2024第二季度企業(yè)郵箱安全性研究報告

2024年第二季度企業(yè)郵箱安全性研究報告TOC\o"1-2"\h\z\u一、2024年Q2垃圾郵件概況分析 1（一）國內(nèi)企業(yè)郵箱垃圾郵件增長態(tài)勢明顯，境外源大比重加劇挑戰(zhàn) 1（二）境外垃圾郵件攻擊激增：美國及歐洲國家成主要威脅源 2（三）TOP100垃圾郵件分析：教育行業(yè)為主要攻擊目標(biāo) 3二、2024年Q2釣魚郵件攻擊動態(tài) 3（一）境外釣魚郵件激增與隱蔽的境內(nèi)攻擊源 3（二）國際郵件安全環(huán)境復(fù)雜嚴(yán)峻，北京為國內(nèi)主要風(fēng)險源 4（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱點 5三、2024年Q2垃圾釣魚郵件案例 7（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段 7（二）釣魚郵件TOP10：官方偽裝通知依然是主流 7（三）Q2垃圾釣魚郵件典型案例樣本 8四、2024年Q2暴力破解宏觀態(tài)勢 11（一）暴力破解雖減，防護意識需持續(xù)強化 11（二）暴力破解風(fēng)暴眼：企業(yè)與教育行業(yè)成主戰(zhàn)場 12五、釣魚郵件溯源案例分析 13（一）“高溫季節(jié)福利”溯源分析報告 13（二）“密碼到期”溯源分析報告 14附錄1 郵件安全人工智能實驗室介紹 17附錄2 CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹 18組長主要編寫人員劉磊 江嘉杰 伍偉彬 黃楚斯《2024Coremail郵件安全人工智能實驗室和中睿天下郵件安全響應(yīng)中心的專家們，他們對本報告的編寫提供了專業(yè)的指導(dǎo)和寶貴的建議。Coremail郵件安全人工智能實驗室（EmailSecurityAILab，簡稱“AI實驗室”）是在Coremail的廣泛應(yīng)用場景、豐富大數(shù)據(jù)資源和頂尖科技人才的支持下成立的。AI實驗室致力于在電子郵件安全防護領(lǐng)域?qū)崿F(xiàn)AI技術(shù)的創(chuàng)新應(yīng)用，包括自然語言處理、計算機視覺和大語言模型等前沿技術(shù)。通過這些技術(shù)，我們旨在提升電子郵件的安全性，為企業(yè)提供更加可靠的保障。一、2024Q2垃圾郵件概況分析（一）國內(nèi)企業(yè)郵箱垃圾郵件增長態(tài)勢明顯，境外源大比重加劇挑戰(zhàn)Coremail郵件安全人工智能實驗室數(shù)據(jù)顯示，2024年第二季度，國內(nèi)企業(yè)郵箱用9.1億封垃圾郵件，總量無論是環(huán)比（24.9%）還是同比（40.6%），呈大幅度增長態(tài)勢，其中接近70%的垃圾郵件來自境外，進一步加劇了防護的難度與復(fù)雜性。圖12023Q2-2024Q2境內(nèi)外垃圾郵件攻擊趨勢圖22024年Q2企業(yè)郵箱郵件類型分布在2024年第二季度企業(yè)郵箱用戶收到的郵件構(gòu)成中，正常郵件以46.78%的占比（共計7.99億封）主導(dǎo)了郵件流量，然而，不容忽視的是，垃圾郵件的侵?jǐn)_依然嚴(yán)重，其數(shù)量高達7.62億封，占據(jù)了總郵件量的44.59%。各單位組織仍需要繼續(xù)加強對垃圾郵件、釣魚郵件和詐騙郵件的防范措施。（二）境外垃圾郵件攻擊激增：美國及歐洲國家成主要威脅源2024年第二季度中，美國依舊是境外垃圾郵件的主要來源國，其次是烏克蘭與馬來西亞，為新的垃圾郵件攻擊源，可能是境外垃圾郵件發(fā)送者，改變了攻擊策略，選擇了不同的郵件發(fā)送源或發(fā)件人地址，我們?nèi)孕杓涌焯嵘龂鴥?nèi)網(wǎng)絡(luò)防護能力。圖32024年第二季度全球垃圾郵件攻擊源TOP10國家在國內(nèi)范圍內(nèi)，垃圾郵件攻擊也幾乎無處不在，尤其在經(jīng)濟繁榮的區(qū)域更為突出。