2024年Q3企業(yè)郵箱安全報告

2024年第三季度企業(yè)郵箱安全性研究報告一、2024年Q3垃圾郵件概況分析 （一）Q3國內(nèi)企業(yè)郵箱垃圾郵件達8.53億封，63.67%來自境外 （二）境外垃圾郵件攻擊激增：捷克躍居榜首 2（三）TOP100垃圾郵件分析：教育行業(yè)依舊為主要接收對象 3二、2024年Q3釣魚郵件攻擊動態(tài) 3（一）企業(yè)郵箱面臨多樣化網(wǎng)絡(luò)釣魚威脅 3（二）江西省攻擊源數(shù)據(jù)飆升，全球面臨釣魚威脅攻擊 4（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱點 5三、2024年Q3垃圾釣魚郵件案例 6（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段 6（二）釣魚郵件TOP10：郵件系統(tǒng)通知為主流 6（三）Q3垃圾釣魚郵件典型案例樣本 7四、2024年Q3暴力破解宏觀態(tài)勢 （一）暴力破解：攻擊頻次增加，破解成功率卻逆勢下降 10（二）教育行業(yè)仍是郵件暴力破解主要目標 五、中睿天下：釣魚郵件溯源案例分析 （一）“郵件賬戶修復(fù)通知”溯源分析報告 附錄1郵件安全人工智能實驗室介紹 附錄2CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹 1一、2024年Q3垃圾郵件概況分析（一）Q3國內(nèi)企業(yè)郵箱垃圾郵件達8.53億封，63.67%來自境外根據(jù)Coremail郵件安全人工智能實驗室數(shù)據(jù)顯示，2024年第三季度垃圾郵件總量環(huán)比第二季度有少量下降，但比去年同期仍上漲22.3%，境外垃圾郵件的威脅仍在上升，與此境內(nèi)垃圾郵件比例環(huán)比下降，這可能意味著國內(nèi)對垃圾郵件的打擊力度有所增強，或者攻擊者策略有所轉(zhuǎn)變。在郵件安全領(lǐng)域，我們正面臨著一個不斷演變的威脅環(huán)境。盡管近年來垃圾郵件的數(shù)量持續(xù)攀升，郵件安全服務(wù)提供商已經(jīng)部署了包括機器學(xué)習(xí)和人工智能在內(nèi)的多種先進策略，以提高郵件的篩選和過濾效率。然而，垃圾郵件發(fā)送者也在不斷地調(diào)整和升級他們的攻擊手段，以繞過傳統(tǒng)的郵件安全防護措施。圖12023年Q2-2024年Q3境內(nèi)外垃圾郵件攻擊趨勢圖22024年Q3企業(yè)郵箱郵件類型分布2隨著垃圾郵件的持續(xù)蔓延，郵件安全風險日益復(fù)雜化，涵蓋了釣魚欺詐、廣告、各類詐騙手段、惡意軟件等多重威脅。在2024年第三季度，企業(yè)郵箱用戶接收到的郵件中，正常郵件占據(jù)了絕大部分流量，達到8.72億封（占比50.63%而整體垃圾郵件數(shù)量則高達6.73億封，占總郵件量的39.03%。為了有效防范垃圾郵件及網(wǎng)絡(luò)欺詐攻擊，企業(yè)必須加強持續(xù)監(jiān)控、及時更新防護策略，并重視用戶教育，以提升整體郵件安全防護能力。（二）境外垃圾郵件攻擊激增：捷克躍居榜首第三季度境外攻擊源數(shù)據(jù)顯示，捷克較第二季度躍居榜首，從第二季度370萬封飆升至1423.6萬封，其次是美國、俄羅斯，成為了垃圾郵件攻擊的主導(dǎo)力量，對我國構(gòu)成了較大的網(wǎng)絡(luò)威脅。圖32024年Q3全球垃圾郵件攻擊源TOP10國家在國內(nèi)，垃圾郵件攻擊的分布呈現(xiàn)出明顯的地域特征，特別是在經(jīng)濟發(fā)展較為活躍的地區(qū)。具體來看，北京市、上海市、廣東省和浙江省作為人口密集和經(jīng)濟活動集中的區(qū)域，其信息技術(shù)基礎(chǔ)設(shè)施相對先進，這為垃圾郵件的大規(guī)模傳播提供了可乘之機。具體數(shù)據(jù)顯示，北京市遭受的垃圾郵件攻擊量約為2643.1萬封，上海市約為1310.6萬封，廣東省約為1004萬封，浙江省則為915.1萬封。圖42024年Q3國內(nèi)十大垃圾郵件攻擊源頭省份3（三）TOP100垃圾郵件分析：教育行業(yè)依舊為主要接收對象經(jīng)過AI實驗室對TOP100垃圾郵件發(fā)送與接收域名的深入分析，教育行業(yè)依舊是垃圾郵件的主要接收對象，推斷可能是郵箱地址的規(guī)律性及學(xué)術(shù)交流的開放性，導(dǎo)致郵箱地址更容易暴露在公共環(huán)境中，被垃圾郵件發(fā)送者收集并投遞。