根据 Cellopoint新发布的2010年1-4月全球反垃圾邮件中心报告，垃圾邮件约占所有电子邮件的79%，平均每日发送量约1,000亿封，当中9成是透过僵尸网络（Botnet）发送。Cellopoint全球反垃圾邮件中心表示，为了提升组织邮件安全，应特别针对此类邮件威胁进行防范。

　　Cellopoint的报告指出，来自全球的垃圾邮件中，约有87%是由傀儡计算机（Zombie）、僵尸网络发送，目前已有超过五百万台计算机受到Cutwail、Rustock及Mega-D等10大傀儡网络控制，而这些被操控的傀儡计算机，被黑客拿来贩卖给有发垃圾信需求的顾客。

　　这类垃圾邮件利用社交工程方式，发送含恶意链接的垃圾邮件，主题包罗万象，函授学位等网络相关商品和服务的垃圾邮件占29%，是2010年最普遍的垃圾邮件，其次则是金融服务、代开发票相关的垃圾邮件17%，网络诈骗15%及健康医疗15%相关的垃圾邮件。

　　Cellopoint指出，一般广告类的垃圾邮件对资安的影响较小，但内含恶意网址的社交工程邮件，对资安就很大的威胁，可是一般使用者无从区别两者相异之处。针对社交工程邮件的管控来说，不应照一般垃圾邮件隔离处理方式，开放使用者重送完整信件，徒增组织网络安全风险。

　　Cellopoint全球反垃圾邮件中心建议，使用邮件过滤系统时，应该将含恶意连结或有恶意附加档的垃圾邮件，做特别处理，不应开放由使用者自由取回。Cellopoint提供社交工程防御机制，可移除邮件中的恶意连结与恶意附加档案，再放入邮件隔离区，由使用者阅览，协助抵御社交工程威胁，同时保留用户的收件弹性。

　　此外透过CelloCloud监控全球使用者端的邮件发送行为，以在线联防的方式侦测社交工程邮件攻击，实时主动的派送“垃圾邮件数据库更新”至客户端，也可在第一时间过滤邮件，防范威胁入侵。

　　据印度《斯坦时报》报道，近日互联网安全机构的一系列报告显示，印度已成为全球最大的垃圾邮件源发国，俄罗斯和巴西等国的情况也不容乐观。而得益于中国的互联网安全措施，中国源发垃圾邮件现象相比不算很严重，不在排名前十的国家行列内。

　　位于美国的安全机构ICSA实验室发布的最新报告显示，印度已成为全球最大的垃圾邮件源发国。他们在上周即6月7日至13日共追踪了300万份垃圾邮件，其中有14%都源于印度;报告发现排名第二的是俄罗斯，共发出占11.5%的垃圾邮件。报告还显示，中国并不在前十名国家行列内。另外，网络安全公司“Project Honey Pot”的调查结果也显示印度是源发垃圾邮件最大国。该调查认为巴西位居第二，而中国源发垃圾邮件占全球的比例则有所下降。

　　印度该领域一位专家表示，印度安全设施的缺乏和互联网的愈加普及都是形成此现象的原因。此外，报道还表示，随着中美等国不断加强网络安全，那些发送垃圾邮件的人开始将印度视为他们的作战基地。

　　日前,国际知名安全软件厂商赛门铁克发布了最新的《全球垃圾邮件及钓鱼网站月度统计报告》。报告显示，2010年4月全球垃圾邮件继续在高位徘徊，而应用CN域名的垃圾邮件已经从3月的4.1%降至2.2%，降幅将近50%，CN域名的安全应用环境得到了再一次提升。

　　统计报告显示，2010年4月垃圾邮件在全球电子邮件流量中的比重高达89.22%，与3月的89.34%基本持平。在垃圾邮件起源地方面，美国继续以24%的比例位居第一位，印度、荷兰、巴西、德国分列第2到第5位。而网络钓鱼起源地方面，美国仍然以超过半数的比例位居第一位，而这主要是因为52%的网络钓鱼网站的主机位于美国。

