CNET科技资讯网7月22台北报道 安全厂商警告,一种利用PDF的新型态垃圾邮件近日兴起,可能取代图像式垃圾邮件,成为更棘手的垃圾邮件类型。
赛门铁克、网擎(Openfind)日前不约而同发布垃圾邮件观察报告指出,以夹带图片文件的方式,以规避传统防垃圾邮件扫瞄技术的图像垃圾邮件 (image spam),近日已有了新种变形--PDF垃圾邮件,厂商并发现部份伪装成专业期刊、制作精美的PDF垃圾邮件,借以吸引使用者阅览,并预期可能取代图像式垃圾邮件,成为邮件安全厂商最头痛的攻击手法。
所谓PDF垃圾邮件,即为夹带PDF文件的垃圾邮件。赛门铁克台湾技术顾问总监王岳忠解释,垃圾邮件设计者利用一般防垃圾邮件系统不会针对PDF格式文件进行扫瞄的弱点,将过去的文字与图像垃圾邮件结合,重新设计成PDF格式的文件,提高垃圾邮件到达终端使用者的机率,达到广告宣传或散布钓鱼信息的目的。
此外,由于PDF文件可同时包含图片与文字,文件通常较一般图像垃圾邮件大,网擎便警告,虽然PDF垃圾邮件未必会夹带恶意链接导致中毒,但却会对企业频宽与存储造成负担,建议企业及早反应。
不过可以松一口气的是,PDF垃圾邮件风暴目前仍以海外为主,尚未侵袭台湾市场。
网擎表示,出现还不到一个月的PDF垃圾邮件,目前已占全球所有垃圾邮件类型的10~15%,且持续增加中,但若比对该公司托管的企业邮件,目前台湾地区PDF垃圾邮件所占比例还不到1%。
不过,网擎产品经理卢诗萍表示,虽然目前状况不严重,但过去一周却是以每天20~30%的速度成长,她认为依照过去图像垃圾邮件先在国外泛滥,再快速蔓延到台湾地区的趋势,台湾很快也会面临PDF垃圾邮件的问题。
台湾成第二大发送地
虽然台湾使用者可能还感受不到PDF垃圾邮件的窜起,但安全厂商表示,台湾其实已成为全球第二大的PDF垃圾邮件发送地。
网擎引用防垃圾邮件技术厂商Commtouch的统计数字指出,才出现不到一个月的PDF垃圾邮件,有14%来自中国台湾,仅次于美国的24%,居全球第二。
而台湾地区高居PDF垃圾邮件发送源第二位的原因,网擎科技邮件安全产品经理卢诗萍解释,由于垃圾邮件主要由僵尸计算机(Botnet)发送,而台湾Botnet相当泛滥,导致此种垃圾邮件虽才刚出现,台湾便榜上有名。
趋势科技台湾技术营销部经理戴燊亦说,趋势科技虽未针对垃圾邮件类型统计其来源,但Hinet为趋势科技目前观察到全球第14大的垃圾邮件来源ISP。
厂商端解决方法
尽管PDF格式文件多半不会被防垃圾邮件系统过滤,但厂商仍端出各自不同的应对方式。
率先发布警讯的赛门铁克表示,赛门铁克邮件安全系统(Symantec Mail Security)相关产品具有内容过滤功能,能针对PDF格式的文件进行过滤,IT人员仅需开启该功能即可。但王岳忠坦言,增加过滤的文件类型多少会对系统效能有部份影响,但他认为性能表现差距应不会太大。
趋势科技则采取信件来源评等的方式过滤PDF垃圾邮件。戴燊表示,垃圾邮件的花样不断变化,检查每个附加文件不但会影响系统性能,也无法应付未来更多变的攻击手法。
他表示,趋势科技通过比对垃圾邮件的来源IP位置、网域名称,以及是否采用随机数网域名称等不同技术,判断是否为垃圾邮件,先挡掉较危险的信件,才进行内容过滤,提高效能。
至于网擎,卢诗萍表示,该公司采用自行开发的特征比对引擎,加上Commtouch的行为比对技术,以双引擎的方式,在不必检查PDF文件内容的情况下,亦能阻挡此类新形态垃圾邮件。