概觀

根據(jù)ASRC 研究中心 (Asia Spam-message Research Center) 與守內(nèi)安的觀察，2019 年總體來說，垃圾郵件與病毒郵件的數(shù)量呈現(xiàn)均勻分布，沒有哪個(gè)月份特別爆量，但是相較于 2018 年，數(shù)量稍有增長(zhǎng)。郵件量爆發(fā)、詐騙郵件與釣魚攻擊在 2019 年第四季度達(dá)到全年高峰;BEC詐騙郵件的數(shù)量雖然降低，但是BEC事件并未因此緩和。CVE-2014-4114、CVE-2018-0802、CVE-2017-11882這三個(gè) Microsoft Office 文件漏洞利用全年可見;2019 年第一季度被揭露的WinRAR 漏洞 (包含CVE-2018-20250、CVE-2018-20251、CVE-2018-20252與CVE-2018-20253)，皆被用于APT攻擊或是滲透測(cè)試、紅隊(duì)演練。

統(tǒng)計(jì)

1. 垃圾郵件占比趨勢(shì)統(tǒng)計(jì)

攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">

2019 年垃圾郵件平均約占總體郵件的83.67%，相較于2018年的占比增加了 6% 左右;2019 年每個(gè)月的垃圾郵件占比幾乎都在80%以上，月份之間的波動(dòng)很平均，且多數(shù)月份垃圾郵件占比都較 2018 年來得高。

2. 垃圾郵件中的病毒郵件

垃圾郵件中，一般病毒的占比大約在0.1~0.2% 之間。2018 年在第四季度的波動(dòng)幅度較大，2019 年則平均占比都維持在0.15%之上。

2. SMTP DoS攻擊

同一個(gè) IP 集中發(fā)送大量郵件，并可能造成SMTP服務(wù)阻塞或中斷的攻擊，多半發(fā)生在第四季度，可能因?yàn)榈谒募径葹橄M(fèi)旺季，雙十一、雙十二、圣誕節(jié)與跨年接踵而來，搭配 EDM 與 Phishing 一起出現(xiàn)。但是 2019除了第四季度外，在四月及六月類型的攻擊也都有明顯上升的跡象。

3. 郵件附件類型

攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">

電子郵件中，常用的附件類型，可能被用以攻擊的機(jī)率大概有多少呢?我們統(tǒng)計(jì)了2018、2019年的數(shù)據(jù)，最常用來攻擊的辦公文件為Word文件 (注：凡含有不當(dāng)目的的Word文件皆從嚴(yán)認(rèn)定)，其次為Excel文件;多數(shù)操作系統(tǒng)都可以直接支持ZIP解壓縮，因此ZIP壓縮格式較常被用來夾帶惡意文件。

4. APT攻擊郵件

攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">

攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">

2018 年 APT 攻擊郵件最常見的是 Office 漏洞利用的手法，較常被利用的漏洞編號(hào)分別是 OLE 漏洞 (CVE-2014-4114) 與方程式漏洞(CVE-2017-11882)。

2019 年 APT 攻擊郵件最常見利用的Office漏洞編號(hào)為CVE-2014-4114、CVE-2018-0802、CVE-2017-11882，大致上承繼了 2018 年的利用情況。

5. 詐騙郵件

攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">

攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">

2018 年的 BEC 與 419 詐騙占比大約各占一半。2019 年 BEC 與 419 詐騙占比發(fā)生了不一樣的變化，BEC 詐騙與 419 詐騙郵件總量相較 2018 年的總量下降;雖然 BEC 詐騙郵件下降的幅度高于 419 詐騙，并不表示 BEC 詐騙的風(fēng)險(xiǎn)跟著下降了。相反，BEC 詐騙郵件顯得更有策略性，不會(huì)過早介入商談中的交易，也減少接觸不必要收到 BEC 郵件的人員，大幅提高 BEC 詐騙的成功機(jī)率。

重要趨勢(shì)

1. 信任來源飽受挑戰(zhàn)

電子郵件的可信度，在近年來不停地受到挑戰(zhàn)，尤其 BEC 事件高發(fā)的情況下，對(duì)于郵件中提及異常的變更事項(xiàng)，都需要特別留意，尤其是匯款賬號(hào)的變更，一定要通過電子郵件以外的渠道再次進(jìn)行確認(rèn)。

其次需要特別注意的是在電子郵件內(nèi)的超鏈接。并不是超鏈接帶有可信賴的域名，就表示這樣的超鏈接不帶有威脅!也不是所有惡意的超鏈接都必然會(huì)下載惡意軟件，或需要被攻擊者配合輸入賬號(hào)密碼相關(guān)數(shù)據(jù)，畢竟，并非所有人使用網(wǎng)絡(luò)服務(wù)都會(huì)隨手注銷。在 2017 年開始出現(xiàn)釣魚郵件結(jié)合 Google OAuth，就是企圖蒙騙收件人通過點(diǎn)擊一個(gè)共享文件的鏈接，授與攻擊者存取Google App 的權(quán)限，如今類似的手法也開始出現(xiàn)在Office 365。

最后，白名單一定要慎用，看似來自熟悉的同事、供應(yīng)商的郵件，也有可能隱藏惡意攻擊!