具體來說，北京市（2448.3萬封）、上海市（1103.3萬封）、浙江省（887.8萬封）和廣東?。?55.5萬封），屬于人口密集區(qū)和經(jīng)濟中心，信息技術(shù)基礎(chǔ)設(shè)施方面較為發(fā)達，為大規(guī)模的垃圾郵件攻擊提供了便利條件。圖42024年Q2國內(nèi)十大垃圾郵件攻擊源頭省份（三）TOP100垃圾郵件分析：教育行業(yè)為主要攻擊目標(biāo)AITOP100發(fā)送&接收垃圾郵件的域名，不難發(fā)現(xiàn)，教育行業(yè)仍然是垃3.32億封。郵件是教育科研項目、教學(xué)數(shù)據(jù)、師生信息等敏感信息的承載體，教育行業(yè)的郵件安全更加不容忽視。圖52024年Q2TOP100域名發(fā)送&接收垃圾郵件數(shù)量行業(yè)分布面對教育領(lǐng)域持續(xù)增長的垃圾郵件困擾，提出以下建議給各位郵件系統(tǒng)管理員：設(shè)置有效的郵件過濾和防護機制：學(xué)校和教育機構(gòu)應(yīng)使用針對垃圾郵件的有效過濾和防護技術(shù)，如使用郵件安全網(wǎng)關(guān)，及時攔截和清除垃圾郵件，減少對教育行業(yè)的干擾和危害。開展反釣魚培訓(xùn)：提高師生的網(wǎng)絡(luò)安全防范意識，通過定期的模擬練習(xí)，教會他們?nèi)绾巫R別并防御垃圾郵件和詐騙鏈接。強化信息與賬號防護：普及并推廣個人信息加密及強密碼使用的重要性，防止信息泄露成為釣魚郵件攻擊的跳板。推動高校安全合作：鼓勵高等學(xué)府間的威脅情報共享，及時交流最新的郵件安全策略和防御技巧，共同提高校園網(wǎng)絡(luò)的安全防護水平。二、2024Q2釣魚郵件攻擊動態(tài)（一）境外釣魚郵件激增與隱蔽的境內(nèi)攻擊源在頻發(fā)的網(wǎng)絡(luò)安全攻擊事件中，釣魚攻擊往往是黑客們的首選。2024年以來，釣魚郵件數(shù)量持續(xù)增長，第二季度企業(yè)郵箱用戶收到的釣魚郵件數(shù)量達1.43億，威脅態(tài)勢依舊嚴(yán)峻，其中境外發(fā)送源達56.23，然而據(jù)AI實驗室此前分析，雖然發(fā)件來源是境外，但釣魚郵件中的文本、行文規(guī)范均符合國內(nèi)的中文使用習(xí)慣，且釣魚網(wǎng)站也都以仿冒境內(nèi)網(wǎng)站為主，由此說明部分攻擊的真實來源應(yīng)是境內(nèi)，只不過攻擊者使用了境外服務(wù)器做為跳板，最終導(dǎo)致釣魚郵件的境外來源數(shù)量遠(yuǎn)高于境內(nèi)。圖62023Q2-2024Q2境內(nèi)外釣魚郵件攻擊趨勢（二）國際郵件安全環(huán)境復(fù)雜嚴(yán)峻，北京為國內(nèi)主要風(fēng)險源近年來，隨著互聯(lián)網(wǎng)的快速擴張與全球化進程的加速，郵件安全議題日益凸顯其重要性。我國正面臨境外釣魚攻擊的不斷攀升，數(shù)據(jù)揭示美國作為釣魚郵件的主要發(fā)源地，其攻擊比例較俄羅斯高出顯著的60.7。圖72024Q2境外釣魚郵件攻擊來源Top10國家從國內(nèi)的釣魚郵件攻擊態(tài)勢來看，第二季度國內(nèi)各地的釣魚郵件攻擊均有上升的趨勢，其中北京為釣魚郵件的主要來源，發(fā)出釣魚郵件攻擊次數(shù)達到286.5萬次。此外香港躍居前三，成為了活躍來源，讓黑客團體更易進行網(wǎng)絡(luò)釣魚活動。圖82024Q2國內(nèi)釣魚郵件攻擊來源Top10省份（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱點Q2&TOP100在行業(yè)比較集中，收到的釣魚郵件數(shù)量排名TOP100域名的行業(yè)中，教育排名第一，約占釣魚郵件總數(shù)的60（3914.1萬封）；企業(yè)排名第二，約占26（1713.4萬封）；排名第三的行業(yè)為IT互聯(lián)網(wǎng)，占5（329.1封）。圖92024Q2TOP100域名發(fā)送&接收釣魚郵件數(shù)量行業(yè)分布大規(guī)模郵件通訊所涉及的大量高價值信息和賬號資產(chǎn)，以及員工和用戶端安全意識和培訓(xùn)水平參差不齊的現(xiàn)狀，導(dǎo)致企業(yè)和教育類機構(gòu)成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。