面對教育領(lǐng)域持續(xù)增長的垃圾郵件困擾，Coremail郵件安全專家建議各位郵件系統(tǒng)管理員部署高效的郵件安全網(wǎng)關(guān)，及時攔截和清除垃圾郵件；開展反釣魚培訓(xùn)，提高師生的網(wǎng)絡(luò)安全防范意識，強化信息與賬號防護。圖52024年Q3TOP100域名發(fā)送&接收垃圾郵件數(shù)量行業(yè)分布二、2024年Q3釣魚郵件攻擊動態(tài)（一）企業(yè)郵箱面臨多樣化網(wǎng)絡(luò)釣魚威脅自2024年以來釣魚郵件的數(shù)量不斷攀升，第三季度企業(yè)郵箱用戶遭遇的釣魚郵件數(shù)量高達1.74億封，這表明釣魚攻擊愈發(fā)猖獗。這種增長趨勢反映了黑客對釣魚攻擊的依賴程度在增加，可能是因為其能夠以相對較低的成本獲得較高的回報，例如獲取企業(yè)敏感信息、用戶賬號密碼等。其中，來自境外的釣魚郵件占比高達55.77%，這顯示出釣魚攻擊的國際化特征。境外來源的釣魚郵件更難追蹤和防范，涉及到不同國家的法律和網(wǎng)絡(luò)監(jiān)管環(huán)境，這些境外攻擊者可能利用不同國家之間的信息不對稱和網(wǎng)絡(luò)安全防護水平的差異來發(fā)動攻擊，這可能導(dǎo)4致企業(yè)和用戶在防范釣魚郵件方面需要投入更多的資源和精力。圖62023年Q3-2024年Q3境內(nèi)外釣魚郵件攻擊趨勢（二）江西省攻擊源數(shù)據(jù)飆升，全球面臨釣魚威脅攻擊從釣魚攻擊IP攻擊源分析，來自美國的攻擊IP來源依舊保持第一，達到469.6萬；而韓國、土耳其等亞洲國家，俄羅斯、匈牙利、捷克等歐洲國家，這些國家在釣魚郵件攻擊源中也占據(jù)重要位置，這反映了釣魚攻擊在全球范圍內(nèi)具有一定的地域集中性，網(wǎng)絡(luò)環(huán)境可能被釣魚攻擊者所利用，尤其跨國企業(yè)和國際機構(gòu)需加強安全防御。圖72024年Q3境外釣魚郵件攻擊來源Top10國家從釣魚郵件的發(fā)送源TOP10服務(wù)器所在省份來看，廣東省以451.2萬封釣魚郵件居首，而江西省的攻擊源數(shù)據(jù)飆升尤為值得關(guān)注。從第二季度的64.6萬封（排行第八）上升到第三季度的較高位次（排行第二這可能暗示江西省在第三季度出現(xiàn)了某些新的因素促使釣魚郵件發(fā)送源增多。這也反映了網(wǎng)絡(luò)犯罪行為的動態(tài)性和復(fù)雜性，攻擊者可能會5根據(jù)不同地區(qū)的網(wǎng)絡(luò)環(huán)境、安全防范措施的強弱等因素，靈活選擇或轉(zhuǎn)移其攻擊源頭，也要求網(wǎng)絡(luò)安全防范措施必須具有針對性和動態(tài)適應(yīng)性。圖82024年Q3國內(nèi)釣魚郵件攻擊來源Top10省份（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱Q3作為開學(xué)季，教育行業(yè)接收釣魚郵件數(shù)量高達7699萬，遠超其他行業(yè)，在教育環(huán)境中，師生之間、學(xué)校與家長之間存在著高度的信任關(guān)系。攻擊者可能利用這種信任，例如偽裝成學(xué)校的管理人員發(fā)送關(guān)于學(xué)費繳納、課程安排變更等郵件。教育行業(yè)需要加強郵件安全防護措施，包括實施更嚴格的郵件過濾和反釣魚技術(shù)。而企業(yè)發(fā)送及接收釣魚郵件較為活躍，由于其數(shù)據(jù)的高價值性，釣魚攻擊的威脅持續(xù)存在，攻擊者常常利用企業(yè)內(nèi)部權(quán)力關(guān)系和工作流程的社會工程學(xué)攻擊，讓企業(yè)員工在不經(jīng)意間打開這些釣魚郵件，導(dǎo)致信息泄露或遭受經(jīng)濟損失。因而企業(yè)更需注重提高員工的安全意識，通過定期的安全培訓(xùn)和模擬釣魚攻擊演練，幫助員工識別和防范釣魚郵件。圖92024年Q3TOP100域名發(fā)送&接收釣魚郵件數(shù)量行業(yè)分布6三、2024年Q3垃圾釣魚郵件案例（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段第三季度的垃圾郵件數(shù)據(jù)揭示了當前郵件詐騙和垃圾郵件發(fā)送者采用的主要策略。