2024年Q2企業(yè)郵箱安全報告-2024.07-22正式版

組長林延中主要編寫人員劉磊

江嘉杰

伍偉彬

黃楚斯《2024

年第二季度企業(yè)郵箱安全報告》是由廣東盈世計算機科技有限公司與北京中睿天下信息技術(shù)有限公司攜手呈現(xiàn)。我們特別感謝

Coremail

郵件安全人工智能實驗室和中睿天下郵件安全響應(yīng)中心的專家們，他們對本報告的編寫提供了專業(yè)的指導(dǎo)和寶貴的建議。Coremail

郵件安全人工智能實驗室（Email

Security

AI

Lab，簡稱“AI

實驗室”）是在

Coremail

的廣泛應(yīng)用場景、豐富大數(shù)據(jù)資源和頂尖科技人才的支持下成立的。AI

實驗室致力于在電子郵件安全防護領(lǐng)域?qū)崿F(xiàn)

AI

技術(shù)的創(chuàng)新應(yīng)用，包括自然語言處理、計算機視覺和大語言模型等前沿技術(shù)。通過這些技術(shù)，我們旨在提升電子郵件的安全性，為企業(yè)提供更加可靠的保障。一、2024

年

Q2

垃圾郵件概況分析（一）國內(nèi)企業(yè)郵箱垃圾郵件增長態(tài)勢明顯，境外源大比重加劇挑戰(zhàn)根據(jù)

Coremail

郵件安全人工智能實驗室數(shù)據(jù)顯示，2024

年第二季度，國內(nèi)企業(yè)郵箱用戶共收到

9.1

億封垃圾郵件，總量無論是環(huán)比（上升

24.9%）還是同比（上升

40.6%），呈大幅度增長態(tài)勢，其中接近

70%的垃圾郵件來自境外，進一步加劇了防護的難度與復(fù)雜性。圖

1

2023

Q2-2024

Q2

境內(nèi)外垃圾郵件攻擊趨勢圖

2

2024

年

Q2

企業(yè)郵箱郵件類型分布在

2024

年第二季度企業(yè)郵箱用戶收到的郵件構(gòu)成中，正常郵件以

46.78%的占比（共1計

7.99

億封）主導(dǎo)了郵件流量，然而，不容忽視的是，垃圾郵件的侵擾依然嚴(yán)重，其數(shù)量高達

7.62

億封，占據(jù)了總郵件量的

44.59%。各單位組織仍需要繼續(xù)加強對垃圾郵件、釣魚郵件和詐騙郵件的防范措施。（二）境外垃圾郵件攻擊激增：美國及歐洲國家成主要威脅源在

2024

年第二季度中，美國依舊是境外垃圾郵件的主要來源國，其次是烏克蘭與馬來西亞，為新的垃圾郵件攻擊源，可能是境外垃圾郵件發(fā)送者，改變了攻擊策略，選擇了不同的郵件發(fā)送源或發(fā)件人地址，我們?nèi)孕杓涌焯嵘龂鴥?nèi)網(wǎng)絡(luò)防護能力。圖

3

2024

年第二季度全球垃圾郵件攻擊源

TOP

10

國家在國內(nèi)范圍內(nèi)，垃圾郵件攻擊也幾乎無處不在，尤其在經(jīng)濟繁榮的區(qū)域更為突出。具體來說，北京市（約

2448.3

萬封）、上海市（約

1103.3

萬封）、浙江?。s

887.8

萬封）和廣東?。?55.5

萬封），屬于人口密集區(qū)和經(jīng)濟中心，信息技術(shù)基礎(chǔ)設(shè)施方面較為發(fā)達，為大規(guī)模的垃圾郵件攻擊提供了便利條件。圖

4

2024

年

Q2

國內(nèi)十大垃圾郵件攻擊源頭省份2（三）TOP100

垃圾郵件分析：教育行業(yè)為主要攻擊目標(biāo)經(jīng)

AI

實驗室分析

TOP100

發(fā)送&接收垃圾郵件的域名，不難發(fā)現(xiàn)，教育行業(yè)仍然是垃圾郵件的主要攻擊目標(biāo)，接收量達

3.32

億封。郵件是教育科研項目、教學(xué)數(shù)據(jù)、師生信息等敏感信息的承載體，教育行業(yè)的郵件安全更加不容忽視。圖

5

2024

年

Q2

TOP100

域名發(fā)送&接收垃圾郵件數(shù)量行業(yè)分布面對教育領(lǐng)域持續(xù)增長的垃圾郵件困擾，提出以下建議給各位郵件系統(tǒng)管理員：1.

