2024中國(guó)企業(yè)郵箱安全性研究報(bào)告

coremailCACTER編寫組組長(zhǎng)主要編寫人員司與奇安信集團(tuán)聯(lián)合為您提供，本聯(lián)合報(bào)告的編撰獲得了Coremail郵件安全人工智能實(shí)驗(yàn)室、Coremail郵件安全大數(shù)據(jù)中心以及奇安coremailCACTER主要觀點(diǎn)不論是從企業(yè)郵箱注冊(cè)域名數(shù)、活躍用戶數(shù)、還是郵件收發(fā)量等方面來(lái)看，國(guó)內(nèi)企業(yè)級(jí)電子郵箱應(yīng)用市場(chǎng)，都呈現(xiàn)出持續(xù)、穩(wěn)定發(fā)展的態(tài)勢(shì)。盡管垃圾郵件、釣魚郵件的總量也有小幅增長(zhǎng)，但帶毒郵件數(shù)量已經(jīng)呈現(xiàn)出逐年下降的趨勢(shì)。這主要得益于郵件安全技術(shù)，特別是郵件反病毒技術(shù)的持續(xù)進(jìn)步。郵箱盜號(hào)問(wèn)題仍然十分嚴(yán)重。2024年，全國(guó)被盜企業(yè)郵箱賬戶多達(dá)1074萬(wàn)個(gè)，占全年活躍企業(yè)郵箱賬號(hào)總量的5.37%。由被盜企業(yè)郵箱賬號(hào)發(fā)出的垃圾郵件多達(dá)822.5億封。特別值得關(guān)注的是，郵箱盜號(hào)問(wèn)題已經(jīng)成為商業(yè)機(jī)密泄露、商業(yè)郵件詐騙等高危安全風(fēng)險(xiǎn)事件頻發(fā)的重要誘因。同時(shí)，由“盜號(hào)”+“同域釣魚”的攻擊方式，也已經(jīng)成為釣魚郵件攻擊的流行手段。來(lái)自全球的郵件安全威脅仍然十分嚴(yán)峻。整體而言，全球垃圾郵件源呈現(xiàn)“核心收縮、邊緣擴(kuò)張”的態(tài)勢(shì)，中美雖仍為主導(dǎo)但控制力減弱，東歐、東南亞等地區(qū)逐漸形成新的次級(jí)策源地，除Top5外的中小規(guī)模垃圾郵件源國(guó)在加速擴(kuò)容，反監(jiān)測(cè)技術(shù)擴(kuò)散趨勢(shì)明顯。郵箱賬號(hào)盜取已形成了專門的黑色產(chǎn)業(yè)，盜號(hào)測(cè)試信是黑產(chǎn)盜取賬號(hào)成功的重要標(biāo)志；黑產(chǎn)暴力破解使用的口令字典，大部分通過(guò)目標(biāo)郵箱賬號(hào)名變形生成，其他占比達(dá)到73.2%。域名劫持技術(shù)被大范圍應(yīng)用于郵件攻擊，預(yù)計(jì)未來(lái)幾年內(nèi)，此類攻擊還有可能愈演愈烈。企業(yè)想要減少此類攻擊造成的損害，應(yīng)當(dāng)在郵件防護(hù)系統(tǒng)中謹(jǐn)慎設(shè)置郵箱域名的白名單。生成式AI成釣魚郵件內(nèi)容重要生產(chǎn)者，越來(lái)越多的攻擊者正在使用生成式AI，更加快速地制作更有針對(duì)性的惡意郵件文案內(nèi)容。郵件攻擊者，開始采用AI技術(shù)進(jìn)行自動(dòng)化的郵件攻擊，主要體現(xiàn)在目標(biāo)人群選擇、投放策略制定和口令爆破攻擊等方面。coremailCACTER摘要截至2024年底，國(guó)內(nèi)注冊(cè)的企業(yè)郵箱獨(dú)立域名約為530萬(wàn)個(gè)，活躍的國(guó)內(nèi)企業(yè)郵箱用戶規(guī)模約為2億。2024年，全國(guó)企業(yè)郵箱用戶共收發(fā)各類電子郵件約8188.4億封。其中，正常郵件占比46.8%、普通垃圾郵件38.3%、釣魚郵件9.2%、帶毒郵件5.4%、謠言郵件0.08%，色情、賭博等違法信息推廣郵件約0.17%。從正常郵件的發(fā)送量上來(lái)看，工業(yè)制造類企業(yè)全年發(fā)送的郵件數(shù)量最多，約為全國(guó)郵件教育培訓(xùn)、IT信息技術(shù)、互聯(lián)網(wǎng)等也都是郵件發(fā)送量較多的行業(yè)。從域名歸屬來(lái)看，國(guó)內(nèi)企業(yè)郵箱收到的所有垃圾郵件、釣魚郵件和帶毒郵件，美國(guó)都是最大的海外發(fā)送源。同時(shí)，自2022年以來(lái)，俄羅斯、烏克蘭也成為頭部的惡意郵件發(fā)送源。2024年，由于某些中文郵件黑產(chǎn)團(tuán)伙的突然活躍，國(guó)內(nèi)企業(yè)郵箱收到的釣魚郵件數(shù)量同比大幅增長(zhǎng)30.8%。年度最為流行的三種釣魚郵件類型分別是補(bǔ)貼/退稅（32.1%）、升級(jí)/擴(kuò)容（25%）和身份驗(yàn)證/備案（15.6%），三者之和占到了所有釣魚郵件總量的72.7%。2024年，國(guó)內(nèi)電子郵箱賬號(hào)被盜規(guī)模高達(dá)1074萬(wàn)個(gè)，占全年活躍郵箱賬號(hào)總量的5.37%；暴力破解是郵箱盜號(hào)最主要的手段，占到2024年郵箱異常登錄行為檢出總量的53.7%；由被盜號(hào)的電子郵箱發(fā)出的垃圾郵件，占到國(guó)內(nèi)企業(yè)郵箱收到的所有垃圾郵件總量的26.2%。黑產(chǎn)暴力破解最常使用的工具為sanmaoSmtpCracker.exe，占54.9%。同時(shí)該工具應(yīng)為國(guó)內(nèi)黑產(chǎn)使用的最主要暴力破解工具。黑產(chǎn)暴力破解使用的IP國(guó)內(nèi)和國(guó)外數(shù)量接近。黑產(chǎn)國(guó)內(nèi)IP資源呈現(xiàn)明顯的地區(qū)聚集性，集中于江蘇、湖北、遼寧三個(gè)省份，其中江蘇省達(dá)45.8%。除了生成式AI釣魚內(nèi)容之外，監(jiān)測(cè)顯示，已經(jīng)有越來(lái)越多的郵件攻擊者，開始采用AI技術(shù)進(jìn)行自動(dòng)化的郵件攻擊，主要體現(xiàn)在目標(biāo)人群選擇、投放策略制定和口令爆破攻擊等方面。關(guān)鍵詞：企業(yè)郵箱、垃圾郵件、釣魚郵件、帶毒郵件、暴力破解、生成式AI、域名攻擊coremailCACTER研究背景 1第一章電子郵箱應(yīng)用形勢(shì) 2一、電子郵箱的使用規(guī)模 2二、電子郵箱用戶行業(yè)分布 3三、電子郵件的地域分布 5四、電子郵件安全防護(hù)重要性 5第二章垃圾郵件形勢(shì)分析 6一、垃圾郵件的規(guī)模 6二、垃圾郵件發(fā)送源 6三、垃圾郵件受害者 7第三章釣魚郵件形勢(shì)分析 9一、釣魚郵件的規(guī)模 9二、釣魚郵件發(fā)送源 9三、釣魚郵件受害者 四、釣魚郵件年度主題榜 五、釣魚郵件的類型 第四章帶毒郵件形勢(shì)分析 22一、帶毒郵件的規(guī)模 22二、帶毒郵件發(fā)送源 22三、帶毒郵件受害者 23四、帶毒郵件的類型 24第五章電子郵箱賬號(hào)安全 25一、郵箱盜號(hào)的規(guī)模 25二、暴力破解的形勢(shì) 25三、郵箱盜號(hào)的影響 26四、基于盜號(hào)測(cè)試信的黑產(chǎn)攻擊分析 26第六章郵件攻擊典型案例 31一、變化多端的二維碼補(bǔ)貼詐騙類郵件 31二、最為常見的系統(tǒng)升級(jí)/擴(kuò)容釣魚郵件 34三、賊喊捉賊的身份驗(yàn)證釣魚郵件 35四、突然爆發(fā)的日語(yǔ)銀行卡詐騙郵件 36第七章郵件風(fēng)險(xiǎn)趨勢(shì)分析 38一、域名劫持技術(shù)被大范圍應(yīng)用于郵件攻擊 38二、郵件系統(tǒng)成為APT攻擊活動(dòng)的重要目標(biāo) 38三、郵件成為通往巨額商業(yè)詐騙的高速公路 39四、生成式AI成釣魚郵件內(nèi)容重要生產(chǎn)者 39附件1CACTER郵件安全品牌 41附件2CACTER郵件安全網(wǎng)關(guān) 42附件3CACTER郵件數(shù)據(jù)防泄露EDLP 44附件4奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng) 46附錄5奇安信觀星實(shí)驗(yàn)室 49CACTERcoreCACTER1研究背景在中國(guó)當(dāng)前網(wǎng)絡(luò)空間形勢(shì)下，社交網(wǎng)絡(luò)日益發(fā)達(dá)，電子郵件發(fā)展至今已有幾十年歷史，但仍是最重要的現(xiàn)代互聯(lián)網(wǎng)應(yīng)用之一。