卡巴斯基实验室：2019 年垃圾邮件和网络钓鱼趋势报告

一、年度数据

1、2019年垃圾邮件占邮件流量的56.51%，比2018年上升4.03个百分点。

2、今年垃圾邮件的最大来源是中国（21.26%）。

3. 在垃圾邮件中，44% 的邮件小于 2KB。

4. 在恶意垃圾邮件中，最常检测到的恶意文件是Exploit.MSOffice.CVE-2017-11882。

5. 今年，我们的反钓鱼系统被触发了 467,188,119 次。

6. 17% 的独立用户遇到过网络钓鱼。

2、年度趋势

2.1 利用热点话题

2019 年，攻击者比以往任何时候都更积极地使用主要体育和电影主题作为诱饵来获取用户的财务或个人数据。 攻击者经常使用电视节目、电影和体育广播的首映式来引诱人们通过观看“非官方”资源来省钱。

搜索“免费观看最新的 X”（其中 X 代表复仇者联盟、权力的游戏、斯坦利杯、美国公开赛等）会生成指向声称提供这些资源的各种站点的链接。 点开这些资源后，确实可以观看内容，但是播放几分钟后，会突然停止。 要继续观看，系统通常会提示您创建一个免费帐户（仅限电子邮件地址和密码）。 但是，当单击继续按钮时，网站会要求提供额外的身份验证信息。

在这里，不仅包括以前的信息，还包括卡的详细信息，包括卡背面的三位数安全码 (CVV)。 网站管理员保证不会从卡中扣除任何资金，并且仅需要此数据来确认用户的位置（从而验证查看内容的权利）。 然而，诈骗者并没有继续提供内容资源，而是将信息收入囊中。

攻击者还使用了一些新的小工具作为诱饵。 例如，网络犯罪分子会创建模仿 Apple 官方服务的虚假页面。 Apple 发布新产品后，此类虚假网站的数量急剧增加。 攻击者会诱导用户点击链接并在钓鱼页面上输入自己的AppleID凭证，而这部分凭证信息就是攻击者的目标。

2.2 利用流行资源

2019 年，诈骗者利用热门来源和社交网络传播垃圾邮件并销售不存在的商品和服务是攻击者采用的新方法。 他们积极利用 Youtube 和 Instagram 的评论部分，发布包含潜在恶意页面链接的广告。 同时，攻击者创建了许多社交媒体帐户，通过评论流行博客的帖子来宣传他们。

为了提高可信度，攻击者在热门话题的帖子上留下了许多虚假评论。 随着该帐户继续受到关注，攻击者开始发布一些有关促销的信息。 例如，以较低的价格销售品牌商品。 受害者在购买后收到廉价的假冒商品，或者根本没有收到任何商品。

其他骗局已与知名人士的 Instagram 帐户相关联。 攻击者会伪装成这些明星，并要求粉丝填写调查表以获得现金奖励或参加抽奖活动。 自然要参加这次的抽奖活动，需要先交纳少量的费用。 网络罪犯收到钱后，账户就消失了。

除了通过社交网络上的评论分发链接外，诈骗者还使用谷歌服务作为另一种发送方式——通过谷歌日历发送会议邀请，或从谷歌相册发送通知（用户分享了一张图片）邮件诈骗 视频 比特币，或包含虚假促销的恶意链接，调查或评论中的赠品。

攻击者还使用其他谷歌服务——包括在欺诈性电子邮件中指向谷歌驱动器和谷歌存储中文件的链接，垃圾邮件过滤器并不总能捕捉到这些服务。 一旦用户点击这些链接，它就会打开一个包含广告软件的文件，该文件会指向一个网络钓鱼站点，或者指向另一个收集个人数据的表亲所在的链接。

虽然谷歌和其他企业继续努力保护用户免受诈骗，但诈骗者总是试图寻找新的漏洞。 因此，针对此类攻击，用户的主要防御措施是仔细观察来自未知发件人的邮件。

2.3 恶意交易

在第一季度，自动清算所 (ACH) 客户在美国境内使用的电子资金转账系统成为攻击者的目标。 攻击者发送有关付款或欠款状态的虚假 ACH 通知电子邮件。 一旦用户点击链接或打开附件，就有感染恶意软件的风险。

2.4 购买比特币

诈骗者仍然对加密货币表现出浓厚的兴趣。 除了模仿知名的加密货币交易所提供虚假交易外，网络犯罪分子也开始改变主意，提供一些有利可图的汇率来引诱用户到他们的交易平台，但在这个过程中窃取用户的数据或金钱。

2.5 加密货币和勒索

2018 年，网络犯罪分子仍然通过谎称恶意软件可以泄露用户信息来敲诈用户，但在 2019 年，攻击者开始打着 CIA 等机构的幌子，发送电子邮件声称用户涉案，或者声称用户涉嫌转发未成年人色情图片以达到诈骗目的。

