果粉小心：您的订单物流通知可能有鬼

第一批iPhone5已于9月21日开始正式发售，24小时内预购量超过两百万的事实足以清晰地说明，iPhone5在市场上是多么的抢手。预购者是如此紧张他们的物流通知，以便能尽快知晓爱机到手的大致时间。Websense的网络安全专家中也有一名果粉，他甚至通过线上论坛查出负责物流的是UPS。所以当他近日接到一封来自UPS的发货通知时（见图1），他欣喜如狂，可结果，却不得不使我们替果粉们捏一把汗。

图1：假冒的UPS发货通知

这位专家不但没有看到预期的物流信息，反而加载到如下显示的HTML页面（见图2）：

图2：果粉被定向到的恶意页面

Websense的CES（云电子邮件安全）服务显示，我们已发现并拦截了至少45000封类似的恶意电子邮件。冒名UPS或联邦快递的案例早已见怪不怪，不过选在这么一个时机，并以人们急切盼望的内容出现，用户的风险就陡然提升了。因为人们是如此轻易地卸下了防备之心，满怀欣喜地去运行附带的恶意文件。

这个页面并非看起来那么简单，经破译，我们发现了一段被隐藏在乱码中的脚本程序（见图3）。

图3：被破译的恶意页面

如图3所示，脚本会运行一个来自域名为“.RU”的iframe语句。“.RU”是一个黑洞攻击包网站，它将银行木马植入受害者的电脑。另外，这段语句被命名为“账户里的钱”，很显然，犯罪分子的动机就是要入侵受害者的账户。点击我们的ThreatScope report，可查看更多的信息和哈希值。

有鉴于此，Websense建议果粉们格外小心，如果您此刻正在焦急地等待物流通知，请谨慎运行任何附件！