從個(gè)人生活到工作場(chǎng)景的使用，郵件都在現(xiàn)階段人們的生活中扮演著不可或缺的角色。近年來(lái)中國(guó)企業(yè)信息化辦公程度逐年升高，更是大大促進(jìn)了企業(yè)郵箱的使用，同時(shí)也使企業(yè)郵箱系統(tǒng)成為黑客入侵機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的首選入口。針對(duì)郵件系統(tǒng)在使用時(shí)存在的問(wèn)題，奇安信行業(yè)安全研究中心聯(lián)合Coremail郵件安全人工智能實(shí)驗(yàn)室、CACTER郵件安全研究團(tuán)隊(duì)，自2016年起合作編撰《中國(guó)企業(yè)郵箱安全性研究報(bào)告》，截至今年已連續(xù)發(fā)布十年。報(bào)告數(shù)據(jù)主要來(lái)自Coremail與奇安信集團(tuán)聯(lián)合監(jiān)測(cè)，報(bào)告內(nèi)容以電子郵箱的使用、垃圾郵件、釣魚郵件、帶毒郵件為主體，從規(guī)模、發(fā)送源、受害者及典型案例等方面分析中國(guó)企業(yè)郵箱安全性。本報(bào)告結(jié)合了Coremail、CACTER郵件安全與奇安信集團(tuán)多年在企業(yè)郵箱領(lǐng)域的豐富實(shí)踐經(jīng)驗(yàn)及研究經(jīng)驗(yàn)，相關(guān)研究成果具有很強(qiáng)的代表性。希望此份報(bào)告能夠?qū)Ω鱾€(gè)行業(yè)、單位，開展以郵件防護(hù)為基礎(chǔ)，增強(qiáng)完善整體網(wǎng)絡(luò)安全建設(shè)，提供一定參考。CACTERcoreCACTER2第一章電子郵箱應(yīng)用形勢(shì)根據(jù)Coremail郵件安全人工智能實(shí)驗(yàn)室與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測(cè)，同時(shí)綜合網(wǎng)易、騰訊、阿里巴巴等主流企業(yè)郵箱服務(wù)提供商的公開數(shù)據(jù)進(jìn)行分析評(píng)估，截止2024年底，國(guó)內(nèi)注冊(cè)的企業(yè)郵箱獨(dú)立域名約為530萬(wàn)個(gè)，相比2023年的528萬(wàn)個(gè)增長(zhǎng)了0.4%?；钴S的國(guó)內(nèi)企業(yè)郵箱用戶規(guī)模約為2億，與2023年用戶規(guī)模相比增長(zhǎng)約5.3%。2018年至2024年國(guó)內(nèi)企業(yè)級(jí)電子郵箱獨(dú)立域名與活躍用戶規(guī)模變化趨勢(shì)如下圖所示：從電子郵箱的使用情況來(lái)看，2024年，全國(guó)企業(yè)級(jí)郵箱用戶共收發(fā)各類電子郵件約8188.4億封，同比增長(zhǎng)了4.8%，日均收發(fā)電子郵件約22.4億封。其中，正常郵件占比約為46.8%、普通垃圾郵件占比為38.3%、釣魚郵件9.2%、帶毒CACTERcoreCACTER3僅就正常郵件而言，統(tǒng)計(jì)顯示，全國(guó)企業(yè)郵箱用戶在2024年共收發(fā)正常電子郵件約3828.9億封，比2023年增長(zhǎng)7.2%，平均每天收發(fā)正常電子郵件約10.5億封。不同于個(gè)人郵箱，企業(yè)郵箱的主要用途是辦公。因此，同一機(jī)構(gòu)內(nèi)部郵件互發(fā)往往會(huì)比較頻繁。抽樣統(tǒng)計(jì)顯示，2024年企業(yè)用戶發(fā)送的電子郵件中，約34.1%為機(jī)構(gòu)內(nèi)部郵件，24.5%為外部郵件，41.4%為內(nèi)外通發(fā)郵件（收件人既有機(jī)構(gòu)內(nèi)部，也有機(jī)構(gòu)外部）。對(duì)中國(guó)政企機(jī)構(gòu)獨(dú)立郵箱域名的抽樣分析顯示，從域名注冊(cè)量來(lái)看，工業(yè)制造類企業(yè)注冊(cè)的郵箱域名最多，占比為31%，其次是交通運(yùn)輸行業(yè)占比11.8%，外資機(jī)構(gòu)占比8%；還有IT信息技術(shù)占比7.9%，互聯(lián)網(wǎng)企業(yè)占比6.4%，金融行業(yè)占比6.1%等，這些都屬于電子coremailCACTER4郵箱使用獨(dú)立域名較多的行業(yè)。如果從正常郵件的發(fā)送量上來(lái)看，工業(yè)制造和交通運(yùn)輸行業(yè)發(fā)送的郵件數(shù)量最多。工業(yè)制造類企業(yè)全年發(fā)送的郵件數(shù)量，約為全國(guó)郵件發(fā)送總量的18.7%，排名第一；交通運(yùn)輸占比16.7%，排名第二；其次是媒體占比為12.6%；教育培訓(xùn)、互聯(lián)網(wǎng)、IT信息等也都是郵件發(fā)送量較多的行業(yè)。具體占比如下圖所示：對(duì)比獨(dú)立郵箱域名注冊(cè)量和郵件發(fā)送量，可以看出，就單個(gè)政企機(jī)構(gòu)而言，媒體、教育培訓(xùn)與醫(yī)療衛(wèi)生等行業(yè)對(duì)郵件辦公的依賴度最高。特別的，本次報(bào)告對(duì).edu（教育）、.org（組織機(jī)構(gòu)）和.gov（政府）三個(gè)域名的郵箱使用情況進(jìn)行了分析。其中，.郵箱域名在全國(guó)占比為0.08%，.的郵箱域名占比約為0.08%，.郵箱域名占比為0.03%。而從正常郵件發(fā)送量上來(lái)看，.郵箱占2.95%，.郵箱占0.96%，.郵箱占0.18%。CACTERcoreCACTER5統(tǒng)計(jì)顯示，2024年全國(guó)企業(yè)郵箱用戶收發(fā)的郵件以境內(nèi)收發(fā)為主。國(guó)內(nèi)收發(fā)占73%；海外收發(fā)27%。從服務(wù)器的所在地來(lái)看，2024年，國(guó)內(nèi)企業(yè)郵箱服務(wù)器設(shè)在北京的數(shù)量排名第一，占比為17.2%；上海排第二，占比為15.1%；杭州排名第三，占比6.9%。等惡意內(nèi)容占比近15%，日均威脅量超3.3億封。盡管病毒、謠言類郵件比例下降，但釣魚郵件同比激增1.8個(gè)百分點(diǎn)，攻擊手段持續(xù)復(fù)雜化。此類高風(fēng)險(xiǎn)郵件可能導(dǎo)致商業(yè)機(jī)密泄露、財(cái)務(wù)欺詐甚至關(guān)鍵系統(tǒng)癱瘓，對(duì)高度依賴郵件辦公的行業(yè)（如媒體、教育、政府）沖擊尤為顯著。值得注意的是，.edu（教育）、.gov（政府）等敏感域名雖注冊(cè)量不足0.1%，但郵件發(fā)送量占比顯著（如.占正常郵件2.95%）。這類機(jī)構(gòu)作為公共信息樞紐，一旦安全防線失守，不僅會(huì)引發(fā)敏感數(shù)據(jù)外泄，更可能削弱公眾對(duì)數(shù)字政務(wù)、在線教育等服務(wù)的信任基礎(chǔ)。由此可見，強(qiáng)化郵件安全防護(hù)（如反釣魚技術(shù)、內(nèi)容過(guò)濾）對(duì)維護(hù)企業(yè)持續(xù)運(yùn)營(yíng)、保護(hù)用戶信息安全、保障社會(huì)網(wǎng)絡(luò)空間穩(wěn)定愈發(fā)重要。coremailCACTER6第二章垃圾郵件形勢(shì)分析根據(jù)Coremail郵件安全人工智能實(shí)驗(yàn)室與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測(cè)評(píng)估，2024年，全國(guó)企業(yè)郵箱用戶共收到各類普通垃圾郵件3139.4億封，約占企業(yè)級(jí)用戶郵件收發(fā)總量的38%，是企業(yè)級(jí)用戶正常郵件數(shù)量的82%。普通垃圾郵件的收發(fā)量下降，而其他惡意郵件的收發(fā)量增多。具體分布如下圖所示：從發(fā)送者郵箱域名歸屬情況來(lái)看，2024年，全國(guó)企業(yè)郵箱收到的垃圾郵件中，來(lái)自國(guó)內(nèi)的垃圾郵件最多，占總數(shù)的35.5%，來(lái)自美國(guó)的垃圾郵件次之，占總量約17.7%，第三是俄羅斯，約占5.9%。下表給出了按照垃圾郵件數(shù)量統(tǒng)計(jì)的，歷年垃圾郵件發(fā)送源國(guó)別歸屬排行Top5。