如何识别已被病毒感染的电邮?

奥利维亚·莫雷利 评价 - -

垃圾电邮和网络钓鱼是犯罪分子取得不义之财两个最有效的技巧。随着人类越来越依赖技术,特别是互联网,我们注意到网络罪犯如何团结成为有组织的犯罪集团,并努力地进行恶意的项目,从无知的受害者手中骗取钱财。事实上,有专家认为,无组织的犯罪行动已经不复存在。

It is hard to recognize phishing emails

虽然许多人会认为网络犯罪分子是超级黑客,他们知道如何使用代码来突破安全系统,甚至远程控制用户的计算机,但实际情况是截然不同的。在大多数情况下,这些网络犯罪分子只是使用了社交工程  方法来诱骗用户在计算机上安装恶意软件的技术骗子而已。垃圾邮件和网络钓鱼在恶意软件的滥用是最好的证据,而实际上这个可以被定义为网络犯罪的逻辑演变。

事实上,欲对计算机网络展开攻击,并无需花费数小时的时间来制造精细的攻击计划,而是只需说服一个无知的员工打开一个看起来像某人简历的电邮附件即可。这种技术被证明是高效的,并大大加速了恶意软件的分布。举个例子,2017 年被广泛地认可为勒索软件年。2017 年第一季度,93% 的网络钓鱼电邮都含有勒索软件的事实 证明了这一点。显然,有理由相信 2017 年垃圾邮件和网络钓鱼的数量将会更多。

恶意垃圾邮件的示例

带有恶意软件的电邮是迄今为止最有效的攻击载体 。垃圾邮件发送者可以快速利用正在进行的事件(体育赛事、销售、税收季节等),发送数十万个主题电邮讯息,而一些技巧则是可以全年使用。以下提供的示例显示了通常用于传播恶意软件的网络钓鱼电邮。希望这些例子对你今后识别网络钓鱼邮件有帮助,让你更加质疑不明人士所发电邮的可靠性。

示例 1:简历或求职的电邮

附带简历的网络钓鱼电邮通常会发送给进行招聘决定的招聘专员、经理或公司老板。这类的电邮通常只含有几行文本,邀请收件人打开所附的简历。通常,骗子希望这些网络钓鱼电邮在试图感染特定公司或医疗保健组织时具有说服力。这些电邮主要用于 CryptoWall 3.0 、GoldenEye、和 Cerber 垃圾电邮活动。请在下面查看这些网络钓鱼电邮的示例。

示例 2:声称来自电子商务巨头亚马逊的网络钓鱼电邮

网络犯罪分子喜欢使用仿冒的电邮发送看似合法的伪造电邮来欺骗亚马逊用户,这类的网络钓鱼电邮被用来骗取受害者的钱财,或者传送带有严重计算机病毒的恶意电邮附件。举个例子,诈骗者使用了 auto-shipping@amazon.com 电邮地址来发送数以千计含有 Locky 勒索软件 的电邮,这些电邮含有这类的主题行:“您的亚马逊订单已送出(#订单号码)”,并附带了一个含有恶意 JS 文件的 ZIP 附件,这个附件一旦被打开,勒索软件就会从某个网站 下载。下面你将看到传送 Locky 恶意电邮的示例,以及从 Spora 分布活动取得的分析。

Amazon email scams

示例 3:发票

另一个非常成功地帮助推动 Locky 勒索软件发布的技术则是一封含有名为“ATTN:发票 – [随机代码]”附件的网络钓鱼电邮。这些具有欺骗性的电邮在讯息正文里含有几行文本,要求受害者“参阅随附的发票(Microsoft Word 文档)”,问题是这个 Word 文档实际上含有一个通过宏指令激活的恶意脚本。以下是所述钓鱼邮件的一个例子。

Malicious emails distributing Locky

示例 4:利用主要体育赛事主题的垃圾邮件

热爱运动?那么你必须小心以运动为主题的垃圾邮件。最近,来自卡巴斯基的研究人员注意到了针对用户对欧洲足球锦标赛、即将在 2018 年和 2022 年举行的世界杯以及巴西的奥运会感兴趣的电邮有所增加 的情况。这些电邮附带了恶意 ZIP 存档,里头含有 JavaScript 文件形式的木马程序(恶意软件下载程序)。据专家指出,该木马程序已被设置在计算机下载更多的恶意软件。请参阅下面的恶意讯息示例。

Malicious spam targeting FIFA fans

示例 5.:以恐怖主义为主题的垃圾邮件

网络诈骗者并没有忘记恐怖主义是让人感兴趣的主题之一,因此这个主题在恶意垃圾邮件也被使用是毫不出奇的。以恐怖主义为主题的垃圾邮件并不是诈骗者最喜爱的其中一个,但你必须知道接下来会发生什么事情。我们在下面提供了这类电邮的例子。据报道,这种类型的垃圾邮件通常是用来窃取个人数据、进行 DDoS 攻击和传播恶意软件。

Terrorism-based phishing emails

示例 6:提供“安全报告”的电邮

研究人员还发现到了另一个分布恶意 Word 文档的电邮活动。原来这些文档含有已经受到感染的宏指令,一旦受害者激活所需的功能,CryptXXX 勒索软件就会被下载并运行。这些电邮的主题行中含有这样的一行:“安全漏洞 – 安全报告#[随机代码]”。这个讯息含有含受害者的 IP 地址和计算机的位置,让受害者以为它是真实和值得信赖的。这个讯息以不存在的威胁(例如表面上已被阻止的安全漏洞)对受害者发出警告,并建议检查附在该讯息的报告。当然,附件是恶意的。