供應(yīng)鏈攻擊是國(guó)家級(jí)資助的 APT 攻擊常用的手段。攻擊者的主要目標(biāo)可能具備了很高的警戒意識(shí)與防護(hù)能力，因此攻擊者可從主要目標(biāo)的合作對(duì)象下手，之后再通過主要目標(biāo)對(duì)合作對(duì)象的信任，直接穿過各種防護(hù)措施進(jìn)行攻擊。

攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">

(合法域名空間遭到濫用的實(shí)例)

2. 釣魚郵件與詐騙郵件泛濫

2019 年電子郵件中，帶有惡意鏈接的數(shù)量，大約是 2018 年的 2.8 倍。釣魚郵件為了取信收件人點(diǎn)擊，多半會(huì)使用一些當(dāng)?shù)鼗谜Z(yǔ)及社交工程的手法。由于釣魚郵件主要目的是騙取網(wǎng)絡(luò)服務(wù)的賬號(hào)密碼或其他機(jī)密數(shù)據(jù)，因此多半在點(diǎn)擊之后，會(huì)通過瀏覽器連往一個(gè)收集這些機(jī)密資料的釣魚網(wǎng)站或釣魚窗體，再誘騙受害者輸入其機(jī)密數(shù)據(jù)。

瀏覽器的開發(fā)商也注意到類似的問題，于是紛紛在網(wǎng)址列加入了檢查與提醒的功能，希望能藉此保護(hù)使用者。然而攻擊者也開始改變做法，在電子郵件中直接夾入一個(gè)惡意的靜態(tài) HTML 頁(yè)面，誘騙收件人填入機(jī)密數(shù)據(jù)，但是這個(gè)頁(yè)面通過瀏覽器打開時(shí)，網(wǎng)址列顯示的是本地端的儲(chǔ)存地址而非遠(yuǎn)程的釣魚網(wǎng)站。當(dāng)收件人填完數(shù)據(jù)按下發(fā)送后，瀏覽器即以 POST 搭配加密聯(lián)機(jī)的方式，將機(jī)密數(shù)據(jù)送往釣魚網(wǎng)站，這樣的釣魚手段能略過多數(shù)的瀏覽器保護(hù)措施。這類型的攻擊郵件，在 2019 年第四季度大量出現(xiàn)。

攻擊" title="郵件安全/網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊">

(惡意的靜態(tài)HTML釣魚郵件)

3. Office 文件漏洞充滿威脅

屢試不爽的Office 文件漏洞，一直是攻擊者愛用的武器之一。除了作業(yè)人員、防病毒軟件對(duì)文檔的警覺性較低外，許多人所使用的Office 不會(huì)經(jīng)常性更新。除了公司預(yù)算的問題外，原本就使用了非正版Windows，或擔(dān)心兼容性、使用上的適應(yīng)性，以及缺乏漏洞修補(bǔ)的概念，都是使用者不愿更新的原因。

根據(jù) ASRC 的統(tǒng)計(jì)，2018 年最常見的郵件漏洞利用攻擊為 OLE 漏洞 (CVE-2014-4114) 與方程式漏洞(CVE-2017-11882)。2019 年，CVE-2014-4114 仍持續(xù)被利用，且在第三季度爆發(fā)大量的攻擊樣本，主要目標(biāo)產(chǎn)業(yè)為電子、食品、醫(yī)療相關(guān)產(chǎn)業(yè);CVE-2018-0802 則做為 CVE-2017-11882 其后續(xù)的衍生變形攻擊持續(xù)存在。2020 年初剛剛被披露的 CVE-2020-0674 及其后續(xù)影響力，我們也將持續(xù)關(guān)注。

結(jié)論

2020年是5G基礎(chǔ)建設(shè)部署、成熟加速的一年，隨著整體網(wǎng)速的加快，移動(dòng)應(yīng)用服務(wù)將更趨復(fù)雜化，因此，個(gè)人信息遭到刺探、外泄的速度與規(guī)模、攻擊的速度及頻率，都會(huì)跟著大幅提高;而惡意軟件也可以不必再拘泥文件大小的限制，更可朝功能完備的方向發(fā)展;加上量子計(jì)算機(jī)、云計(jì)算的推波助瀾，信息安全事故的發(fā)生與危害程度可能是過去難以想象的。電子郵件仍會(huì)是網(wǎng)絡(luò)攻擊重要的入侵渠道，單純的賬號(hào)密碼防護(hù)力漸趨薄弱，多因素驗(yàn)證已是勢(shì)在必行。