整體而言，全球垃圾郵件源呈現(xiàn)“核心收縮、邊緣擴(kuò)張”的態(tài)勢(shì)，中美雖仍為主導(dǎo)但控制力減弱，東歐、東南亞等地區(qū)逐漸形成新的次級(jí)策源地，“其他”國(guó)家合計(jì)占比從27.1%增至30.3%，表明除Top5外的中小規(guī)模垃圾郵件源國(guó)在加速擴(kuò)容，反監(jiān)測(cè)技術(shù)擴(kuò)散趨勢(shì)明顯。表1歷年垃圾郵件發(fā)送源國(guó)別歸屬排行Top5（按照垃圾郵件數(shù)量統(tǒng)計(jì)）2022年2023年2024年排名141.9%38.6%35.5%2美國(guó)19.4%美國(guó)20.4%美國(guó)17.7%3俄羅斯6.7%俄羅斯7.2%俄羅斯5.9%4英國(guó)烏克蘭3.7%烏克蘭3.0%5烏克蘭英國(guó)2.8%英國(guó)2.3%其他28.3%其他27.1%其他30.3%CACTERcoreCACTER7僅就國(guó)內(nèi)情況來(lái)看，從發(fā)送者的域名歸屬地來(lái)看，來(lái)自北京的垃圾郵件發(fā)送者最多，占國(guó)內(nèi)垃圾郵件發(fā)送總量的14.5%，其次為江蘇，占比8.4%，廣東排第三，占比8.4%。下圖給出了國(guó)內(nèi)垃圾郵件發(fā)送源域名歸屬省份Top10及其垃圾郵件發(fā)送量占比情況：對(duì)發(fā)送垃圾郵件的郵箱域名進(jìn)行抽樣行業(yè)分析顯示，2024年，國(guó)內(nèi)垃圾郵件發(fā)送源中教育培訓(xùn)占比最高，為8.7%；其次為工業(yè)制造類企業(yè)，占比5.6%；互聯(lián)網(wǎng)企業(yè)排名第三，占比3.2%。下圖給出了國(guó)內(nèi)垃圾郵件發(fā)送源行業(yè)分布：從收到垃圾郵件的受害者服務(wù)器所在地來(lái)看，2024年北京用戶收到的垃圾郵件最多，共收到了占比高達(dá)全國(guó)17.9%的垃圾郵件；其次為廣東，收到了全國(guó)14.3%的垃圾郵件；上海排名第三，收到了全國(guó)13.1%的垃圾郵件。下圖給出了國(guó)內(nèi)企業(yè)郵箱用戶中垃圾郵件受害者的省級(jí)行政區(qū)分布Top10。coremailCACTER8國(guó)內(nèi)垃圾郵件受害者所在行業(yè)也比較集中，排名前十的行業(yè)收到的垃圾郵件數(shù)量，占垃圾郵件總數(shù)的73.5%。其中，工業(yè)制造行業(yè)排名第一，約占垃圾郵件總數(shù)的20.3%；教育培訓(xùn)排名第二，約占15.1%；排名第三的行業(yè)為交通運(yùn)輸，占11.5%。具體Top10行業(yè)排名如下圖所示。CACTERcoreCACTER9第三章釣魚郵件形勢(shì)分析在本章內(nèi)容中，釣魚郵件是指含有惡意欺詐信息的郵件，包括OA釣魚郵件、魚叉郵件、釣鯨郵件、CEO仿冒郵件和其他各類釣魚欺詐郵件，但不包括帶毒郵件、非法郵件等。其中，魚叉郵件是指針對(duì)特定目標(biāo)投遞特定主題及內(nèi)容的欺詐電子郵件。相比一般的釣魚郵件，魚叉郵件往往更具迷惑性，同時(shí)也可能具有更加隱秘的攻擊目的。而釣鯨郵件則是指那些專門針對(duì)企業(yè)高管或重要部門進(jìn)行的魚叉郵件攻擊。而CEO仿冒郵件則是指冒充企業(yè)高管對(duì)公司員工或某些部門進(jìn)行的魚叉郵件攻擊。根據(jù)Coremail郵件安全人工智能實(shí)驗(yàn)室與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測(cè)評(píng)估，2024年，全國(guó)企業(yè)郵箱用戶共收到各類釣魚郵件約755.0億封，相比2023年收到各類釣魚郵件的577.1億封增加了30.8%。網(wǎng)絡(luò)釣魚攻擊事件逐年增加，釣魚郵件數(shù)量在2021年短暫抑制后，持續(xù)迅猛增長(zhǎng)。釣魚郵件作為網(wǎng)絡(luò)攻擊最常用的手段，可以說(shuō)是自電子郵件誕生以來(lái)一直存在的安全威脅。2024年全國(guó)企業(yè)郵箱用戶收到的釣魚郵件數(shù)量約占企業(yè)級(jí)用戶郵件收發(fā)總量的9.2%，平均每天約有2.1億封釣魚郵件被發(fā)出和接收。換種說(shuō)法，即平均每個(gè)企業(yè)郵箱用戶每月會(huì)收到約31封釣魚郵件。根據(jù)Coremail郵件安全人工智能實(shí)驗(yàn)室與奇安信行業(yè)安全研究中心聯(lián)合監(jiān)測(cè)，釣魚郵件的發(fā)送者遍布全球，其中，來(lái)自中國(guó)的釣魚郵件最多，占國(guó)內(nèi)企業(yè)用戶收到釣魚郵件總量的42.9%；其次是美國(guó)，約占13.9%；俄羅斯排名第三，約占8.4%。下表給出了按照釣魚郵件數(shù)量統(tǒng)計(jì)的，歷年釣魚郵件發(fā)送源國(guó)別歸屬排行Top5。coremailCACTER表2歷年釣魚郵件發(fā)送源國(guó)別歸屬排行Top5（按照釣魚郵件數(shù)量統(tǒng)計(jì)）2022年2023年2024年排名1美國(guó)31.50%48.40%42.90%218.40%美國(guó)12.40%美國(guó)13.90%3俄羅斯3.30%俄羅斯7.90%俄羅斯8.40%4英國(guó)3.10%烏克蘭2.70%荷蘭2.60%5羅馬尼亞2.90%西班牙1.80%新加坡2.50%其他40.80%其他26.80%其他29.70%可以看出，2024年，來(lái)自國(guó)內(nèi)發(fā)送源的釣魚郵件數(shù)量占比雖小幅下降至42.9%，但仍穩(wěn)居第一。具體來(lái)看，以下幾個(gè)因素是導(dǎo)致這一情況出現(xiàn)的主要原因：1.新的中文郵件黑產(chǎn)團(tuán)伙出現(xiàn)。自2023年第三季度開始，有大量專門針對(duì)中文用戶的釣魚郵件黑產(chǎn)團(tuán)伙開始變得活躍，一直持續(xù)到2024年，從而導(dǎo)致來(lái)自國(guó)內(nèi)的釣魚郵件數(shù)量占比快速增長(zhǎng)。2.新的攻擊節(jié)點(diǎn)被利用。2024年出現(xiàn)了大量通過(guò)我國(guó)香港地區(qū)服務(wù)器發(fā)送的釣魚郵件，黑產(chǎn)團(tuán)伙通過(guò)香港地區(qū)作為新的攻擊節(jié)點(diǎn)，發(fā)動(dòng)了大規(guī)模的釣魚攻擊，嚴(yán)重威脅到企業(yè)用戶的信息安全。3.生成式AI加劇釣魚郵件威脅?？焖侔l(fā)展的生成式人工智能顯著提升了釣魚攻擊的復(fù)雜度與隱蔽性，攻擊者通過(guò)AI自動(dòng)化生成發(fā)送高度擬人化的釣魚郵件，精準(zhǔn)模仿企業(yè)/個(gè)人語(yǔ)言風(fēng)格，實(shí)現(xiàn)低成本而高成功率的攻擊鏈。這種動(dòng)態(tài)演進(jìn)的威脅模式對(duì)傳統(tǒng)防御策略提出了更高的挑戰(zhàn)，推動(dòng)企業(yè)與安全廠商加速研發(fā)AI驅(qū)動(dòng)的防御工具以應(yīng)對(duì)持續(xù)升級(jí)的威脅。4.云服務(wù)平臺(tái)濫用問(wèn)題依舊。雖然有部分云服務(wù)平臺(tái)在用戶的持續(xù)舉報(bào)中加強(qiáng)了安全監(jiān)管，但仍有不少漏洞被黑產(chǎn)團(tuán)伙鉆了空子，導(dǎo)致釣魚郵件泛濫。5.盜號(hào)問(wèn)題依舊嚴(yán)峻。大量被入侵的境內(nèi)設(shè)備（如物聯(lián)網(wǎng)設(shè)備、個(gè)人電腦等）被用作釣魚郵件發(fā)送節(jié)點(diǎn)。上述多種因素，最終也導(dǎo)致2024全年釣魚郵件數(shù)量有一個(gè)明顯的增長(zhǎng)。從國(guó)內(nèi)釣魚郵件發(fā)送源的服務(wù)器所在地來(lái)看，香港特別行政區(qū)超越了江蘇省成為國(guó)內(nèi)發(fā)送釣魚郵件最多的省級(jí)行政區(qū)，有17.8%的釣魚郵件來(lái)自香港的郵箱；江蘇的釣魚郵件活動(dòng)依舊活躍，有約14.9%的釣魚郵件來(lái)自江蘇；另有約9.6%的釣魚郵件來(lái)自廣東。