攻擊者可以運用社會工程學(xué)手段，通過偽裝成相關(guān)角色（例如老師、合作伙伴、客戶或上級主管）的身份，針對性地向特定用戶發(fā)送釣魚郵件，從而提高攻擊的成功率。三、2024Q2垃圾釣魚郵件案例（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段2024Q22024Q2熱門垃圾郵件TOP10序號垃圾郵件主題郵件數(shù)（封）1【火熱招生中】2024年人力資源管理師2562.3萬2re:我是陳*飛，為企業(yè)提供禮品采購的企業(yè)1080.5萬3re:鼓勵客戶比價的企業(yè)禮品采購服務(wù)！1076.9萬42024年最全課程匯總（增：線上證書課，包括中級經(jīng)濟師，HRBP證書……）1014.9萬5大客戶開發(fā)與維護策略技巧588.7萬6成交的秘密——高業(yè)績顧問式銷售技巧539.6萬7中層經(jīng)理管理能力提升419.9萬8為了您自身的安全，我強烈建議您閱讀這封電子郵件。367.2萬9【火熱招生中】2024年中級經(jīng)濟師（人力資源）346.2萬10SalesNotification315.9萬（二）釣魚郵件TOP10：官方偽裝通知依然是主流釣魚郵件常偽裝為系統(tǒng)通知或發(fā)票詐騙，這增加了賬戶被劫和數(shù)據(jù)泄露的風(fēng)險。2024Q2熱門釣魚郵件TOP10序號釣魚郵件主題郵件數(shù)（封）1關(guān)于郵件系統(tǒng)的通知393.4萬2為了您自身的安全，我強烈建議您閱讀這封電子郵件。151.7萬3お支払い金額のお知らせ103.1萬4【電子發(fā)票】您收到一張新的電子發(fā)票[發(fā)票號碼:980750**]92.2萬5郵件管理系統(tǒng)91.6萬6郵件管理系統(tǒng)通知87.5萬7ご利用明細(xì)更新のお知らせ81.6萬8《薪酬津貼登記發(fā)放須知》81.4萬9待辦申報表80.2萬10校內(nèi)郵件管理79.2萬7（三）Q2垃圾釣魚郵件典型案例樣本1、補貼詐騙通知類持續(xù)威脅102024Q21112024Q22122024Q232、各類冒充電子發(fā)票、誘導(dǎo)下載惡意軟件圖132024Q2垃圾釣魚郵件案例43、冒充律師函、稅務(wù)檢查等圖142024Q2垃圾釣魚郵件案例54、冒充訂單或詢盤信息圖152024Q2垃圾釣魚郵件案例6圖162024Q2垃圾釣魚郵件案例75、系統(tǒng)賬號密碼登錄類釣魚圖172024Q2垃圾釣魚郵件案例86、比特幣勒索詐騙郵件圖182024Q2垃圾釣魚郵件案例9四、2024Q2暴力破解宏觀態(tài)勢（一）暴力破解雖減，防護意識需持續(xù)強化在郵箱系統(tǒng)面臨的盜號挑戰(zhàn)中，暴力破解作為一種普遍且難以輕易忽視的攻擊手段，其持續(xù)存在主要歸因于兩大核心要素。首先，使用單因素認(rèn)證（密碼）的身份校驗方式，為攻擊者打開了潛在的入侵門戶，使他們看到了通過嘗試多種密碼組合來竊取賬戶訪問權(quán)限的可能性。其次是部分用戶習(xí)慣性使用弱密碼，無意中降低了攻擊者的破解難度及攻擊成本。圖192022年Q4-2024年Q2全域暴力破解攻擊趨勢根據(jù)AI實驗室監(jiān)測，2024年第二季度，全國企業(yè)級用戶遭受超過21.4億次暴力破解，相比于Q1的39.1億次暴力破解，環(huán)比降幅約為45，無差別的暴力破解攻擊大幅下降。但數(shù)據(jù)顯示暴力破解攻擊成功次數(shù)正在回升，推測可能是攻擊者優(yōu)化口令字典規(guī)則，其次加大了撞庫攻擊比例，導(dǎo)致破解成功率提高，因此管理員仍需保持警惕并采取必要的防護措施。圖202022年Q4-2024年Q2全域暴力破解成功趨勢（二）暴力破解風(fēng)暴眼：企業(yè)與教育行業(yè)成主戰(zhàn)場在24年第二季度，全國的企業(yè)用戶遭遇了高達21.4億次的暴力破解攻擊，其中成功的破解次數(shù)達到912.7萬次。