欺诈者越来越多地从合法的公司网站分发垃圾邮件和钓鱼邮件

卡巴斯基研究人员发现狡猾的垃圾邮件和钓鱼邮件传播技术的使用有所增长。

恶意互联网用户正在越来越多地利用网站上的注册、订阅和反馈表单，将垃圾邮件内容或钓鱼链接插入全球受尊重和值得信赖的公司的确认邮件中。

恶意用户在不断寻找新的手段向收件人发送垃圾邮件和钓鱼信息，同时还要绕过现有的内容过滤器的拦截。理想情况下，他们尝试使信件看上去像是来自信誉良好的合法来源，这样用户就不会忽略这些不请自来的邮件。这也给一些公司带来了挑战，因为这些垃圾邮件甚至恶意内容看上去似乎是由他们发送的，这些内容可能会损害客户的信任，甚至导致个人数据泄露。

这种手段非常简单和有效。今天，几乎所有的企业都有兴趣接收其客户的反馈，以提高服务品质，维系客户并保证信誉。为此，企业经常要求客户注册一个个人账户，订阅公司的新闻通讯，或者通过网站上的反馈表单进行交流。例如，请求客户提出问题或留下建议。攻击者正是利用这些机制进行攻击的。

上述三个机制都需要客户的姓名和邮件地址，以便让客户接收确认邮件或反馈。根据卡巴斯基研究人员的调查，欺诈者正在将垃圾内容和钓鱼链接添加到这些邮件中。他们只需将受害者的电子邮件地址添加到注册或订阅表单中，输入他们要发的信息，而不是姓名。之后，该网站将向该地址发送修改后的确认邮件，其中包含文本开头的广告或网络钓鱼链接，而不是收件人的姓名。

卡巴斯基安全专家Maria Vergelis表示：“这些修改过的邮件大多数与用于收集来访者个人数据的在线调查网站相关。来自可靠来源的邮件通常很容易可以通过内容过滤器，因为这些是来自信誉良好的公司的官方邮件。所以这种新的垃圾邮件传播手段非常有效，同时也令人担忧”。

为了确保公司不遭受可能出现的信誉损失，我们建议：

· 查看反馈表单在您的网站上的工作方式

· 可以在网站上添加多个验证规则，当有人试图使用不适当的符号注册名称时会导致错误

· 如果可能的话，请对网站进行漏洞评估。

要阅读完整版报告，请查看卡巴斯基日报。