國(guó)內(nèi)釣魚郵件發(fā)送源發(fā)送釣魚郵件數(shù)量Top10省級(jí)行政區(qū)分布如下圖所示：從收到釣魚郵件的受害者服務(wù)器所在地來(lái)看，北京用戶收到的釣魚郵件最多，有24.7%的釣魚郵件被發(fā)送至北京的企業(yè)郵箱用戶；另有約15.3%的釣魚郵件被發(fā)送給廣東用戶；約13.9%的釣魚郵件被發(fā)送給上海用戶。2024年國(guó)內(nèi)釣魚郵件受害者數(shù)量Top10省級(jí)行政區(qū)分布如下圖所示：國(guó)內(nèi)釣魚郵件受害者所在行業(yè)也比較集中，排名前十的行業(yè)收到的釣魚郵件數(shù)量，占釣魚郵件總數(shù)的75.3%。其中，工業(yè)制造行業(yè)排名第一，約占釣魚郵件總數(shù)的23.6%；教育培訓(xùn)排名第二，約占12.7%；排名第三的行業(yè)為交通運(yùn)輸，占10.8%。具體Top10行業(yè)排名如下圖所示。從主題分布榜單分析，當(dāng)前釣魚郵件攻擊呈現(xiàn)兩個(gè)顯著特征：一是以系統(tǒng)通知類主題為主導(dǎo)誘騙方式，通過(guò)模仿正規(guī)郵件系統(tǒng)的服務(wù)提醒實(shí)施定向欺詐；二是日文語(yǔ)言類釣魚郵件數(shù)量呈現(xiàn)爆發(fā)式增長(zhǎng)，顯示攻擊者正針對(duì)特定語(yǔ)言群體進(jìn)行精準(zhǔn)化滲透。從具體內(nèi)容來(lái)看，2024年流行的釣魚郵件主要有8種類型，分別是：補(bǔ)貼/退稅、升級(jí)/擴(kuò)容、身份驗(yàn)證/備案、銀行卡信息詐騙、虛假發(fā)票、冒充詢盤、虛假快遞、系統(tǒng)退信。其中，補(bǔ)貼/退稅類釣魚郵件數(shù)量最多，占比約為32.1%；其次是升級(jí)/擴(kuò)容類釣魚郵件，占比約為25.0%；身份驗(yàn)證/備案類釣魚郵件排第三，占比約為15.6%。Top3之和占到了所有釣魚郵件總量的72.7%。具體分布，詳見下圖。下面將對(duì)2024年流行的釣魚郵件類型做詳細(xì)說(shuō)明并舉例。1.補(bǔ)貼/退稅這是一類專門冒充國(guó)家有關(guān)部門或公司人力資源部門，打著給員工發(fā)放補(bǔ)貼、辦理退稅等借口，誘騙企業(yè)員工登錄釣魚網(wǎng)站，以騙取受害人個(gè)人信息的釣魚郵件。下面幾圖是此類釣魚郵件的真實(shí)案例。CACTERcoreCACTER2.升級(jí)/擴(kuò)容這是一類專門以系統(tǒng)升級(jí)或系統(tǒng)擴(kuò)容等理由，誘騙受害者在釣魚網(wǎng)站上登錄，從而盜取受害者賬號(hào)、口令等信息的釣魚郵件。下面幾圖是此類釣魚郵件的真實(shí)案例。CACTERcoreCACTER3.身份驗(yàn)證/備案這是一類專門誘騙受害者在虛假的釣魚網(wǎng)站上，進(jìn)行身份驗(yàn)證或身份備案的釣魚郵件，目的是盜取受害者的賬號(hào)、口令和個(gè)人信息。此類郵件誘騙受害者的理由多種多樣，最為常見的是以保護(hù)郵件系統(tǒng)安全性為由要求用戶進(jìn)行身份驗(yàn)證/備案，具體理由包括但不限于離職員工郵箱管理、賬號(hào)密碼重置、異常登錄通知等。下面幾圖是此類釣魚郵件的真實(shí)案例。CACTERcoreCACTER4.銀行卡信息詐騙這是一類冒充銀行或者支付平臺(tái)，以銀行卡信息需要驗(yàn)證、支付功能故障、信用卡到期等為借口，誘導(dǎo)收件用戶進(jìn)入釣魚鏈接，以騙取受害人個(gè)人信息及錢財(cái)?shù)尼烎~郵件。下面幾圖是此類釣魚郵件的真實(shí)案例。CACTERcoreCACTER5.虛假發(fā)票這是一類專門通過(guò)發(fā)送虛假發(fā)票信息，誘騙受害者下載電子發(fā)票，從而盜取受害者個(gè)人信息和公司財(cái)務(wù)信息的釣魚郵件。其中，還有部分此類郵件誘導(dǎo)受害下載的所謂電子發(fā)票，實(shí)際上是木馬、病毒等惡意程序。需要說(shuō)明的是，由于電子發(fā)票目前在生活、工作中的應(yīng)用非常廣泛，所以不論是單位或個(gè)人，收到電子發(fā)票相關(guān)的郵件，一般都不會(huì)感到意外，下載發(fā)票或點(diǎn)開附件都是常事。但如果總是習(xí)慣性地忽視正常發(fā)票郵件中可能夾雜的釣魚郵件，就有可能給個(gè)人或企業(yè)造成重大的損失。下面幾圖是此類釣魚郵件的真實(shí)案例。CACTERcoreCACTERcoremailCACTER6.虛假快遞這是一類專門冒充快遞公司，以結(jié)算、包裹等名義發(fā)出的釣魚郵件。此類郵件或者是夾帶惡意附件，或者是通過(guò)釣魚網(wǎng)站鏈接盜取受害者個(gè)人信息。下圖是此類釣魚郵件的真實(shí)案例。CACTERcoreCACTER7.其他詐騙郵件除了上述最為典型的6種釣魚郵件外，2024年，還有其他很多不同類型的詐騙郵件出現(xiàn)。不過(guò)由于整體數(shù)量不大，這里不再做詳細(xì)分類，只是把一些典型案例做個(gè)舉例。下圖是聲稱你侵權(quán)需要你在線申訴的釣魚郵件。下圖是一封冒充績(jī)效報(bào)告誘導(dǎo)點(diǎn)擊的釣魚郵件。CACTERcoreCACTER下圖是冒充律師事務(wù)所，發(fā)送虛假律師函件的釣魚郵件。coremailCACTER第四章帶毒郵件形勢(shì)分析根據(jù)Coremail郵件安全人工智能實(shí)驗(yàn)室與奇安信行業(yè)安全研究中心聯(lián)合監(jiān)測(cè)評(píng)估，2024年，全國(guó)企業(yè)級(jí)用戶共收到約444.6億封帶毒郵件，相比2023年收到的452.3億封帶毒郵件相比，同比減少了1.7%。2024年企業(yè)級(jí)用戶收到的帶毒郵件量約占用戶收發(fā)郵件總量的5.4%。平均每天約有1.2億封帶毒郵件被發(fā)出和接收。Coremail郵件安全人工智能實(shí)驗(yàn)室與奇安信行業(yè)安全研究中心對(duì)帶毒郵件的發(fā)送源頭進(jìn)行了分析。據(jù)統(tǒng)計(jì)，帶毒郵件的發(fā)送者多集中于北美洲與歐亞。其中，來(lái)自美國(guó)的帶毒郵件最多占全球帶毒郵件的28.2%；荷蘭排名第二，占18%；保加利亞排名第三，占6.1%。最近三年針對(duì)國(guó)內(nèi)企業(yè)級(jí)用戶發(fā)送帶毒郵件的發(fā)送源全球分布及占比情況如下表所示。表3歷年帶毒郵件發(fā)送源國(guó)別歸屬排行Top5（按照帶毒郵件數(shù)量統(tǒng)計(jì)）2022年2023年2024年排名1美國(guó)22.40%美國(guó)23.70%美國(guó)28.20%2保加利亞10.90%匈牙利18.50%荷蘭18.00%39.30%俄羅斯7.00%保加利亞6.10%4匈牙利3.80%德國(guó)3.70%英國(guó)4.80%5俄羅斯3.20%3.10%土耳其2.90%其他50.40%其他44.00%其他40.10%對(duì)比過(guò)去三年的情況可以發(fā)現(xiàn)，美國(guó)始終是全球最大的帶毒郵件發(fā)源地。而中國(guó)服務(wù)商對(duì)于帶毒郵件的治理則有顯著成效，帶毒郵件發(fā)送量從2021年的占比20.8%，連續(xù)數(shù)年大幅下降至2024年的2.6%，排名下降至第七。這也表明，在郵件反病毒領(lǐng)域，國(guó)內(nèi)各大郵件服務(wù)商已取得重大進(jìn)展。從收到帶毒郵件的受害者服務(wù)器所在地來(lái)看，2024年北京用戶收到的帶毒郵件最多，全國(guó)占比高達(dá)33.6%的帶毒郵件；其次為廣東，全國(guó)占比14.6%；上海排名第三，全國(guó)占比12.9%。下圖給出了國(guó)內(nèi)企業(yè)郵箱用戶中帶毒郵件受害者的省級(jí)行政區(qū)分布Top10。國(guó)內(nèi)帶毒郵件受害者所在行業(yè)也比較集中，排名前十的行業(yè)收到的帶毒郵件數(shù)量，占帶毒郵件總數(shù)的78.2%。其中，工業(yè)制造行業(yè)排名第一，約占帶毒郵件總數(shù)的20.2%；教育培訓(xùn)排名第二，約占15.3%；排名第三的行業(yè)為交通運(yùn)輸，占12.9%。具體Top10行業(yè)排名如下圖所示。通過(guò)對(duì)帶毒郵件附件文件的后綴分析發(fā)現(xiàn)，.rar和.zip兩種壓縮格式最為常見，占比分別為24.7%和13.5%。.gz、.tar和.7z分列第三到第五位。在排名Top5的后綴名中，4個(gè)都是壓縮文件格式。