根據ASRC研究中心 （Asia Spam-message Research Center） 與守內安的觀察，2021年第三季度垃圾郵件總體數量并無明顯波動，但釣魚郵件仍然沒有平息。利用 CVE-2018-0802 程序漏洞偽裝成訂單郵件的攻擊，數量上相較上季略有趨緩，但仍需要特別留意；冒充企業的偽造郵件攻擊，較上季增長約1.5 倍，而針對個人詐騙郵件的數量較上季增長了1.2倍，個人與企業均須時刻提防中招。本季較為特殊的樣本如下：

　　釣魚郵件透過 HTML 標簽挑選攻擊目標

　　調查中，研究人員發現了特別的釣魚郵件樣本，這個樣本在Apple Mac的默認郵件客戶端開啟時，會直接顯示出可點擊的鏈接；但若在其他的微軟操作系統常見的郵件客戶端，則不會顯示出可點擊的鏈接。

　　macmail.jpg，在 Apple Mac 的默認郵件客戶端開啟時，會直接顯示出可點擊的鏈接

　　notmac.jpg，微軟操作系統常見的郵件客戶端則不會顯示出可點擊的鏈接

　　查看源代碼，發現這封釣魚郵件使用了HTML標簽。這個標簽主要是用于設定整個頁面中，所有鏈接類型屬性的默認根網址。不過這個標簽并非所有的客戶端系統都支持，因此可借由使用這個標簽來篩選攻擊目標。

　　basehtml.jpg，這封釣魚郵件使用了一個 的HTML標簽

　　冒充航空公司問卷調查，釣取信用卡信息

　　八月份有攻擊者冒充某幾家航空公司身份，以入選客戶忠誠方案為名的問卷調查，肆意流竄出一波主題為“Congratulations ! You've been selected by xxxx Airline Loyalty Program”的郵件，目標是騙取收件人的信用卡信息。

　　假冒某航空公司，以限時活動、花2~3分鐘便可獲得回饋的調查方案，引誘收件人填寫問卷

　　郵件中宣稱只要花一點時間協助做完問卷調查，就能得到豐厚的賬戶獎勵。為了取信收件人，郵件中所有的圖片皆來自航空公司官方網站，只有問卷所在的網址暗藏于被篡改的網站。若收件人貿然點擊鏈接前往此頁，可能會被精心設計偽裝好的問卷調查，松懈了戒心；在填完假問卷后，便會進一步要求個人的信息。

　　聲稱填完問卷可獲得實質獎勵

　　當被害人填寫完個人信息后，接著會被要求輸入信用卡信息，這一切都是為了取得“獎勵”的必要步驟。

　　為取得獎勵，必須填寫個人資料與信用卡信息

　　被害人填寫信用卡信息，并按下發送，則會收到要求填寫手機短信驗證碼認證；若再配合輸入短信驗證碼，則后續來的不是航空公司的獎勵，而是一連串刷卡通知。此時，信用卡已經正式遭到盜刷！提醒大家在使用填寫一些公共郵箱的問卷調查時，請注意自己最近是否有使用過相關產品，填寫信息時注意信息合理性，特別是手機驗證碼等信息，加強此類釣魚防范。

　　與自身業務有關的社交工程攻擊

　　在企業加強倡導信息安全觀念的當下，收到與自己業務無關或與自身習慣使用語言不同的郵件，多半會有所警覺，并且不會打開相關附件內容。但若出現與自身業務相關，內容也使用自身習慣用語撰寫的惡意郵件，該如何提防呢？

　　在第三季度出現許多假借業務咨詢、保費、客服等問題，卻夾帶攻擊文檔的惡意郵件。這些惡意文檔，都以壓縮文件的方式夾帶一個可執行文件，并且將圖示或擴展名，試圖偽造為 PDF 文件檔。

　　假借業務詢問，卻夾帶攻擊檔案的惡意郵件

　　雖然這些假借業務咨詢、保費、客服等問題郵件在內的社交工程手法類似，但郵件中所附帶的惡意軟件并沒有明確的關聯性，部分惡意軟件也會以壓縮文件加密的方式躲避掃描；運行時攻擊目的也有所不同，目前只發現攻擊Windows的樣本。防范這類郵件，建議不要隱藏擴展名、不要運行解壓縮后文件名不明的 .exe檔案。

　　郵件壓縮包炸彈，癱瘓過濾系統

　　Microsoft Office自2007版本之后，提供了新的文件包裝格式，使用XML體系結構和ZIP壓縮將文檔、公式、VBA等內容儲存到行和列的組織，常見格式附文件名為。docx、xlsx、pptx、xlsm…等。我們發現這個ZIP的包裝結構，與早期的壓縮文件炸彈手法進行結合，用以干擾電子郵件的內容掃描機制。

　　電子郵件中一個。xlsm的附件文檔，大小約為2mb，之中摻入了壓縮文件炸彈的手法

　　將這個 .xlsm解壓縮后，產生三個OLE對象的 .bin文檔，其中較小的兩個檔案，是由VBScript寫成的惡意軟件主體內容下載器，執行結束后會自我清除；oleObject3.bin則是透過CVE-2017-11882的方程式漏洞去執行前述的 VBScript。而oleObject3解壓縮后的大小約為2GB，由于這個文檔大小過大，會對某些掃描機制產生干擾，也可能造成掃描時暫存空間瞬間用罄，導致非預期的問題。

　　oleObject3.bin壓縮文件炸彈膨脹后的大小約為2GB

　　結語

　　攻擊者如何發送惡意郵件到目標對象的信箱？主要兩種方式，一種是以字典文件針對一個域名持續嘗試；另一種，則是根據暴露于網絡上的數據，以及遭到外泄的數據庫。以字典文件嘗試發送的方式，多半具有較低的針對性，容易偵測出嘗試的行為并加以阻斷；較為危險及常被忽視的會是后者。根據暴露于網絡上的數據，以及遭到外泄的數據庫名單所發送的攻擊信件，多半還伴隨有該郵件地址擁有者的其它相關資料，如：個人信息、興趣、其他聯系信息等等，能夠用于更有針對性且為受害目標量身打造的攻擊。

　　因此，在使用電子郵件地址申請任何服務時，最好能依功能分類，或區分使用私人郵箱注冊和公司郵箱注冊，用以區別收件來源的重要性，必要時也可以關閉不用的私人郵箱，避免信息關聯，將自己徹底從攻擊者的名單中移除。