告上，看板上和雜誌上。利用你的智慧型手機來照這QR碼就會將你送到一個網址或下載優惠券等等。而問題就出在這裡，如果單單看這QR碼，你並不知道它是從哪裡來的，或是它會對你的手機做些什麼。

絕大多數的QR碼都是正常的，是企業用來和大眾互動的有趣模式。但還是有惡意QR碼的存在，而且如果它們跟我們之前見過的其他類型垃圾郵件(SPAM)一樣的話，那可以預期的是它們只會越變越多。像這個案例日本色情業者利用行動條碼（QR Code）誘騙付費,就讓愛看好料的網友有點尷尬。

一個誘騙行動用戶使用行動條碼（Quick Response，QR）註冊跟付費色情的服務的案例。攻擊者會先發送垃圾郵件給受害者，郵件內包含一個免費影片網站的連結。這個網站會秀出聳動標題的免費影片來誘使點擊。但當出現一個「觀看更多」的連結時，會將使用者重新導到另一個要求註冊成為會員的頁面

其中一個網址,包含了一個行動條碼（Quick Response，QR）和這訊息：「請利用手機來訪問這個網站」。

趨勢科技QR Code掃描器：

快速安全地掃瞄各種QR碼和二維條碼/條形碼
立即封鎖危險應用程式和網站並回報
無任何第三方廣告
從即時相機或儲存的影像掃瞄
完全免費

今天就來試用趨勢科技的QR Code掃描器 – 免費、安全又簡單的掃描QR碼。

繼續閱讀

微軟和美國不再是首要的資安威脅來源

2011 年 11 月 21 日2013 年 01 月 17 日趨勢科技 TrendMicro

在2011年的第三季，在資安威脅方面，趨勢科技看到出現了很大的變化，而網路犯罪份子也是繼續的活躍著。在過去這一個季中，所看到的攻擊主要是利用軟體漏洞和不同的威脅入侵途徑。這也標示著網路犯罪策略所可能產生的變化。

首先就是Google取代微軟成為這一季被報告漏洞最多的軟體供應商 – 82個。這是因為隨著Chrome使用數量的成長和普及，也被發現出越來越多的漏洞。第二位是甲骨文，被發現了63個漏洞。而微軟則下跌到第三位，被發現了58個漏洞。

另外，一直被列在發送垃圾郵件(SPAM)國家名單首位的美國也跌出了前十名，被印度和韓國給取代了。韓國在稍早之前表達了要採取對策的態度，從國家層級去封鎖連接埠25以減少垃圾郵件在自己國家的活動。

在第三季，微軟和美國不再是首要的資安威脅來源 — 2011 年第三季，微軟和美國不再是首要的資安威脅來源

繼續閱讀

什麼是 SPAM ?是垃圾郵件還是肉罐頭？(同場加映：電子郵件演變史)

2011 年 10 月 13 日2022 年 11 月 17 日趨勢科技 TrendMicro 94 筆留言

1937年7月5日，美國罐頭肉製造商Jay Hormel發佈以其名字命名的「Hormel Spiced Ham（荷美爾香料火腿）」，後來透過命名比賽改名為 SPAM(「Shoulder of Pork and Ham」)，指豬肩肉與火腿的豬肉火腿罐頭。SPAM 銷售全球，並在100多個國家/地區註冊了商標,目前在台灣超市也買得到。

在二戰參戰時午餐肉成了美軍伙食，並且隨著軍隊出征而推廣至全球各地。1950年代韓戰後，由駐韓美軍基地流入韓國,成為火鍋食材，就是所謂的「部隊鍋」。雖然SPAM午餐肉是當時難得的戰時肉類供應來源，不過對於美國大兵而言，供應數量極為龐大午餐肉感到極為厭惡。

至於為何 SPAM演變成垃圾郵件呢？有一說法是源於一部英國喜劇團（Monty Python）曾在一齣諷刺劇「spam-loving vikings（愛吃肉罐頭的維京人），劇中有對夫妻去餐廳用餐，妻子不想吃SPAM罐頭，可是在餐廳裏只供應午餐肉,還有一大群人，高聲地歌頌讚美「SPAM」多達一百廿次，讓其他的用餐客人感到厭煩。從此 SPAM就成為「重複、毫無益處、喧賓奪主、令人厭煩郵件」的代名詞。就像當年經濟蕭條，人們買不起鮮肉，而吃的SPAM 肉罐頭一樣,有高含量的脂肪、鈉和防腐劑，不宜攝取過量。

垃圾郵件（SPAM）定義：

垃圾郵件（SPAM）是未經收件者同意，即大量散發的郵件，信件內容多半以促銷商品為意圖。垃圾郵件的也稱作UCE（ unsolicited commercial email）或UBE（unsolicited bulk email）。如同我們在前面提到的，垃圾郵件（SPAM）是某些想利用 Internet 致富的人，藉以散播廣告或色情的媒介。

嚴格說起來，垃圾郵件（SPAM）是一種剽竊行為。傳送 Mail 者只需花極少的金錢，即可造成收件者龐大的損失。假設一個人在每星期收到 12 封垃圾郵件（SPAM），個人使用者的損失並非立即顯現，但若企業體內每個人都收到此類信件時，它對企業網路環境的傷害可不僅僅是一件麻煩事而已了。沒有一家企業歡迎垃圾郵件（SPAM），但是SMTP伺服器卻得負荷傳送的流程。CPU、伺服器硬碟空間、終端機用戶硬碟空間都得因它而影響速度和空間。垃圾郵件（SPAM）除了將使網路陷入動彈不得的境地外，更令人憂心的是其附件檔案可能夾帶的病毒，將同時大量危害企業網路;附件網址可能附贈惡性程式，許多木馬病毒（Trojan Horses）就是藉此大量擴散。您可以想像如果讓這些未經許可的垃圾郵件（SPAM）繼續為所欲為，將造成企業多大的損失。

Melissa 梅麗莎(1999)與 LOVEBUG / I Love You 情書/愛情蟲(2001)就是病毒史上有名的 SPAM病毒（以下摘錄自20大病毒史見證單一目標與組織化攻擊,取代迅速擴散大量爆發）

Melissa 梅麗莎(1999)首隻透過電子郵件散播的主要病毒，也是網路病毒開啟年代。雖然Melissa不具毀滅性，但所到之處因為會複製並塞爆電子郵件匣而聲名大噪，一夕之間迫使著名的全球大型企業強迫關閉他們的 EMAIL SERVER，紐約時報（ NEW YORK TIMES）甚至以 “前所未有的Internet 病毒風暴” 來形容，FBI 也對各公民營企業發出呼籲，甚至發出通緝令將逮捕該名病毒作者。垃圾郵件除了會讓你的收件匣填滿垃圾以外，這些垃圾訊息也可能會造成嚴重的傷害，它們會誘騙人們在不經意間給出自己的個人或財務等機敏資訊。
LOVEBUG / I Love You 情書/愛情蟲(2001)最熱門的電子郵件病毒，純粹由社交工程 ( Social Engineering )陷阱手法驅動。

同場加映：電子郵件演變史