由此可見，壓縮包是郵件攻擊者最喜歡使用的病毒隱藏方式。不過(guò)，隨著郵件反病毒技術(shù)的日益成熟，一般的壓縮技術(shù)已經(jīng)不能阻礙郵件反病毒引擎的查殺。CACTERcoreCACTER第五章電子郵箱賬號(hào)安全盜號(hào)，是電子郵箱賬號(hào)安全的主要問(wèn)題。根據(jù)Coremail郵件安全人工智能實(shí)驗(yàn)室與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測(cè)顯示：2024年，國(guó)內(nèi)電子郵箱賬號(hào)被盜規(guī)模高達(dá)1074萬(wàn)個(gè)，占全年活躍郵箱賬號(hào)總量的5.37%。從過(guò)去幾年的總體情況來(lái)看，郵箱盜號(hào)問(wèn)題仍在持續(xù)加劇：2024年國(guó)內(nèi)企業(yè)郵箱賬號(hào)被盜總量是2020年的近2.3倍；被盜賬號(hào)數(shù)量在當(dāng)年活躍郵箱賬號(hào)中的占比也從2.97%猛增到5.37%。郵箱賬號(hào)安全管理問(wèn)題亟待加強(qiáng)。暴力破解是郵箱盜號(hào)最主要的手段，占到2024年郵箱異常登錄行為檢出總量的53.7%。從歷年趨勢(shì)來(lái)看，盡管暴力破解活動(dòng)在所有異常登錄行為中的占比逐年下降，從2020年的56.6%逐步下降至2023年的53.1%，在2024年又小幅增長(zhǎng)到53.7%，過(guò)去5年的占比始終保持在50%以上。這也就意味著：“防爆破”目前仍然是電子郵箱賬號(hào)安全的最大威脅。嚴(yán)格禁止弱口令，采取有效的防爆破措施，對(duì)于電子郵件系統(tǒng)來(lái)說(shuō)非常重要。郵箱盜號(hào)問(wèn)題帶來(lái)的一個(gè)直接影響，就是垃圾郵件、釣魚郵件、帶毒郵件數(shù)量的增加。統(tǒng)計(jì)顯示，自2020年以來(lái)，利用被盜號(hào)的郵箱發(fā)送垃圾郵件的活動(dòng)就一直非?；钴S。2022年高峰時(shí)期，由被盜號(hào)的電子郵箱發(fā)出的垃圾郵件，曾一度占到國(guó)內(nèi)企業(yè)郵箱收到的所有垃圾郵件的31.6%。2024年雖然比例有所下降，但占比也高達(dá)26.2%，共計(jì)約822.5億封。除此之外，郵箱賬號(hào)被盜，還會(huì)引發(fā)商業(yè)機(jī)密泄露、商業(yè)郵件詐騙等風(fēng)險(xiǎn)發(fā)生。2024年最新相關(guān)案例將在“第六章郵件攻擊典型案例”中進(jìn)行介紹。2024年郵箱盜號(hào)攻擊頻發(fā)，為此Coremail對(duì)黑產(chǎn)盜號(hào)行為進(jìn)行了專項(xiàng)研究。盜號(hào)測(cè)試信是黑產(chǎn)在盜取郵箱賬號(hào)后發(fā)送的測(cè)試性郵件，一些黑產(chǎn)在使用腳本爆破賬號(hào)成功后，會(huì)發(fā)送一封測(cè)試信到自己的郵箱，測(cè)試信通常會(huì)帶有用戶名、密碼、登錄地址等。其目的，一是測(cè)試郵箱能否對(duì)外發(fā)信，二是在大規(guī)模賬號(hào)破解時(shí)便于收集賬號(hào)信息。一個(gè)典型的盜號(hào)測(cè)試信內(nèi)容如下：2024年Q4，Coremail郵件安全人工智能實(shí)驗(yàn)室共監(jiān)測(cè)到盜號(hào)測(cè)試信12833封，涉及受害郵箱賬號(hào)3746個(gè)，受害域名1048個(gè)，攻擊者使用的郵箱933個(gè)，黑產(chǎn)使用的IP6524個(gè)。（一）黑產(chǎn)盜號(hào)攻擊綜述Coremail郵件安全人工智能實(shí)驗(yàn)室經(jīng)過(guò)長(zhǎng)期在郵件安全領(lǐng)域與黑產(chǎn)攻防對(duì)抗發(fā)現(xiàn)，目前郵箱賬號(hào)盜取已形成了專門的黑色產(chǎn)業(yè)，從事郵箱盜號(hào)的黑產(chǎn)團(tuán)伙已經(jīng)掌握了專業(yè)工具和大量的IP資源池，同時(shí)分工合作形成了產(chǎn)業(yè)鏈。（二）黑產(chǎn)盜號(hào)使用的口令2024年Q4監(jiān)測(cè)到盜號(hào)測(cè)試信涉及的被盜郵箱賬號(hào)共3746個(gè)，針對(duì)包含口令信息的3156個(gè)樣本，我們分析了被盜賬號(hào)使用的口令特征。被盜賬號(hào)使用的口令主要分為以下三類：qwer@1234、asd123。常見弱口令導(dǎo)致被盜的賬號(hào)占比已經(jīng)非常小。2.使用用戶名根據(jù)特定規(guī)則構(gòu)造（重要此類口令并非常見的弱口令，甚至可能符合強(qiáng)口令復(fù)雜度要求，但是這類口令具有特定特征，攻擊者很容易構(gòu)造出此類口令。例如：姓名縮寫@123456、姓名全拼2024、企業(yè)英文名稱888。3.其他規(guī)則口令：此類口令無(wú)特定規(guī)律，攻擊者無(wú)法通過(guò)郵箱賬號(hào)等要素來(lái)構(gòu)造。因此判斷用戶被釣魚泄露，或者口令在社工庫(kù)中泄露。CACTERcoreCACTER使用特定規(guī)則的口令已經(jīng)成為賬號(hào)被黑產(chǎn)盜取的主要原因，其占比高達(dá)73.2%。黑產(chǎn)根據(jù)郵箱賬號(hào)進(jìn)行變形，構(gòu)造暴力破解的口令字典。口令構(gòu)造基本結(jié)構(gòu)有三種：“賬號(hào)名變形”+“常用數(shù)字組合”、“賬號(hào)名變形”+“@”+“常用數(shù)字組合”、“賬號(hào)名變形”+“常用數(shù)字組合”+“！”1.賬號(hào)名變形：包括郵箱賬號(hào)名、姓名縮寫、姓名縮寫大寫、姓名縮寫首字母大寫、郵箱域名。2.特殊字符：@通常在中間通常在結(jié)尾。3.常用數(shù)字組合：包括常見數(shù)字串12345、123、123456和年份2025、2024等。假設(shè)爆破目標(biāo)賬號(hào)為lihua@，則根據(jù)黑產(chǎn)常用規(guī)則，將構(gòu)造口令字典如下：lihua@123、lihua@123456、lihua@2024、lh@123、Lh1234、coremail23456、Lh1234!等。如果用戶規(guī)避掉上述口令構(gòu)造方式，可以大幅提升賬號(hào)安全性。（三）黑產(chǎn)盜取賬號(hào)使用的工具本次監(jiān)測(cè)到的黑產(chǎn)使用的暴力破解工具主要包括“smtpcracker”“SMTPCracker”“MadCatsmtp-Checker”等開源工具，非開源工具主要包括“sanmaoMailCracker.exe”“SMTPTESTERALLINONE”。黑產(chǎn)使用最多的smtp暴力破解工具是sanmaoMailCracker，占比高達(dá)54.9%。使用該工具的黑產(chǎn)團(tuán)伙通常使用國(guó)內(nèi)代理IP和國(guó)內(nèi)收信域名，代理IP集中于江蘇、湖北、遼寧三個(gè)省。推測(cè)該工具極可能是國(guó)內(nèi)郵件盜號(hào)黑產(chǎn)最主要的暴力破解工具。（四）黑產(chǎn)盜取賬號(hào)使用的IP分布針對(duì)2024年Q4盜號(hào)測(cè)試信使用的IP分布進(jìn)行分析。其中6749次攻擊記錄來(lái)自國(guó)內(nèi)，6084次攻擊記錄來(lái)自國(guó)外。CACTERcoreCACTER攻擊IP共分布在多達(dá)2950個(gè)C段，在整個(gè)Q4平均每個(gè)C段用于發(fā)送盜號(hào)測(cè)試信僅4.35次！這說(shuō)明黑產(chǎn)已經(jīng)掌握了大量的IP池資源。同時(shí)，針對(duì)IP和C段的封禁策略針對(duì)當(dāng)前的黑產(chǎn)資源規(guī)模已經(jīng)難以奏效。（五）結(jié)論通過(guò)對(duì)2024年Q4黑產(chǎn)盜號(hào)測(cè)試信的研究得出以下關(guān)鍵結(jié)論：1.目前郵箱賬號(hào)盜取已形成了專門的黑色產(chǎn)業(yè)，盜號(hào)測(cè)試信是黑產(chǎn)盜取賬號(hào)成功的重要標(biāo)志；2.