在电子邮件中，诈骗者声称此案是一项国际行动的一部分，该行动已导致全球 27 个国家/地区的 2,000 多名疑似恋童癖者被捕。 然而，“代理人”恰好知道收件人是一位声誉相对较好的知名人士，如果他愿意，可以换取等值 10,000 美元的比特币来修改或销毁文件。 邮件中往往会提供受害人的相关信息，使邮件更具可信度，而这部分信息是提前从社交网络和论坛获取的。 对于一些比较在意个人名誉的用户来说，这笔钱是一个比较小的代价。

当面临类似的威胁时，一些企业法人会陷入更加绝望的境地。 但是，就他们而言，攻击者并没有使用色情问题进行诈骗。 勒索者经常向他们的公共电子邮件地址或通过在线提交表格发送消息，从公司勒索比特币。 如果不支付相应数量的比特币，攻击者威胁要以公司的名义发送数百万封垃圾邮件。 网络犯罪表示，这将导致 Spamhaus 项目将该公司的电子邮件域识别为垃圾邮件发送者，并永久阻止从该公司域发送的电子邮件。

2.6 针对企业中的特定部门

针对企业特定部分的攻击的增长趋势不仅反映在网络勒索的分类中。 通过反馈表发送垃圾邮件会损害许多公司的声誉。 攻击者之前曾使用此类表格来攻击公司员工的电子邮件，但在 2019 年期间，网络犯罪分子改进了他们的方法。

这允许攻击者使用精心设计的脚本绕过验证码系统，并在发现网站存在安全漏洞时通过反馈表启用大量用户注册。 攻击者会在用户名字段中插入消息文本或链接。 这将导致受害者收到来自合法发件人来源的注册确认电子邮件，但其中包含来自诈骗者的信息。 而且，合法企业通常不知道此类攻击。

攻击者还可以利用为合法邮件列表提供自动通知服务的邮件，攻击者小心地将消息伪装成新语音消息或新电子邮件的通知，但表明该消息在传递队列中暂时被阻止。 要访问这些电子邮件，员工必须验证他们的身份，这将导致员工帐户最终落入攻击者手中。

诈骗者还在设计新的方法来诱骗毫无戒心的员工泄露公司机密数据。 例如，攻击者发送电子邮件紧急确认公司帐户详细信息或付款信息，其中包含一个链接。 如果用户点击此类钓鱼邮件，其帐户的身份验证数据将直接发送给网络罪犯。

另一项针对企业部门的攻击使用了更复杂的方案，攻击者试图诱骗电子邮件收件人以公司管理层的名义要求进行绩效评估，以换取加薪。

这些消息假装来自人力资源，包括详细说明和指向虚假评估表的链接。 但是，收件人必须在完成该过程之前输入一些详细信息。 在大多数情况下，指定的电子邮件地址必须是公司地址。 单击“登录”或“评估”按钮后，输入的凭据将转发给攻击者，使攻击者可以访问业务信函、个人数据和潜在的机密信息，这些信息以后可能会被用于勒索或出售给竞争对手。

攻击者有一个更简单的方案，即根据公司使用的服务发送网络钓鱼电子邮件。 最常见的电子邮件是来自人力资源招聘平台的虚假通知。

3.统计：垃圾邮件

3.1 垃圾邮件在邮件流量中所占比例

2019年，垃圾邮件占邮件流量的比例上升了4.03个百分点，达到56.51%。

2019 年全球邮件流量中垃圾邮件的份额：

其中，占比最低的记录出现在9月份（54.68%），占比最高的记录出现在5月份（58.71%）。

3.2 垃圾邮件来源国家分布

与 2018 年一样，中国在 2019 年继续保持垃圾邮件来源第一的位置。其份额比 2018 年增加了 9.57 个百分点，大幅增加至 21.26%。 中国仍然领先于美国（14.39%），美国在 2019 年增长了 5.35 个百分点。第三位是俄罗斯（5.21%）。

巴西排名第四（5.02%），巴西（3.00%）下降1.07个百分点后排名第五，与上年基本持平的印度（2.84%）排名第六。 越南去年排名第四，但今年跌至第七（2.62%）。

德国从第三位跌至第八位（2.61%，下降 4.56 个百分点），土耳其和新加坡分别位列第九和第十。

2019年垃圾邮件来源国家分布：

3.3 垃圾邮件大小

2019年，最小邮件的占比继续增长，但与上年相比，增速并不大，仅为4.29个百分点，达到78.44%。 同时，2-5KB大小的邮件占比较2018年下降4.22个百分点，达到6.42%。

2019 年垃圾邮件大小分布：

较大电子邮件 (10 – 20 KB) 的份额变化不大，仅下降了 0.84 个百分点。 但是，垃圾邮件中20-50KB的垃圾邮件较多，占比4.50%，上升了1.68个百分点。 此外，大小为 50 – 100 KB 的电子邮件数量增加了近 1 个百分点，即 1.81%。

