垃圾邮件来源分析,配置防火墙是关键

2016/08/04

有江湖的地方就有对决,从针尖对麦芒到针锋相对,无不体现长者对它的描绘;在这个经济驱使的年代下,博弈与“PK”已成为人们的家常便饭,尤其在安全领域这样的矛盾尤其突出。病毒与反病毒、黑客与反黑客、垃圾邮件与反垃圾邮件总是相互交错,此消彼长,推动安全产业车轮向前撵行。

博弈横生的街机游戏

虽然垃圾邮件在名称类别或者威胁技术上没有太大的突破,但是随着云计算与虚拟技术的不断应用,其发送形式也有新的突破,在金钱驱动下的黑客也动用大量的“智囊团”做了比较考究的手脚。

现状:垃圾邮件比率保持稳定 “包裹”形式各异

2009年是一个新闻热点爆发,事件相对集中的一个年度,垃圾邮件在 2009 年经历一番起伏之后,最近数据显示,全球垃圾邮件数量又回落到 2008 年中期的水平。据相关数据显示,垃圾邮件数量在 2009 年第四季度与2010年第一季度之间保持相对稳定,仅增加约 5%。在一月到三月之间,垃圾邮件流量平均约为每天 1390 亿封,占所有电子邮件流量的 89%。在2010年第一个季度中,每天的垃圾邮件数量为 1330 亿封。

全球垃圾邮件数量及其占邮件总量的比率

从数据来看,虽然垃圾邮件比率保持稳定,但邮件主题在不同国家存在着极大的差异。2010年第一季度最大变化就是在中国、韩国和越南检测到大量的办证垃圾邮件,这些邮件旨在推销伪造证件,以便在求职或其他情况下提供假的资历证明。在新加坡、香港和日本,指示预防性邮件过滤功能可能出现问题的“投递状态通知”垃圾邮件陡增。性药和男性增强方面的邮件构成了本季度垃圾邮件的绝大部分,占垃圾邮件流量的 71% 以上。包含通用信息的电子邮件远远地排在第二位,仅占垃圾邮件流量的 10%。兜售教育或学位以及个人广告的垃圾邮件分别不到 2%。

金钱成为诱导黑色产业链蓬勃发展的导火线,而垃圾邮件则成为黑客老大们容易得到的操控手柄,随着这种形势不断加剧,垃圾邮件也变得越来越聪明。从内容上来看,追踪社会热点与暴利行业邮件成为垃圾邮件的特色;从形式上来说,垃圾邮件已经和病毒“打包”四处延伸,寄托着可执行文件、压缩包、PDF甚至是图片。

趋势:云计算与虚拟化等普及 留给垃圾邮件更多空间

随着互联网技术的发展,云计算、虚拟化、中文域名,IPv6国际化的来临,新安全风险逐步凸显,这同样给垃圾邮件留下了很大的空间。根据国家互联网应急响应中心提供的数据,2006年中国黑色产业链的产值是2.6亿,而到2009年却狂增到了100亿!有人还形象地将贩卖病毒比喻成“比贩毒还赚钱的买卖”。

中国市场垃圾邮件内容所占总数比例

相信云计算的人会这么认为:“在未来,我只需要一台笔记本或者一个手机,就可以通过网络服务来实现需要的一切,甚至包括超级计算这样的任务”。没错,这就是科学技术回报给人类的辛勤劳动,昨天我们看作是“乌托邦”的东西,今天就可能像锅碗瓢盆一样随处可见。今日的因特网提供了范围更广、内容更深入的全新技术,例如:IPv6、云计算、虚拟化等等。

云计算时代给我们送来了一幅美好的蓝图,但是,由于无法清晰定义网络边界,云端内部署的应用程序与操作系统带来风险也将加剧。黑客将有可能获取云中所有终端的控制权,从而实现更大规模的Bot 网络(僵尸或蠕虫网络),并将其出让给其它的网络犯罪集团,使得黑色产业链中的犯罪分子更容易拓展业务(也就是散播恶意程序)。攻击者有可能以恢复的云端主机营运为条件,要求企业给予小额“捐款”,犯罪分子这种近似乎嚣张的攻击方式已经上演。

随着云计算时代的临近,在金钱利益驱使下,不论是“公有云”或是“私有云”都将成为垃圾邮件与反垃圾邮件阵营的主战场。这使得垃圾邮件更大批量的发布成为一种发展中的可能事件。

20大常见垃圾邮件类别及其发展趋势

垃圾邮件已经发展为形式多样的病毒式传播方式,选择其中 20 个常见类别来对这些垃圾邮件分析述如下:

419 诈骗(预先付费诈骗):一种信心游戏,其中某人试图向由于悲剧故事或奖金承诺而愿意付出的受害者骗取金钱。此类诡计一般附带某些看起来很正式的文件。这些类型的邮件往往来自提供免费电子邮件帐户的主机,但也看到这些邮件来自被感染主机的趋势正在上升。

彩票:您的电子邮件地址已从我们的数据库中随机选中获得现金大奖,您只需给我们发送 3000元即可完成奖金领取事宜。这是另一种形式的信心诈骗。

产品:任何试图销售制成品(一般为仿制皮包或珠宝)的未经请求的垃圾邮件。这些邮件不是来自合法公司,往往与僵尸网络活动相关。

成人用品:推销色情内容(一般为 DVD 电影或下载网站)的垃圾邮件。按数量来计算,色情内容在垃圾邮件中所占的比率并没有大多数人想象的那么大,但是一封色情电子邮件对收件人的影响却比其他类型的垃圾邮件高一个数量级,并且其产生申诉的概率仍然更高。