黑產(chǎn)暴力破解使用的口令字典，大部分通過(guò)目標(biāo)郵箱賬號(hào)名變形生成，其他占比達(dá)到73.2%。黑產(chǎn)構(gòu)造口令常用的規(guī)則為：“賬號(hào)名變形”+“常用數(shù)字組合”、“賬號(hào)名變形”+“@”+“常用數(shù)字組合”、“賬號(hào)名變形”+“常用數(shù)字組合”+“！”,用戶如果規(guī)避掉這種口令規(guī)則可以大幅降低賬號(hào)被暴力破解的風(fēng)險(xiǎn)。coremailCACTER3.黑產(chǎn)暴力破解最常使用的工具為sanmaoSmtpCracker.exe，占54.9%，同時(shí)該工具應(yīng)為國(guó)內(nèi)黑產(chǎn)使用的最主要暴力破解工具。4.黑產(chǎn)暴力破解使用的IP國(guó)內(nèi)和國(guó)外數(shù)量接近。黑產(chǎn)國(guó)內(nèi)IP資源呈現(xiàn)明顯的地區(qū)聚集性，集中于江蘇、湖北遼寧三個(gè)省份，其中江蘇省達(dá)45.8%。CACTERcoreCACTER第六章郵件攻擊典型案例本章主要介紹2024年，各種流行的郵件攻擊典型案例，并結(jié)合案例實(shí)際情況，給出鑒別相關(guān)郵件真?zhèn)蔚姆椒鞍踩ㄗh。2024年11月某企業(yè)員工小李收到了一封關(guān)于“五險(xiǎn)一金補(bǔ)貼資格認(rèn)證”的郵件。郵件的附件是一張圖片，內(nèi)容看起來(lái)是非常正式的政府通知。看到國(guó)家人社部的標(biāo)題和備案信息，小李沒(méi)有再懷疑，非常高興地掃描二維碼。coremailCACTER掃碼后，小李根據(jù)指引，填入了自己收款的銀行卡信息、姓名、身份證號(hào)、手機(jī)號(hào)、支付密碼，并且根據(jù)指引進(jìn)行短信驗(yàn)證碼的認(rèn)證。完成一系列操作后，小李非常開心地等待著收款。然而很快，他卻收到通知，發(fā)現(xiàn)自己銀行卡的余額居然被轉(zhuǎn)走了！小李這才意識(shí)到原來(lái)這是一封詐騙郵件，他追悔莫及。原來(lái)小李在掃碼后進(jìn)入了釣魚網(wǎng)站，已經(jīng)將自己在銀行預(yù)留的全部驗(yàn)證信息都泄露給了騙子，甚至幫助騙子完成了短信認(rèn)證！2024年以補(bǔ)貼、報(bào)稅、年終獎(jiǎng)等主題的二維碼詐騙類郵件依然大行其道。這種攻擊手法自2021年起就一直處于持續(xù)流行狀態(tài)。2024年，此類釣魚郵件已經(jīng)成為數(shù)量最多危害最大的釣魚郵件。此類郵件大多打著人力資源部或財(cái)政部的名義發(fā)放“補(bǔ)貼”，只不過(guò)掃碼之后的釣魚網(wǎng)站大多都會(huì)套取身份信息和銀行卡信息。騙子們?cè)讷@得關(guān)鍵信息后，就會(huì)開始盜刷網(wǎng)銀，并誘騙受害者在釣魚頁(yè)面上填寫驗(yàn)證碼，從而完成盜刷轉(zhuǎn)賬活動(dòng)。2024年此詐騙郵件出現(xiàn)了非常多的變種，一些詐騙郵件采用了加密，并將密碼標(biāo)注在了標(biāo)題中，解密后才能看到通知內(nèi)容；一些詐騙郵件將“補(bǔ)貼通知”包含在圖片中；還有一些郵件中附帶超鏈接，點(diǎn)擊超鏈接進(jìn)入的網(wǎng)站有“補(bǔ)貼通知”和二維碼。由于這些變種對(duì)通知正文進(jìn)行了各種隱藏，因此沒(méi)有專業(yè)的郵件安全網(wǎng)關(guān)設(shè)備的情況下很難有效對(duì)其進(jìn)行識(shí)別和攔截。以下是一些此類詐騙郵件的變種。CACTERcoreCACTER雖然此類詐騙手法狡猾多變，但也是有明顯的特征的，只要掌握識(shí)別方法，還是可以通過(guò)“肉眼”輕松識(shí)破的。以下幾點(diǎn)可以參考。鑒別方法1.任何國(guó)家部委機(jī)關(guān)都不可能直接給普通的個(gè)人郵箱發(fā)送郵件。所以，來(lái)自任何國(guó)家機(jī)關(guān)的“廣告式”郵件一定都是詐騙。2.人社部從未通過(guò)郵件發(fā)放過(guò)任何補(bǔ)貼，任何以人社部、財(cái)務(wù)部為名義的涉及補(bǔ)貼的CACTERcoreCACTER郵件都是詐騙。3.任何政府通知、人力資源部通知都不會(huì)使用加密的方式發(fā)送。4.需要同時(shí)輸入銀行卡號(hào)、銀行卡密碼、短信驗(yàn)證碼的除網(wǎng)上銀行以外的頁(yè)面都是詐騙網(wǎng)站。2024年11月某知名制造業(yè)公司員工小王在垃圾郵件箱中發(fā)現(xiàn)了一封“備案升級(jí)通知”。為了確保郵箱正常使用，他立即點(diǎn)擊鏈接，輸入了賬號(hào)和密碼進(jìn)行“備案”。第二天郵件管理員通知小王，他的郵箱在異常地點(diǎn)登錄，并且對(duì)外發(fā)送了大量的垃圾郵件。管理員已經(jīng)將他的郵箱鎖定。鑒別方法以系統(tǒng)升級(jí)、擴(kuò)容、備案為話題的釣魚郵件是最為常見的類型。對(duì)于此類郵件可以使用以下方法鑒別：1.系統(tǒng)通知郵件認(rèn)清發(fā)信人域名在收到各類“系統(tǒng)通知”時(shí)，注意認(rèn)清發(fā)信人域名，辦公系統(tǒng)和管理員不可能使用外部域名發(fā)送通知。CACTERcoreCACTER2.備案、升級(jí)等都是釣魚話術(shù)但凡使用郵箱備案、安全升級(jí)、郵箱搬家、幽靈賬號(hào)（長(zhǎng)期無(wú)人使用的賬號(hào)）清理等借口，要求用戶通過(guò)指定鏈接進(jìn)行登錄的，全部都是釣魚郵件。正常情況下，IT部門或網(wǎng)絡(luò)安全部門只會(huì)要求員工正常登錄自己的郵箱系統(tǒng)后再進(jìn)行安全操作或升級(jí)操作。3.垃圾郵件箱中郵件的處理應(yīng)格外謹(jǐn)慎2024年有多起案例是由于員工查看垃圾箱中的釣魚郵件導(dǎo)致。對(duì)于垃圾箱郵件的處理一定要格外小心，不要點(diǎn)擊其中的任何鏈接，不要下載其中的任何附件。2024年12月某知名IT企業(yè)員工小張突然收到一封“郵件異常登錄提醒”，郵件顯示他的郵箱幾天前在一個(gè)加拿大的IP被異常登錄。小張心中一驚，難道自己的賬號(hào)被盜了？于是他立即點(diǎn)擊鏈接，對(duì)賬號(hào)進(jìn)行了“安全認(rèn)證”。然而第二天小張發(fā)現(xiàn)自己的郵箱已經(jīng)無(wú)法登錄，于是聯(lián)系了郵箱管理員。管理員排查日志，發(fā)現(xiàn)他的賬號(hào)在前一天晚上被異常登錄并修改了口令。原來(lái)所謂的“安全認(rèn)證”才是口令泄露的罪魁禍?zhǔn)住ｈb別方法CACTERcoreCACTER企業(yè)防范郵箱盜號(hào)最好的方法還是部署雙因子認(rèn)證。不過(guò)，對(duì)于撒網(wǎng)式釣魚郵件，也還是可以通過(guò)一些安全意識(shí)提升來(lái)進(jìn)行防范的。1.系統(tǒng)通知、安全提醒類郵件認(rèn)清發(fā)信人域名在收到各類“系統(tǒng)通知”時(shí)，注意認(rèn)清發(fā)信人域名，辦公系統(tǒng)和管理員不可能使用外部域名發(fā)送通知。2.認(rèn)證不可能在外部網(wǎng)站進(jìn)行任何系統(tǒng)的安全認(rèn)證不可能在外部網(wǎng)站進(jìn)行，識(shí)別所謂“安全網(wǎng)站”的域名可以規(guī)避大部分釣魚網(wǎng)站。3.系統(tǒng)安全機(jī)制只會(huì)要求重置口令而不會(huì)要求“認(rèn)證”郵箱系統(tǒng)對(duì)于異常登錄的賬號(hào)，要么會(huì)直接進(jìn)行鎖定，要么會(huì)要求重置口令，但不會(huì)要求用戶輸入口令進(jìn)行“認(rèn)證”。因此以賬號(hào)異常登錄需要認(rèn)證為主題的郵件都是釣魚郵件。翻譯為中文后內(nèi)容是：感謝您使用AEON銀行。我們需要確認(rèn)是否為您本人進(jìn)行的交易，因此我們暫時(shí)限制了您的部分卡片使用，并與您聯(lián)系進(jìn)行確認(rèn)。請(qǐng)通過(guò)以下鏈接進(jìn)行訪問(wèn)，并協(xié)助我們確認(rèn)卡片的使用情況。對(duì)于給您帶來(lái)的不便和擔(dān)憂，我們深感抱歉。