設(shè)置有效的郵件過濾和防護機制：學(xué)校和教育機構(gòu)應(yīng)使用針對垃圾郵件的有效過濾和防護技術(shù)，如使用郵件安全網(wǎng)關(guān)，及時攔截和清除垃圾郵件，減少對教育行業(yè)的干擾和危害。2.

開展反釣魚培訓(xùn)：提高師生的網(wǎng)絡(luò)安全防范意識，通過定期的模擬練習(xí)，教會他們?nèi)绾巫R別并防御垃圾郵件和詐騙鏈接。3.

強化信息與賬號防護：普及并推廣個人信息加密及強密碼使用的重要性，防止信息泄露成為釣魚郵件攻擊的跳板。4.

推動高校安全合作：鼓勵高等學(xué)府間的威脅情報共享，及時交流最新的郵件安全策略和防御技巧，共同提高校園網(wǎng)絡(luò)的安全防護水平。二、2024

年

Q2

釣魚郵件攻擊動態(tài)（一）境外釣魚郵件激增與隱蔽的境內(nèi)攻擊源在頻發(fā)的網(wǎng)絡(luò)安全攻擊事件中，釣魚攻擊往往是黑客們的首選。2024

年以來，釣魚郵3件數(shù)量持續(xù)增長，第二季度企業(yè)郵箱用戶收到的釣魚郵件數(shù)量達

1.43

億，威脅態(tài)勢依舊嚴(yán)峻，其中境外發(fā)送源達

56.23%，然而據(jù)

AI

實驗室此前分析，雖然發(fā)件來源是境外，但釣魚郵件中的文本、行文規(guī)范均符合國內(nèi)的中文使用習(xí)慣，且釣魚網(wǎng)站也都以仿冒境內(nèi)網(wǎng)站為主，由此說明部分攻擊的真實來源應(yīng)是境內(nèi)，只不過攻擊者使用了境外服務(wù)器做為跳板，最終導(dǎo)致釣魚郵件的境外來源數(shù)量遠高于境內(nèi)。圖

6

2023

Q2-2024

Q2

境內(nèi)外釣魚郵件攻擊趨勢（二）國際郵件安全環(huán)境復(fù)雜嚴(yán)峻，北京為國內(nèi)主要風(fēng)險源近年來，隨著互聯(lián)網(wǎng)的快速擴張與全球化進程的加速，郵件安全議題日益凸顯其重要性。我國正面臨境外釣魚攻擊的不斷攀升，數(shù)據(jù)揭示美國作為釣魚郵件的主要發(fā)源地，其攻擊比例較俄羅斯高出顯著的

60.7%。圖

7

2024

Q2

境外釣魚郵件攻擊來源

Top10

國家4從國內(nèi)的釣魚郵件攻擊態(tài)勢來看，第二季度國內(nèi)各地的釣魚郵件攻擊均有上升的趨勢，其中北京為釣魚郵件的主要來源，發(fā)出釣魚郵件攻擊次數(shù)達到

286.5

萬次。此外香港躍居前三，成為了活躍來源，讓黑客團體更易進行網(wǎng)絡(luò)釣魚活動。圖

8

2024

Q2

國內(nèi)釣魚郵件攻擊來源

Top10

省份（三）TOP100

釣魚攻擊分析：教育與企業(yè)為攻擊熱點如圖，通過

Q2

釣魚郵件發(fā)送&接收源

TOP100

域名行業(yè)分析，國內(nèi)釣魚郵件受害者所在行業(yè)比較集中，收到的釣魚郵件數(shù)量排名

TOP100

域名的行業(yè)中，教育排名第一，約占釣魚郵件總數(shù)的

60%（3914.1

萬封）；企業(yè)排名第二，約占

26%（1713.4

萬封）；排名第三的行業(yè)為

IT

互聯(lián)網(wǎng)，占

5%（329.1

封）。圖

9

2024

Q2

TOP100

域名發(fā)送&接收釣魚郵件數(shù)量行業(yè)分布5大規(guī)模郵件通訊所涉及的大量高價值信息和賬號資產(chǎn)，以及員工和用戶端安全意識和培訓(xùn)水平參差不齊的現(xiàn)狀，導(dǎo)致企業(yè)和教育類機構(gòu)成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。攻擊者可以運用社會工程學(xué)手段，通過偽裝成相關(guān)角色（例如老師、合作伙伴、客戶或上級主管）的身份，針對性地向特定用戶發(fā)送釣魚郵件，從而提高攻擊的成功率。6三、2024