數(shù)據(jù)顯示，高危賬號和被攻擊域名主要集中在教育行業(yè)和企業(yè)，面臨的安全威脅尤為嚴(yán)重。從用戶體量上看，教育行業(yè)和企業(yè)賬號數(shù)確實明顯高于其他行業(yè)，在外暴露的攻擊面廣。對非活躍賬號較難把控，如教育行業(yè)，許多大學(xué)的教職員工和學(xué)生使用的是初始設(shè)置的密碼，加之大量學(xué)生郵箱長期不活躍，這使得郵箱賬號非常容易被盜用且難以及時發(fā)現(xiàn)。而在企業(yè)，由于存儲有大量的商業(yè)秘密、客戶資料以及財務(wù)數(shù)據(jù)，暴力破解攻擊變得尤為頻繁。一旦攻擊者成功獲取賬號，他們會從廣撒網(wǎng)式的攻擊轉(zhuǎn)變?yōu)楦鼮閷I(yè)、針對性的攻擊，如利用這些賬號廣泛發(fā)送垃圾郵件或發(fā)起特定的釣魚行動。圖212024年Q2識別高危賬號及暴力破解攻擊次數(shù)TOP100域名行業(yè)分布面對日益專業(yè)化的郵件威脅，教育單位和各大企事業(yè)單位應(yīng)從郵件系統(tǒng)和安全教育等層面展開防范，強化安全教育，推廣雙重驗證的使用。在郵件服務(wù)層面，可以增設(shè)郵件安全網(wǎng)關(guān)增強對假冒郵件的攔截，并確保啟用雙因素驗證及特定的客戶端密碼以預(yù)防賬戶遭受侵害；對于用戶的安全教育，可進行釣魚郵件模擬訓(xùn)練，提升用戶的防范意識。五、釣魚郵件溯源案例分析（一）“高溫季節(jié)福利”溯源分析報告1、概述郵件主題為《高溫季節(jié)福利優(yōu)化方案及實施通知》，經(jīng)排查該郵件存在惡意的二維碼，掃描后判斷訪問者環(huán)境，符合移動端特征后跳轉(zhuǎn)至釣魚畫面，其目的誘導(dǎo)用戶輸入銀行卡及支付密碼等個人敏感信息。2、郵件分析正文分析郵件誘導(dǎo)收件人掃描郵件中的惡意二維碼，當(dāng)符合移動端特征后跳轉(zhuǎn)至誘導(dǎo)用戶輸入銀行卡及支付密碼的釣魚頁面。惡意鏈接為：“hxxps://”目的在于竊取收件人的銀行卡信息及盜取銀行卡財產(chǎn)。鏈接分析訪問跳轉(zhuǎn)后的釣魚鏈接“hxxps:///”，并替換移動端UA頭，頁面顯示為釣魚頁面。如下圖所示：3、網(wǎng)站分析分析網(wǎng)站信息時發(fā)現(xiàn)域名注冊人為黎**—qwxxxxxxxxx6@**黎**—lxxxxx2@**4、黑產(chǎn)組織畫像郵件主題：《高溫季節(jié)福利優(yōu)化方案及實施通知》郵件內(nèi)容：以企業(yè)財務(wù)部門的名義發(fā)送“津貼發(fā)放通知，線上登記審核”郵件，目的為獲取受害人銀行卡信息、身份證號、手機號、銀行卡密碼等信息。黑產(chǎn)組織：各類企事業(yè)單位，活動的釣魚網(wǎng)站鏈接2個。（二）“密碼到期”溯源分析報告概述郵件主題為密碼到期提醒，郵件正文中存在可點擊按鈕“立即修改密碼”，點擊跳轉(zhuǎn)后鏈接為“”，誘導(dǎo)用戶輸入郵箱賬號與密碼。郵件分析正文分析郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點擊修改密碼鏈接。點擊后跳轉(zhuǎn)鏈接為：“”目的在于竊取收件人的郵箱賬號與密碼。鏈接分析通過跳轉(zhuǎn)鏈接“”，發(fā)現(xiàn)其并未綁定ip，如下圖所示：該跳轉(zhuǎn)鏈接目前無法訪問查詢此域名對應(yīng)的whois注冊信息通過郵箱查詢存在最近解析記錄，如下圖所示：溯源分析根據(jù)域名whois注冊信息深入跟蹤（圖1），獲取信息如下：姓名:王* 手機:15xxxxxxx97QQ:6xxxxx31 郵箱：4附錄1 郵件安全人工智能實驗室介紹Coremail郵件安全人工智能實驗室（EmailSecurityAILab），依托于Coremail豐富的應(yīng)用場景、海量大數(shù)據(jù)與一流科技人才，專注于將自然語言處理、計算機視覺、大型語言模型等AI智能技術(shù)應(yīng)用于電子郵件安全防護領(lǐng)域的創(chuàng)新突破。目前郵件安全人工智能實驗室已在反垃圾領(lǐng)域取得可喜成