資安廠商賽門鐵克今(19)日公布九月最新的垃圾郵件及網路釣魚統計報告,雖然垃圾郵件數量從上個月的92.51%,下降至89.40%有明顯減少,且是創自2008年首次新低,但釣魚網站依舊猖獗,單月成長達52%,尤其知名社群網站LinkedIn也淪為駭客偽裝的目標。
仿冒正牌網站,誘騙使用者登入帳號密碼,並趁機竊取資料或植入惡意程式的釣魚網站,之所以不斷成長,據觀察與現在越來越多可以自動製作釣魚網站的工具有關。
賽門鐵克表示,現在的駭客會把這些自動化工具跟釣魚網站做結合,大量製作來欺騙使用者。當使用者點選這些網站時,駭客就可能會收集資料,或是把惡意連結藏在這些垃圾郵件裡面。
九月份所有釣魚網站中,社交媒體的釣魚網站約佔2%,在此當中更發現有10個全球知名的社交網站已被偽冒。95%的社交媒體釣魚網站,主要針對兩大知名社交網進行偽冒,另外的八家社群網站包含一家俄羅斯及一家西班牙的知名網站。
賽門鐵克提醒,有兩大引誘手法值得留意,像是社交網站上的遊戲應用程式,透過告知用戶贏得大獎,並誘騙玩家登入釣魚網站確認獲獎時,進而竊取個人資料,其中又以撲克牌遊戲為最大宗。
另一手法則是,只要登入就可免費觀看色情網站的詐騙手法,其他還有如提供免費行動電話通話,都是近期廣受駭客喜愛的釣魚手法。
至於垃圾郵件的部份,從八月份開始已逐步下降。賽門鐵克認為,兩個可能導致垃圾郵件下降的原因,一是spamit.com關閉,以及近期Zeus駭客遭受逮捕的緣故,但McColo關閉後的現象若再重演,垃圾郵件在未來必定會再回升。
即使垃圾郵件大幅降低,網路安全威脅事件仍不斷上演,賽門鐵克強調,近來發現主旨為「here you have」的垃圾郵件帶有惡意連結,郵件裡提供一個下載PDF檔的連結,但此連結實際上是帶有W32.Imsolk.B@mm的惡意程式,一旦點擊下載後,就會感染該部電腦並竊取檔案。