年

Q2

垃圾釣魚郵件案例（一）垃圾郵件

TOP10：教育培訓(xùn)為主攻手段第二季度的垃圾郵件數(shù)據(jù)揭示了當(dāng)前郵件詐騙和垃圾郵件發(fā)送者采用的主要策略。以下為主題排名前十的垃圾郵件，以及其各自的郵件數(shù)量：2024

年

Q2

熱門垃圾郵件主題榜

TOP10序號1垃圾郵件主題郵件數(shù)（封）【火熱招生中】2024

年人力資源管理師2562.3

萬1080.5

萬1076.9

萬1014.9

萬2re:我是陳*飛，為企業(yè)提供禮品采購的企業(yè)3re:鼓勵客戶比價的企業(yè)禮品采購服務(wù)！42024

年最全課程匯總（增：線上證書課，包括中級經(jīng)濟師，HRBP

證書……）56大客戶開發(fā)與維護策略技巧成交的秘密——高業(yè)績顧問式銷售技巧中層經(jīng)理管理能力提升588.7

萬539.6

萬419.9

萬367.2

萬346.2

萬315.9

萬78為了您自身的安全，我強烈建議您閱讀這封電子郵件?！净馃嵴猩小?024

年中級經(jīng)濟師（人力資源）Sales

Notification910（二）釣魚郵件

TOP10：官方偽裝通知依然是主流釣魚郵件常偽裝為系統(tǒng)通知或發(fā)票詐騙，這增加了賬戶被劫和數(shù)據(jù)泄露的風(fēng)險。2024

年

Q2

熱門釣魚郵件主題榜

TOP10序號釣魚郵件主題郵件數(shù)（封）123關(guān)于郵件系統(tǒng)的通知為了您自身的安全，我強烈建議您閱讀這封電子郵件。お支払い金額のお知らせ393.4

萬151.7

萬103.1

萬4【電子發(fā)票】您收到一張新的電子發(fā)票[發(fā)票號碼:980750**]92.2

萬56郵件管理系統(tǒng)郵件管理系統(tǒng)通知ご利用明細更新のお知らせ《薪酬津貼登記發(fā)放須知》待辦申報表91.6

萬87.5

萬81.6

萬81.4

萬80.2

萬79.2

萬78910校內(nèi)郵件管理7（三）Q2

垃圾釣魚郵件典型案例樣本1、補貼詐騙通知類持續(xù)威脅圖

10

2024

Q2

垃圾釣魚郵件案例

1圖

11

2024

Q2

垃圾釣魚郵件案例

2圖

12

2024

Q2

垃圾釣魚郵件案例

382、各類冒充電子發(fā)票、誘導(dǎo)下載惡意軟件圖

13

2024

Q2

垃圾釣魚郵件案例

43、冒充律師函、稅務(wù)檢查等圖

14

2024

Q2

垃圾釣魚郵件案例

54、冒充訂單或詢盤信息圖

15

2024

Q2

垃圾釣魚郵件案例

69圖

16

2024

Q2

垃圾釣魚郵件案例

75、系統(tǒng)賬號密碼登錄類釣魚圖

17

2024

Q2

垃圾釣魚郵件案例

86、比特幣勒索詐騙郵件圖

18

2024

Q2

垃圾釣魚郵件案例

910四、2024

年

Q2

暴力破解宏觀態(tài)勢（一）暴力破解雖減，防護意識需持續(xù)強化在郵箱系統(tǒng)面臨的盜號挑戰(zhàn)中，暴力破解作為一種普遍且難以輕易忽視的攻擊手段，其持續(xù)存在主要歸因于兩大核心要素。首先，使用單因素認證（密碼）的身份校驗方式，為攻擊者打開了潛在的入侵門戶，使他們看到了通過嘗試多種密碼組合來竊取賬戶訪問權(quán)限的可能性。其次是部分用戶習(xí)慣性使用弱密碼，無意中降低了攻擊者的破解難度及攻擊成本。圖

19

2022

年

Q4-2024

年

Q2

全域暴力破解攻擊趨勢根據(jù)

AI

實驗室監(jiān)測，2024

年第二季度，全國企業(yè)級用戶遭受超過

21.4

億次暴力破解，相比于

Q1

的

39.1

億次暴力破解，環(huán)比降幅約為

45%，無差別的暴力破解攻擊大幅下降。但數(shù)據(jù)顯示暴力破解攻擊成功次數(shù)正在回升，推測可能是攻擊者優(yōu)化口令字典規(guī)則，其次加大了撞庫攻擊比例，導(dǎo)致破解成功率提高，因此管理員仍需保持警惕并采取必要的防護措施。11圖