coremailCACTER鑒別方法沒(méi)有辦理過(guò)日本銀行卡業(yè)務(wù)的用戶自然不會(huì)收到此類釣魚郵件威脅，但是由于釣魚郵件數(shù)量龐大，部分真的有辦理日本銀行卡業(yè)務(wù)的用戶可以用以下方法鑒別：1.認(rèn)清發(fā)信人域名所有銀行都只會(huì)用官方域名的郵箱聯(lián)系自己的用戶。非官方域名發(fā)送的“銀行郵件”一定是釣魚郵件；2.認(rèn)清鏈接的域名銀行都在官網(wǎng)以外的網(wǎng)站要求用戶進(jìn)行賬戶安全認(rèn)證，因此仔細(xì)辨別鏈接的域名是否為銀行官方網(wǎng)站即可識(shí)別是否是釣魚。CACTERcoreCACTER第七章郵件風(fēng)險(xiǎn)趨勢(shì)分析章將主要對(duì)2024年郵件安全風(fēng)險(xiǎn)形勢(shì)中的一些新特點(diǎn)，以及未來(lái)的發(fā)展變化趨勢(shì)展開分析。2024年2月底，GuardioLabs的安全研究人員披露了一個(gè)名為“SubdoMailing”的惡意郵件攻擊組織發(fā)動(dòng)的大規(guī)模廣告欺詐活動(dòng)。該組織使用8000多個(gè)“合法”的互聯(lián)網(wǎng)域名、1.3萬(wàn)個(gè)子域名和2.2萬(wàn)個(gè)獨(dú)立IP，大量發(fā)送垃圾郵件，平均每天發(fā)送量高達(dá)500萬(wàn)封，用于詐騙和惡意廣告盈利。該組織的攻擊活動(dòng)自2022年開始，一直持續(xù)至今。所謂域名，是指互聯(lián)網(wǎng)上用于標(biāo)識(shí)和定位網(wǎng)站的唯一名稱，通常由一串用點(diǎn)分隔的字符組成。很多大型機(jī)構(gòu)和大型企業(yè)，都會(huì)注冊(cè)幾十個(gè)乃至上百個(gè)網(wǎng)站域名用于經(jīng)營(yíng)活動(dòng)或域名儲(chǔ)備。一般來(lái)說(shuō)，每個(gè)域名都需要定期進(jìn)行重新注冊(cè)，并繳納一定的費(fèi)用。如果域名持有者放棄連續(xù)注冊(cè)，域名就會(huì)被釋放出來(lái)，可以被其他用戶重新注冊(cè)。而攻擊組織SubdoMailing就是利用了這一機(jī)制，對(duì)于知名品牌企業(yè)曾經(jīng)使用，但不再持續(xù)注冊(cè)的域名進(jìn)行惡意搶注，之后再以這些域名作為郵箱后綴名，注冊(cè)郵箱地址，綁定惡意服務(wù)器IP，對(duì)外發(fā)送垃圾郵件或欺詐郵件。由于很多郵件防火墻或郵件防護(hù)系統(tǒng)都會(huì)將一些知名大品牌企業(yè)的郵箱后綴名（域名）加入白名單，因此，以攻擊者惡意搶注域名做后綴的郵箱系統(tǒng)發(fā)出的郵件，就很有可能被郵件防火墻或郵件防護(hù)系統(tǒng)無(wú)條件放行。根據(jù)GuardioLabs發(fā)布的研究報(bào)告顯示，域名遭到SubdoMailing組織劫持的企業(yè)中包括大量知名品牌，例如MSN、VMware、McAfee、經(jīng)濟(jì)學(xué)人、康奈爾大學(xué)、哥倫比亞廣播公司、NYC.gov、普華永道、培生、聯(lián)合國(guó)兒童基金會(huì)、美國(guó)公民自由聯(lián)盟、賽門鐵克、J、Marvel和易趣等。域名劫持技術(shù)也被廣泛應(yīng)用于釣魚網(wǎng)站攻擊。從SubdoMailing組織的活動(dòng)來(lái)看，域名劫持對(duì)于惡意郵件投放也十分有效。預(yù)計(jì)未來(lái)幾年內(nèi)，此類攻擊還有可能愈演愈烈。企業(yè)想要減少此類攻擊造成的損害，應(yīng)當(dāng)在郵件防護(hù)系統(tǒng)中謹(jǐn)慎設(shè)置郵箱域名的白名單。以往，郵件系統(tǒng)在APT組織活動(dòng)中的作用主要是被攻擊者用來(lái)發(fā)送魚叉郵件，即通過(guò)定向發(fā)送帶有惡意內(nèi)容、惡意鏈接或惡意附件的郵件，實(shí)現(xiàn)對(duì)目標(biāo)人郵箱的盜號(hào)或?qū)δ繕?biāo)人終端設(shè)備的控制。而2024年發(fā)生的多起APT攻擊事件則表明，越來(lái)越多的APT組織開始將郵件系統(tǒng)本身作為攻擊目標(biāo)，批量盜取郵件系統(tǒng)中的數(shù)據(jù)資料，并通過(guò)對(duì)供應(yīng)鏈企業(yè)郵件服務(wù)系統(tǒng)的控制，間接入侵目標(biāo)機(jī)構(gòu)。最為典型的案例是2024年8月發(fā)生的英國(guó)內(nèi)政部遭網(wǎng)絡(luò)攻擊事件。據(jù)媒體報(bào)道，被認(rèn)為是來(lái)自俄羅斯APT組織，侵入了英國(guó)內(nèi)政部系統(tǒng)，盜取了內(nèi)部電子郵件和個(gè)人數(shù)據(jù)。此前，同一攻擊組織突入了微軟公司的郵件系統(tǒng)，并利用微軟郵件系統(tǒng)中的某些特殊權(quán)限，進(jìn)一步入侵和破壞了微軟的多個(gè)客戶系統(tǒng)。由于微軟公司也在為英國(guó)內(nèi)政部提供企業(yè)系統(tǒng)，所以，安全專家分析認(rèn)為，英國(guó)內(nèi)政部遭遇的攻擊事件很可能與微軟郵件系統(tǒng)遭攻擊事件存在內(nèi)在CACTERcoreCACTER關(guān)聯(lián)。無(wú)獨(dú)有偶，2024年卡巴斯基披露了疑似TheMask組織針對(duì)拉丁美洲的攻擊行動(dòng)。攻擊WorldClient組件添加惡意擴(kuò)展DLL文件，實(shí)現(xiàn)在目標(biāo)網(wǎng)絡(luò)中的持久化，并進(jìn)一步向目標(biāo)系統(tǒng)植入FakeHMP木馬，從而實(shí)現(xiàn)文件檢索、鍵盤記錄、截屏以及部署更多有效載荷的攻擊目的。此外，2024年，奇安信威脅情報(bào)中心在日常的威脅監(jiān)控中，也發(fā)現(xiàn)多起攻擊者利用國(guó)內(nèi)某些郵箱系統(tǒng)的0day漏洞，針對(duì)國(guó)內(nèi)重點(diǎn)單位，竊取目標(biāo)單位的核心數(shù)據(jù)的攻擊事件。2024年，兩起從郵件攻擊開始的巨額商業(yè)詐騙事件引起了業(yè)界的高度關(guān)注。在這兩起事件中，一家印度公司被騙5.2億盧比（約合人民幣4500萬(wàn)元），一家中國(guó)香港的跨國(guó)公司被騙2億港幣。惡意郵件正在成為通往巨額商業(yè)詐騙的高速公路。2024年初，印度制藥巨頭阿爾肯實(shí)驗(yàn)室（AlkemLaboratories）被證實(shí)發(fā)生一起網(wǎng)絡(luò)欺詐事件，導(dǎo)致其旗下一家子公司向欺詐分子轉(zhuǎn)賬5.2億盧比（約合人民幣4500萬(wàn)元）。據(jù)阿爾肯實(shí)驗(yàn)室透露，欺詐分子入侵了其子公司部分員工的業(yè)務(wù)電子郵箱賬號(hào)，并最終導(dǎo)致欺詐事件的發(fā)生。不過(guò)，阿爾肯實(shí)驗(yàn)室堅(jiān)稱，欺詐行為與當(dāng)事人、董事或員工的任何內(nèi)部不當(dāng)行為無(wú)關(guān)。同樣是在2024年初，中國(guó)香港一家跨國(guó)公司也發(fā)生了一起令人瞠目結(jié)舌的商業(yè)詐騙事件。該公司某員工先是收到了一封仿冒英國(guó)總部CFO的郵件，稱總部正在計(jì)劃一個(gè)秘密交易，需要將公司資金轉(zhuǎn)到幾個(gè)香港本地賬戶中。該員工一開始認(rèn)為這是釣魚郵件，未予理會(huì)。但是騙子反復(fù)發(fā)郵件強(qiáng)調(diào)項(xiàng)目重要性，使該員工的想法發(fā)生了動(dòng)搖。隨后，騙子給該員工撥打了一個(gè)視頻電話。在視頻電話中，這位員工看到了公司的CFO和他認(rèn)識(shí)的幾位同事。騙子還要求該員工進(jìn)行自我介紹會(huì)。然后，視頻會(huì)議中的英國(guó)領(lǐng)導(dǎo)要求他趕快轉(zhuǎn)賬，之后就突然中斷了視頻。于是，信以為真的員工分15次向5個(gè)香港本地賬戶陸續(xù)匯款2億港幣。直到事發(fā)5天后該員工向領(lǐng)導(dǎo)核實(shí)此事，才發(fā)現(xiàn)被騙，如夢(mèng)初醒。盡管在這起事件中，使用AI生成換臉?lè)旅耙曨l起到了至關(guān)重要的作用，但前期以內(nèi)部郵件形式發(fā)出的虛假的項(xiàng)目說(shuō)明，也起到了很大的迷惑和鋪墊作用。