以下為主題排名前十的垃圾郵件，以及其各自的郵件數(shù)量：123456789（二）釣魚郵件TOP10：郵件系統(tǒng)通知為主流釣魚郵件常偽裝為郵件系統(tǒng)通知或員工津貼，這增加了賬戶被劫和數(shù)據(jù)泄露的風險。1234567897（三）Q3垃圾釣魚郵件典型案例樣本圖102024年Q3垃圾釣魚郵件案例1圖112024年Q3垃圾釣魚郵件案例2圖122024年Q3垃圾釣魚郵件案例38圖132024年Q3垃圾釣魚郵件案例4圖142024年Q3垃圾釣魚郵件案例5圖152024年Q3垃圾釣魚郵件案例6圖162024年Q3垃圾釣魚郵件案例79圖172024年Q3垃圾釣魚郵件案例8圖182024年Q3垃圾釣魚郵件案例9圖192024年Q3垃圾釣魚郵件案例10四、2024年Q3暴力破解宏觀態(tài)勢（一）暴力破解：攻擊頻次增加，破解成功率卻逆勢下降根據(jù)AI實驗室監(jiān)測，2024年第三季度，全國企業(yè)級用戶遭受超過33億次暴力破解，而成功次數(shù)僅474.1萬，推測可能是Q3處于HW、網(wǎng)絡(luò)安全宣傳周中，結(jié)合網(wǎng)絡(luò)安全主管單位做了比較大力度的通報，推動各企業(yè)對弱口令做了自查和整改，防護機制加強、人員安全意識提升，導(dǎo)致破解成功率有所下滑。圖202023年Q1-2024年Q3全域暴力破解攻擊趨勢圖212023年Q1-2024年Q3全域暴力破解成功趨勢隨著網(wǎng)絡(luò)技術(shù)的普及和商業(yè)競爭的加劇，郵件暴力破解的頻率在不斷增加。攻擊者越來越意識到企業(yè)和個人郵箱中可能包含的高價值信息，如商業(yè)機密、客戶資料、財務(wù)數(shù)據(jù)等，因此不斷加大攻擊力度。單純的暴力破解攻擊成功率有限，因此攻擊者越來越多地結(jié)合社會工程學(xué)手段。例如，先通過發(fā)送看似合法的釣魚郵件，誘導(dǎo)用戶點擊鏈接或下載附件，在用戶設(shè)備上植入惡意軟件，獲取用戶的部分登錄信息或降低系統(tǒng)安全防護能力，再進行暴力破解。常見的釣魚郵件可能偽裝成來自銀行、知名企業(yè)或政府機構(gòu)的通知，內(nèi)容極具迷惑性，增加了用戶上當?shù)母怕省＃ǘ┙逃袠I(yè)仍是郵件暴力破解主要目標據(jù)數(shù)據(jù)顯示，Q3的TOP100域名中，無論是高危賬號還是被暴力攻擊次數(shù)均為教育行業(yè)受到的威脅最大，這可能與教育行業(yè)賬號數(shù)量眾多、密碼安全性較弱等因素有關(guān)。而企業(yè)也是暴力破解的主要對象，顯示出攻擊者傾向于針對數(shù)據(jù)價值高和安全防護較弱的行尤其是我國雙一流高校，長期面臨著嚴重的郵件威脅，黑產(chǎn)團伙妄圖通過釣魚郵件、盜號等手段獲取高校機密性科研材料，或?qū)熒M行錢財詐騙。因此，再次建議各大高校教育安全從業(yè)人員，盡快進行安全措施推進整改，對賬號形成標準管理體系，同時對師生定期進行反釣魚演練提升反詐騙安全意識。圖222024年Q3識別高危賬號及暴力破解攻擊次數(shù)TOP100域名行業(yè)分布五、中睿天下：釣魚郵件溯源案例分析（一）“郵件賬戶修復(fù)通知”溯源分析報告郵件主題為《NOTICETODELETE!Forixxxx@:》，郵件正文中含有釣魚超鏈接，目的為誘導(dǎo)用戶輸入賬密信息。當用戶輸入個人賬密信息后，會將其發(fā)送至“https://raxxxxxxx.xx/wx-ixxxxx/xxx.xxp”，并通過郵件將受害者信息發(fā)送至“hxxxxxxxxx@”。（1）正文分析郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點擊超鏈接，輸入賬密信息。（2）鏈接分析當用戶輸入信息并點擊next后，賬密信息會發(fā)送至“https://rxxxxxxxx.xx/wx-ixxxxx/xxx.xxp”。如下圖所示：對釣魚頁面進行滲透測試，發(fā)現(xiàn)https://raxxxxxxx.xx/file目錄存在目錄遍歷漏洞，在文件中發(fā)現(xiàn)釣魚頁面源碼及受害者信息。通過分析釣魚頁面源碼，發(fā)現(xiàn)攻擊者用于接收受害者信息的電子郵箱地址為“hxxxxxxx@”并將受害者信息寫入至同目錄下的result.txt文件。附錄1