第三方:这些邮件介于营销和产品垃圾邮件之间。此类垃圾邮件的一方是合法公司,收件人可能无意中选择了允许合作伙伴广告商向他们发送电子邮件。电子邮件列表也可能购自即将倒闭的企业,或在某些情况下隐私声明允许公司出售客户电子邮件地址。免费 T 恤、保险推荐和医疗设备全都是常见的示例。

赌博:这些电子邮件宣传在线赌博。它们往往与僵尸网络活动相关,并要求受害者下载和安装软件才能玩游戏。

恶意软件:带病毒或特洛伊木马附件或敦促您访问被感染网站的任何东西。常见的示例包括“UPS 跟踪编号”和“Conficker.B 感染警报”。

发送状态通知 (DSN) :也称为“未送达回执”。这些邮件可能是合法的,但一般是弹回到某个伪造“发件人”地址的垃圾邮件。较高比率的发送状态通知邮件可能表明有大量单独维护的电子邮件服务器。

工作机会:大多是 419 诈骗或信心诈骗的形式。它们掠夺失业或就业不足的人,通过支票欺诈或诱使他们洗钱或执行合法性存疑的活动来骗取他们的钱财。

股票:“拉高出货”(pump and dump)股票操纵机制的一部分。某人购买低价垃圾股,然后发出许多垃圾邮件造成虚假需求,从而使垃圾邮件制造者高价卖出股票获利。

寂寞女人:通常采用信心诈骗的形式。犯罪分子(也许是假装为女性的男性)试图通过银行帐户从受害者处获取与该笨蛋“约会”所需的机票、海关、食物、旅行或其他开支的钱。俄罗斯新娘垃圾邮件是其中最常见的形式。

简讯:收件人注册接收的一种信息型电子邮件。简讯也许不直接销售产品,但是往往用煽情的措辞和闪烁文本来敦促客户。示例包括来自新闻公司的警报或来自讨论列表的更新。

名单:提供联系人名单,如您所在区域的医生名单或牙医名单。

软件:试图将原始设备制造商(OEM)许可证作为单独许可证出售,或试图以大幅打折的价格出售软件的破解副本。

社交网站(SNS):由社交网站生成并发送给订阅者。此类网站往往向某个用户的整个通讯薄发送未经请求的电子邮件,一般不会向订阅者发出警报。尽管此类垃圾邮件式的行为不受欢迎,但我们的数据收集并没有对请求或未经请求的社交电子邮件进行区分。

网络钓鱼:任何开始从受害者处提取个人信息这一过程的电子邮件。突出的示例包括要求您提供用户名和密码的银行警报。

文凭:提供假冒文凭网站,其中客户可以请求能“证明”他们从某学校毕业的伪造文件。这些不是合法学术机构,不能代表实际学历。通常与僵尸网络活动相关。

药品:此类别包括伪造的加拿大制药企业垃圾电子邮件(一般来自中国主机)、a鏰i-berry 垃圾邮件、营养添加剂等。这些邮件一般与僵尸网络相关,但是也可能来自向某些其他国家/地区发送邮件的托管Web服务器场。

营销:向选择接收邮件的收件人宣传或推销产品。其中的示例包括航空公司或旅行社向收件人发送旅行线路列表。这些电子邮件是第一方广告,意味着收件人应该知道他们为什么收到该电子邮件。这些邮件不同于第三方广告,后者将在稍后讨论。

钟表:此类邮件很容易区分,是最常见的产品垃圾邮件形式。

反垃圾邮件防火墙 你准备好了吗?

面对上文中分析的一些情景,会感觉到垃圾邮件在互联网环境中的肆意横虐。目前所有IT的投资都是用来产生信息、存储信息及有效传播信息,电子邮件已经成为商业社会信息传播的主要手段之一,据预测电子邮件将在未来五年成为增长最快的互联网应用,而企业资源正在不断被病毒、垃圾邮件及各类攻击所侵犯,使得邮件系统无法成为企业真正的信息中枢,破坏各类企业资源,对企业进一步发展造成了极大损失。

在所有的邮件中,超过50%是垃圾邮件,也就是说每天在世界上有超过150亿封垃圾邮件被发送出去,使各类企业每年遭受到200亿美元以上由于劳动生产率下降及技术支出带来的损失,垃圾邮件正在对每个企业造成越来越大的危害。相关数据显示,垃圾邮件流量平均约为每天 1390 亿封,占所有电子邮件流量的 89%。在2010年第一个季度中,每天的垃圾邮件数量为 1330 亿封。

在这种情况下,很多企业都不会傻到愿意每天收一半的垃圾邮件,大家开始寻求各种各样的垃圾邮件防火墙,因为一般来说,硬件防火墙和软件防火墙相比,有着明显的优势:硬件防火墙采用专用的硬件设备,然后集成生产厂商的专用防火墙软件。从功能上看,硬件防火墙内建安全软件,使用专属或强化的操作系统,管理方便,更换容易,软硬件搭配较固定。硬件防火墙效率高,解决了防火墙效率、性能之间的矛盾。

垃圾邮件与反垃圾邮件防火墙之间的博弈将继续一段时间,在金钱利益的驱使下垃圾邮件将更加靠近新闻热点与暴利行业,而反垃圾邮件防火墙的出现在某种程度上规避了企业中的信息炸弹。但是,在笔者采访的几家传统企业中,由于其信息化水平的平淡,企业对垃圾邮件的认识还是不够,他们认为垃圾邮件仅仅是简单的邮件电子化。随着云计算与虚拟化技术的不断深入,垃圾邮件背后的“黑手”以及反垃圾邮件软件面临黑客的狡猾手段,这是企业用户以及安全厂商必须攻克的问题。

Write a comment

Name
Comment