3.4 恶意电子邮件附件

2019 年十大恶意软件家族：

与上一年一样，2019 年恶意对象 Exploit.Win32.CVE-2017-11882 是最常见的恶意软件 (7.24%)。 该恶意对象利用了 Microsoft Office 中的一个漏洞，该漏洞允许在用户不知情的情况下执行任意代码。

其次是 Trojan.MSOffice.SAgent 家族 (3.59%)。 该家族的成员还对 Microsoft Office 用户发起攻击。 这种类型的恶意软件包含包含内置 VBA 脚本的文档，打开这些脚本时，会使用 PowerShell 秘密加载其他恶意软件。

Worm.Win32.WBVB 家族 (3.11%) 从第四位上升到第三位。 该系列使用 Visual Basic 6 Portable，并已被 KSN 归类为不受信任的可执行文件。

Backdoor.Win32.Androm.gen（1.64%）去年排名第二，今年跌至第四。 这种模块化后门通常用于将恶意软件下载到受害者的计算机上。

Trojan.Win32.Kryptik家族（1.53%）在2019年排名第五。该家族的分类包括一些反仿真、反调试和代码混淆木马，这些木马往往难以分析。

Trojan.MSIL.Crypt.gen (1.26%) 排名第六，而使用 PDF 将用户引导至潜在危险站点的 Trojan.PDF.Badur (1.14%) 升至第七位。

排在第八位的是另一个带有恶意 VBA 脚本的恶意 DOC/DOCX 文档——Trojan-Downloader.MSOffice.SLoad.gen (1.14%)，它可以将勒索软件下载到受害者的计算机上。

Backdoor.Win32.Androm排名第9，Trojan.Win32.Agent（0.92%）排名第10。

3.5 恶意邮件目标国家分布

与 2018 年一样，德国在 2019 年位居榜首。其份额几乎保持不变，占所有攻击的 11.86% (+0.35%)。 俄罗斯和越南并列第二（5.77%）。 俄罗斯在前一年也排名第二，而越南则从第六上升到现在的位置。

2019年恶意邮件针对的国家分布：

紧随其后的是意大利（5.57%），仅落后 0.2 个百分点，阿联酋排名第五（4.74%），巴西排名第六（3.88%），西班牙排名第七（3.45%）。 其他排名前十的国家是印度（2.67%）、墨西哥（2.63%）和马来西亚（2.39%）。

4.统计：网络钓鱼

2019年，卡巴斯基在用户电脑上共触发了467,188,119次反钓鱼系统，并对钓鱼实施了重定向保护。 这个数字比 2018 年减少了 15,277,092。总共有 15.17% 的用户受到攻击。

4.1 组织受到攻击

网络钓鱼攻击目标组织的排名主要基于用户计算机上反网络钓鱼系统中启发式组件的触发来计算。 当用户试图通过电子邮件或 Internet 上的链接访问钓鱼页面的链接时，卡巴斯基将确定该链接是否已添加到数据库中，并将检测所有未添加的链接实例。

网络钓鱼者针对的组织类别：

与2018年相比，本报告期内，银行类攻击占比最高，占比上升5.46个百分点至27.16%。 去年排名第一的互联网类别跌至第二位。 比重较上年下降3.60个百分点至21.12%。 支付系统仍位居第三，2019年份额为16.67，下降2.65个百分点。

2019年遭受钓鱼攻击的组织分布：

4.2 攻击地域分布

受攻击用户国家分布：

委内瑞拉（31.16%）今年受攻击用户占比排名第一。

2019年触发钓鱼系统的卡巴斯基用户百分比分布：

受攻击用户排名前十的国家及占比如下：

委内瑞拉 31.16%

巴西 30.26%

希腊 25.96%

葡萄牙 25.63%

澳大利亚 25.24%

阿尔及利亚 23.93%

智利 23.84%

留尼旺岛 23.82%

厄瓜多尔 23.53%

法属圭亚那 22.94%

去年排名第一的巴西（30.26%）今年排名第二，仅下降了1.98个百分点。 排名第一的国家是委内瑞拉（31.16%），从去年的第九位上升到第一位，上升了11.27个百分点。 排在第三位的是新来者希腊（25.96%）。

五、总结

2019 年邮件诈骗 视频 比特币，攻击者经常利用电视首映、热门体育赛事和新产品发布等话题作为诱饵，窃取用户的个人数据或金钱。

攻击者正在积极寻找绕过垃圾邮件过滤器的新方法，他们目前正在使用新的邮件投递方法。 2019 年，攻击者积极利用各种 Google 服务以及流行的社交网络 (Instagram) 和视频托管网站 (YouTube)。

网络犯罪分子继续以金融部门为目标，其目标是获取用户的个人数据、用恶意软件感染计算机或从受害者账户中窃取资金。

2019 年的主要趋势是针对企业部门的攻击活动显着增加。 此前，攻击者主要针对普通用户，这一方向的转变无疑给网络犯罪策略增加了新的复杂性。