Phishing emails delivering ransomware

示例 7:据称由合法公司发送的恶意垃圾邮件

为了说服受害者打开附在电邮的文件,诈骗者会进行伪装。欺骗用户打开恶意附件的最简单方法是创建一个具有欺骗性的电邮帐户,这个账户几乎与合法公司所拥有的电邮一模一样。诈骗者以此类虚假的电邮帐户,很好地编写了附带含有恶意有效载荷附件的电邮。以下的例子显示了假装在 Europcar 工作的诈骗者所发送的电邮。

Scammers impersonate Europcar employees

以下提供的示例显示了对 A1 Telekom 公司客户进行攻击时所使用的讯息。这些网络钓鱼讯息含有恶意的 DropBox URL,带来恶意的 ZIP 或 JS 文件。进一步的分析显示,这些文件含有 Crypt0l0cker 病毒

Mail spam targeting A1 Telekom users

示例 8:来自老板的紧急任务

最近,诈骗者开始使用一个新的手段,这个手段让他们在几分钟内就可以从无知的受害者手中骗取钱财。想像一下,你收到了老板的一封电邮,说他/她正在度假,你需要马上付款给一家公司,因为很快你将无法联络到老板 。可悲的是,如果你急于服从命令,而没有检查小细节,那么你最终可能会将公司的资金转移给犯罪分子,甚至更糟的是,让恶意软件感染整个计算机网络。另一个可以说服你打开这种恶意附件的伎俩是假装成你的同事。如果你在一家大公司工作,你不认识所有的同事,这个技巧可能会很成功。你可以在下面看到几个这样的网络钓鱼电邮的例子。

Task from boss spam

示例9:以税务为主题的钓鱼

诈骗者会跟着不同国家和地区的税收时间, 不会错过任何以税务为主题的垃圾邮件活动来分布恶意程序的机会。他们使用各种社会工程策略来诱骗可怜的受害者下载随着这些欺骗性虚拟信件而来的恶意文件。这些附件主要带有银行木马程序(键盘记录器),一旦安装,受害者的个人信息就会被窃取,比如名字、姓氏、登录名、信用卡信息和类似数据。恶意程序可以在恶意电邮附件或讯息中的链接里等待。以下,你会看到一封提供税款假收据的电邮,这个实际上是木马程序。

Income Tax Receipt virus

诈骗者也试图吸引用户的注意力,声称有一个针对他们的有待执法的行动,强制他们打开恶意附件。该讯息说明他们需要做些“有关来自国税局的传票”的事情。当然,该附件根本不是传票,而是一个会在受保护视图中打开的恶意文档,并要求受害者启用编辑。然后,文档中的恶意代码就会将恶意软件下载到计算机。

Tax Subpoena scam

最后一个例子显示了诈骗者如何尝试欺骗会计师打开恶意附件。电邮似乎来自寻求注册会计师协助的人,当然,它含有一两个附件。这些只是典型的恶意 Word 文档,一旦受害者打开它们,即可激活脚本并从远程服务器下载恶意软件。

Tax Phishing

如何识别恶意电邮并保持安全?

如果你想避开恶意电邮,你必须遵循一些主要原则。

  • 请把垃圾邮件夹抛在脑后。电邮会进入垃圾邮件夹是有原因的,这意味着电邮过滤器自动识别出相同或相似的电邮已发送给数千人,或者大多数的收件人已经将这些邮件标记为垃圾邮件。只有非常非常罕见的情况下,合法的电子邮件才会被归类为垃圾邮件,因此你应该远离垃圾邮件夹。
  • 在打开电邮之前先检查发件人。如果你不确定发件人,请勿与此类电邮的内容进行互动。即使你有抗毒软件或反恶意软件程序,也不要点击讯息里的链接,以及不要打开附件文件。请记住,如果你恰好是病毒开发人员的首选目标之一,那么即使是最好的安全程序也无法识别出全新的病毒。如果你不确定发件人,你可以随时向发件人声称的公司致电,询问你刚刚收到的电邮。
  • 让你的计算机安全保持在最新的状态。不要在系统上持有旧程序是很重要的,因为它们通常都存有安全漏洞。为了避免这种风险,请启用自动软件更新。最后,使用一个良好的反恶意软件程序来防止恶意程序。请记住,只有最新的安全程序可以保护你的计算机。如果你使用的是旧版本,并且如果喜欢延迟安装其更新,你很摆明地允许恶意程序在没有通过识别和阻止的情况下快速进入计算机。
  • 不必点击网址就查看网址是否安全。如果你收到的电邮含有可疑的网址,请将鼠标悬停在它上面以检查其有效性。然后查看网页浏览器的左下角,你应该会看到你将被重定向到的真实网址。如果网址看起来可疑,或以 .exe、.js 或 .zip 结尾,请不要点击它!
  • 网络犯罪分子的书写能力通常很差。因此,他们通常无法在没有拼写或语法错误的情况下撰写一封短信。如果你注意到某些信息,请远离置入到邮件中的 URL 或附加的文件。
  • 不要仓促行事!如果你发现发件人急切地要求你打开附件或一个特定的链接,那么在打开之前先考虑清楚,附件可能含有恶意软件。

关于作者

Olivia Morelli
Olivia Morelli

恶意软件分析员...

联系 Olivia Morelli
关于 Esolutions 公司

以其他语言阅读