20

2022

年

Q4-2024

年

Q2

全域暴力破解成功趨勢（二）暴力破解風(fēng)暴眼：企業(yè)與教育行業(yè)成主戰(zhàn)場在

24

年第二季度，全國的企業(yè)用戶遭遇了高達

21.4

億次的暴力破解攻擊，其中成功的破解次數(shù)達到

912.7

萬次。數(shù)據(jù)顯示，高危賬號和被攻擊域名主要集中在教育行業(yè)和企業(yè)，面臨的安全威脅尤為嚴(yán)重。從用戶體量上看，教育行業(yè)和企業(yè)賬號數(shù)確實明顯高于其他行業(yè)，在外暴露的攻擊面廣。對非活躍賬號較難把控，如教育行業(yè)，許多大學(xué)的教職員工和學(xué)生使用的是初始設(shè)置的密碼，加之大量學(xué)生郵箱長期不活躍，這使得郵箱賬號非常容易被盜用且難以及時發(fā)現(xiàn)。而在企業(yè)，由于存儲有大量的商業(yè)秘密、客戶資料以及財務(wù)數(shù)據(jù)，暴力破解攻擊變得尤為頻繁。一旦攻擊者成功獲取賬號，他們會從廣撒網(wǎng)式的攻擊轉(zhuǎn)變?yōu)楦鼮閷I(yè)、針對性的攻擊，如利用這些賬號廣泛發(fā)送垃圾郵件或發(fā)起特定的釣魚行動。圖

21

2024

年

Q2

識別高危賬號及暴力破解攻擊次數(shù)

TOP100

域名行業(yè)分布12面對日益專業(yè)化的郵件威脅，教育單位和各大企事業(yè)單位應(yīng)從郵件系統(tǒng)和安全教育等層面展開防范，強化安全教育，推廣雙重驗證的使用。在郵件服務(wù)層面，可以增設(shè)郵件安全網(wǎng)關(guān)增強對假冒郵件的攔截，并確保啟用雙因素驗證及特定的客戶端密碼以預(yù)防賬戶遭受侵害；對于用戶的安全教育，可進行釣魚郵件模擬訓(xùn)練，提升用戶的防范意識。五、釣魚郵件溯源案例分析（一）“高溫季節(jié)福利”溯源分析報告1、概述郵件主題為《高溫季節(jié)福利優(yōu)化方案及實施通知》，經(jīng)排查該郵件存在惡意的二維碼，掃描后判斷訪問者環(huán)境，符合移動端特征后跳轉(zhuǎn)至釣魚畫面，其目的誘導(dǎo)用戶輸入銀行卡及支付密碼等個人敏感信息。2、郵件分析（1）正文分析郵件誘導(dǎo)收件人掃描郵件中的惡意二維碼，當(dāng)符合移動端特征后跳轉(zhuǎn)至誘導(dǎo)用戶輸入銀行卡及支付密碼的釣魚頁面。惡意鏈接為：“hxxps://”目的在于竊取收件人的銀行卡信息及盜取銀行卡財產(chǎn)。（2）鏈接分析訪問跳轉(zhuǎn)后的釣魚鏈接“http://nkfd97gonnzwrv97rofs.chphotogovopen.top/h5/”，并替換移動端

UA

頭，頁面顯示為釣魚頁面。如下圖所示：133、網(wǎng)站分析分析網(wǎng)站信息時發(fā)現(xiàn)域名注冊人為黎**—qwxxxxxxxxx6@**黎**—lxxxxx2@**4、黑產(chǎn)組織畫像郵件主題：《高溫季節(jié)福利優(yōu)化方案及實施通知》郵件內(nèi)容：以企業(yè)財務(wù)部門的名義發(fā)送“津貼發(fā)放通知，線上登記審核”郵件，目的為獲取受害人銀行卡信息、身份證號、手機號、銀行卡密碼等信息。黑產(chǎn)組織：各類企事業(yè)單位，活動的釣魚網(wǎng)站鏈接

2

個。（二）“密碼到期”溯源分析報告1.

概述郵件主題為密碼到期提醒，郵件正文中存在可點擊按鈕“立即修改密碼”，點擊跳轉(zhuǎn)后鏈接為“”，誘導(dǎo)用戶輸入郵箱賬號與密碼。2.