　　报告还对垃圾邮件的域名应用比例进行了分析，数据显示COM、RU、ORG等域名成为垃圾邮件的前三大“受害者”。其中应用COM域名的垃圾邮件比例从3月的47%飙升至4月的62.7%，增幅高达15%；俄罗斯国家域名RU自4月1日实施实名注册后，垃圾邮件比例虽然高达22.1%，但相对于上月的29.8%来说下降明显；ORG域名紧随其后，相对来说所占比例不高，但也达到了6%；而我国的CN国家域名则从3月的4.1%降至2.2%，降幅将近50%。

　　报告显示，近一个月来全球钓鱼邮件比例有所上升，平均每237.1封电子邮件中就有1封钓鱼邮件，和4月份相比增长了0.2个百分点。英国再次成为钓鱼邮件攻击率最高的国家。来自中国反钓鱼网站联盟发布的月报也显示，2010年4月该联盟受理并暂停域名解析的钓鱼网站为1785个，较上月增长70%,约4500万网民因“网络钓鱼”蒙受损失。

　　此外赛门铁克还指出，隐藏恶意软件的新网站成为增长最快的网络威胁，1770个新网站存在恶意软件、广告软件等潜在威胁程序，较4月份这一数字增长了5.6个百分点。对此中国反钓鱼网站联盟专家表示，网民应养成查看网站资质信息的习惯。借助第三方权威认证的企业登记信息、网站域名注册信息等资质来判断网站真实身份，从而规避网上交易风险。

　　Websense公司的安全研究人员近日发布了一份报告，显示有三种流行的恶意软件正在大规模传播，黑客会诱骗用户打开恶意的HTML文件，或者自动利用Adobe的零日漏洞攻击一些安全防御脆弱的PC。

　　其中第一个就是以2010南非世界杯为主题，第二是假借一些著名的蠕虫，比如Conficker蠕虫作为主题，最后一个则是利用Adobe的零日漏洞大规模的进行SQL注入攻击，目前已经影响到数千个网页。

　　SQL注入攻击更多细节：

　　目前正在发生的大规模SQL注入攻击与本星期早些时候发生的一起注入攻击是密切相关的。

　　南非世界杯主题的恶意软件相关细节：在人们热切迎接世界杯之际，关于世界杯主题的垃圾邮件开始充斥着我们的邮箱。今天我们遇到的一个不同就是技术不再是关注焦点了。我们已经看到了有八万封垃圾邮件参加到了这项赛事中，他们使用了嵌入JavaScript的HTML邮件。当用户阅读邮件之后，会自动访问恶意网站，同时黑客会分析哪些是他们的“潜在客户”。

　　对这些恶意HTML邮件分析之后，我们发现，黑客利用恶意的JavaScript嵌入到一个iframe中，并且包含一个恶意链接。用户访问恶意网址之后，犯罪组织还会策划二次点击，这个手法和之前卖假药的垃圾邮件有异曲同工之妙，这两次攻击似乎是由同一个人或者同一个组织控制的。

　　随着世界杯主题的垃圾邮件数量激增，安全厂商们应该考虑如何对其进行处理了。

　　据国外媒体报道，一种Facebook垃圾邮件程序正在通过以“震撼视频”引诱无辜受害者的方式传播。

　　该程序引诱用户点击视频链接，然后被重定向到一个Facebook应用程序安装页面，该页面要用户输入账户信息和通信墙信息。确认安装的用户会有一个链接和新闻订阅，这可以使该应用程序传播给用户的朋友或联系人。

　　该程序没有在用户实际系统中植入代码，也可以人工卸载。尽管Facebook已经直接提醒用户注意该程序，但还是有将近三十万台的客户端感染。

　　社会工程学战略已经成为在Facebook传播恶意页面和程序的主要手段。