郵件分析14（1）正文分析郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點擊修改密碼鏈接。點擊后跳轉(zhuǎn)鏈接為：“”目的在于竊取收件人的郵箱賬號與密碼。（2）鏈接分析通過跳轉(zhuǎn)鏈接“”，發(fā)現(xiàn)其并未綁定

ip，如下圖所示：該跳轉(zhuǎn)鏈接目前無法訪問查詢此域名對應(yīng)的

whois

注冊信息15通過郵箱查詢存在最近解析記錄，如下圖所示：3.

溯源分析根據(jù)域名

whois

注冊信息深入跟蹤（圖

1），獲取信息如下：姓名:王*

手機:15xxxxxxx97QQ:6xxxxx31

郵箱：416附錄

1

郵件安全人工智能實驗室介紹Coremail

郵件安全人工智能實驗室（Email

Security

AI

Lab），依托于

Coremail

豐富的應(yīng)用場景、海量大數(shù)據(jù)與一流科技人才，專注于將自然語言處理、計算機視覺、大型語言模型等

AI

智能技術(shù)應(yīng)用于電子郵件安全防護領(lǐng)域的創(chuàng)新突破。目前郵件安全人工智能實驗室已在反垃圾領(lǐng)域取得可喜成果，形成了反垃圾算法智能優(yōu)化閉環(huán)：基于

AI

技術(shù)實現(xiàn)郵件樣本智能收集、識別、入庫、反饋、自學(xué)習(xí)訓(xùn)練、最終提升算法模型能力，不斷優(yōu)化中央引擎、保持反垃圾品質(zhì)穩(wěn)步提升。17附錄

2

CACTER

郵件安全網(wǎng)關(guān)產(chǎn)品介紹CACTER

郵件安全是由

Coremail

孵化的獨立品牌，隸屬于廣東盈世計算機科技有限公司。憑借

25

年的反垃圾反釣魚技術(shù)沉淀，CACTER

致力于提供一站式郵件安全解決方案。產(chǎn)品涵蓋郵件安全網(wǎng)關(guān)、CAC2.0

反釣魚防盜號、安全海外中繼、郵件數(shù)據(jù)防泄露

EDLP、安全管理中心

SMC2、重保服務(wù)、反釣魚演練等。核心技術(shù)依托自研國產(chǎn)反垃圾引擎和Coremail

郵件安全大數(shù)據(jù)中心，高效識別并攔截垃圾廣告、釣魚郵件、病毒郵件、BEC

詐騙郵件等各類威脅，為企業(yè)郵件通信保駕護航?？蛻艉w國務(wù)院新聞辦公室、國家科技部、國家財政部、中科院、清華大學(xué)、北京大學(xué)、人民銀行、建設(shè)銀行、交通銀行、華潤集團、南方電網(wǎng)、美的集團等。CACTER

郵件安全網(wǎng)關(guān)介紹CACTER

郵件安全網(wǎng)關(guān)，基于自主研發(fā)的神經(jīng)網(wǎng)絡(luò)平臺

NERVE2.0

深度學(xué)習(xí)能力，全面檢測并攔截各類惡意郵件，包括垃圾郵件、釣魚郵件、病毒郵件及

BEC

詐騙郵件；反垃圾準(zhǔn)確率高達

99.8%，誤判率低于

0.02%。支持

Coremail，Exchange，Microsoft

365，網(wǎng)易企業(yè)郵箱，安寧，139，Winmail，Eyou，Mdeamon，Postfix，IceWarp

等幾乎一切收費或開源郵件系統(tǒng)。產(chǎn)品優(yōu)勢1

惡意郵件精準(zhǔn)隔離CACTER

郵件安全網(wǎng)關(guān)融合了多項自主研發(fā)的世界領(lǐng)先級反垃圾郵件技術(shù)，并使用國內(nèi)外知名反病毒引擎，對進入網(wǎng)關(guān)的郵件進行多維分析，確保釣魚郵件、病毒郵件、垃圾郵件被隔離到網(wǎng)關(guān)，保障郵件系統(tǒng)不受惡意郵件威脅。2

檢測能力實時更新18CACTER

郵件安全網(wǎng)關(guān)擁有全國最大的郵件安全數(shù)據(jù)中心，基于數(shù)億惡意郵件樣本，通過部署百萬探針郵箱搜集惡意郵件數(shù)據(jù)，實時更新郵件檢測引擎規(guī)則，為客戶提供最新郵件防護。3

惡意鏈接保護使用

CACTER

郵件網(wǎng)關(guān)后，管理員可開啟惡意鏈接保護功能，對投往郵件系統(tǒng)的每一封郵件的鏈接進行保護。首次過濾+二次檢測防護，事前攔截、事中提醒、事后追溯結(jié)合，為郵件系統(tǒng)的郵件安全保駕護航。4