由郵件安全事件帶來(lái)的商業(yè)風(fēng)險(xiǎn)正在顯著提升。四、生成式AI成釣魚郵件內(nèi)容重要生產(chǎn)者以DeepSeek為代表的新一代大模型技術(shù)加速了生成式AI的普及，卻也被惡意分子利用成為“新型武器”，成為各類惡意郵件的重要生產(chǎn)者，生成式AI正以每分鐘數(shù)萬(wàn)封AI生成的惡意郵件突破傳統(tǒng)郵件防御體系。首先，越來(lái)越多的攻擊者正在使用生成式AI，更加快速地制作更有針對(duì)性的惡意郵件文案內(nèi)容。盡管目前還沒(méi)有實(shí)際案例表明AI編寫的惡意郵件比詐騙分子人工編寫的惡意郵件更具欺騙性，但由AI生成文案的速度，顯然要比人工快得多，且平均質(zhì)量有所保證，從coremailCACTER而可以大大提升攻擊者的攻擊效率。第二，某些帶毒郵件的惡意附件，疑似是使用生成式AI編寫而成的。部分惡意樣本還具有明顯的快速變異和免殺能力，這些都符合生成式AI編寫惡意程序的一些特征，這也給帶毒郵件的識(shí)別和檢測(cè)帶來(lái)了巨大的挑戰(zhàn)。除了生成內(nèi)容之外，監(jiān)測(cè)顯示，已經(jīng)有越來(lái)越多的郵件攻擊者，開始采用AI技術(shù)進(jìn)行自動(dòng)化的郵件攻擊，主要體現(xiàn)在目標(biāo)人群選擇、投放策略制定和口令爆破攻擊等方面。CACTERcoreCACTER附件1CACTER郵件安全品牌CACTER郵件安全是由Coremail孵化的獨(dú)立品牌，隸屬于廣東盈世計(jì)算機(jī)科技有限公司。憑借26年的反垃圾反釣魚技術(shù)沉淀，CACTER致力于提供一站式郵件安全解決方案。產(chǎn)品涵蓋CACTER郵件安全網(wǎng)關(guān)V7.0、大模型郵件安全網(wǎng)關(guān)V7.0、CAC2.0反釣魚防盜號(hào)、安全海外中繼、郵件數(shù)據(jù)防泄露EDLP、安全管理中心SMC2、EmailWebriskAPI、重保服務(wù)、反釣魚演練等。CACTER的核心技術(shù)依托自研國(guó)產(chǎn)反垃圾引擎和國(guó)內(nèi)頭部企業(yè)級(jí)郵件安全大數(shù)據(jù)中心，擁有多項(xiàng)發(fā)明專利與軟件著作權(quán)，與中國(guó)科學(xué)院成立郵件安全AI實(shí)驗(yàn)室，并與清華大學(xué)、奇安信、網(wǎng)易等國(guó)內(nèi)權(quán)威機(jī)構(gòu)持續(xù)開展前沿研究與合作，為客戶提供從建立安全意識(shí)到數(shù)據(jù)保護(hù)的多層次郵件安全防護(hù)，為各領(lǐng)域提供更加安全、高效、自主可控的郵件安全解決方案。客戶涵蓋國(guó)務(wù)院新聞辦公室、國(guó)家科技部、國(guó)家財(cái)政部、中科院、清華大學(xué)、北京大學(xué)、人民銀行、華潤(rùn)集團(tuán)等。lCACTER郵件安全網(wǎng)關(guān)：基于神經(jīng)網(wǎng)絡(luò)平臺(tái)NERVE2.0惡意郵件檢測(cè)能力，對(duì)垃圾郵件、釣魚郵件、病毒郵件、BEC詐騙郵件等惡意郵件進(jìn)行全方位檢測(cè)攔截；反垃圾郵件過(guò)濾準(zhǔn)確率高達(dá)99.8%，誤判率低于0.02%。l安全海外中繼：依托全球優(yōu)質(zhì)中繼服務(wù)器，智能選擇最優(yōu)質(zhì)通道進(jìn)行投遞和接收，融合反垃圾網(wǎng)關(guān)技術(shù)，保障海外交流安全通暢。l郵件數(shù)據(jù)防泄露系統(tǒng)EDLP：基于深度內(nèi)容識(shí)別技術(shù)，對(duì)敏感數(shù)據(jù)通過(guò)郵件系統(tǒng)外發(fā)的行為，提供事后審計(jì)和提醒，以及事中審批和攔截，保障企業(yè)數(shù)據(jù)安全。l安全管理中心SMC2：郵件系統(tǒng)專屬安全管家，支持監(jiān)測(cè)失陷賬號(hào)、網(wǎng)絡(luò)攻擊、主機(jī)威脅，擁有郵件審計(jì)、用戶行為審計(jì)、用戶威脅行為分析等能力，并提供賬號(hào)鎖定、IP加黑、郵件召回、告警等處置手段。官方網(wǎng)站：服務(wù)熱線：400-000-8664、400-000-1631微信公眾號(hào)：CACTER郵件安全CACTERcoreCACTER附件2CACTER郵件安全網(wǎng)關(guān)CACTER郵件安全網(wǎng)關(guān)V7.0基于自主研發(fā)神經(jīng)網(wǎng)絡(luò)平臺(tái)Nerve2.0惡意郵件檢測(cè)能力，實(shí)時(shí)攔截垃圾廣告、釣魚郵件、病毒郵件、BEC詐騙郵件等，反垃圾準(zhǔn)確率高達(dá)99.8%，支持幾乎所有郵箱系統(tǒng)包含Exchange、Microsoft365、網(wǎng)易企業(yè)郵箱、Coremail，Eyou，安寧，139，Winmail等，為企業(yè)郵件通信保駕護(hù)航。l獨(dú)家域內(nèi)安全解決方案針對(duì)用戶賬號(hào)被盜后、“域內(nèi)互發(fā)”垃圾釣魚郵件等場(chǎng)景，獨(dú)家域內(nèi)安全解決方案支持域內(nèi)垃圾郵件過(guò)濾檢測(cè)、域內(nèi)發(fā)信行為管控和告警，確保釣魚郵件、病毒郵件、垃圾郵件精準(zhǔn)攔截，異常發(fā)信行為及時(shí)發(fā)現(xiàn)，以保障郵件系統(tǒng)不受惡意郵件威脅。l檢測(cè)能力實(shí)時(shí)更新?lián)碛袊?guó)內(nèi)頭部的企業(yè)級(jí)郵件安全數(shù)據(jù)中心，基于數(shù)億惡意郵件樣本，通過(guò)部署百萬(wàn)探針郵箱搜集惡意郵件數(shù)據(jù)，實(shí)時(shí)更新郵件檢測(cè)引擎規(guī)則，為客戶提供最新郵件防護(hù)技術(shù)和能力。l惡意鏈接安全防護(hù)可開啟惡意鏈接保護(hù)功能，對(duì)投往郵件系統(tǒng)的每一封郵件的鏈接進(jìn)行保護(hù)。基于“URL情報(bào)”的靜態(tài)檢測(cè)以及“遠(yuǎn)程瀏覽器隔離”技術(shù)實(shí)時(shí)動(dòng)態(tài)檢測(cè)首次過(guò)濾+二次檢測(cè)防護(hù)，事前攔截、事中提醒、事后追溯結(jié)合。coremailCACTERl附件全方位查殺與Coremail與頂尖反病毒廠商合作，提供郵件附件的多級(jí)防護(hù)支持病毒庫(kù)的自動(dòng)更新和實(shí)時(shí)升級(jí)、解密加密附件，對(duì)文檔型附件拆解及深入檢測(cè)；采用附件全方位查殺云沙箱技術(shù)，在隔離環(huán)境中自動(dòng)化檢測(cè)附件中的惡意代碼和可執(zhí)行文件，有效識(shí)別并隔離高級(jí)威脅。l高級(jí)威脅郵件事后處置方案與Coremail郵件系統(tǒng)深度聯(lián)動(dòng)，當(dāng)新型高級(jí)威脅郵件繞過(guò)反垃圾反釣魚反病毒引擎檢查，甚至是云沙箱檢測(cè)，成功投遞至郵件系統(tǒng)無(wú)法撤回時(shí)，CACTER郵件安全網(wǎng)關(guān)可基于Coremail郵件安全大數(shù)據(jù)中心的惡意威脅情報(bào)，對(duì)投遞到郵件系統(tǒng)的高級(jí)惡意威脅郵件自動(dòng)召回，提高高級(jí)惡意威脅郵件處置時(shí)效性，守護(hù)郵箱系統(tǒng)安全最后一道防線。2025年，CACTER大模型郵件安全網(wǎng)關(guān)基于大模型技術(shù)突破傳統(tǒng)網(wǎng)關(guān)局限，精準(zhǔn)攔截高級(jí)惡意威脅。創(chuàng)新推出三大核心模塊：高管保護(hù)方案（定向防御核心人員的惡意攻擊）、大模型URL沙箱（智能檢測(cè)新型惡意鏈接）、AI統(tǒng)計(jì)報(bào)告（深度解析郵件惡意數(shù)據(jù)，提出郵件防控策略）。在提升反垃圾/反釣魚/反病毒能力的同時(shí)，降低運(yùn)維成本，適配企業(yè)多樣化安全需求。l新增能力模塊－高管保護(hù)AI深度語(yǔ)義威脅識(shí)別，及時(shí)攔截針對(duì)企業(yè)核心人員發(fā)起的新型惡意攻擊：檢測(cè)混淆文本類惡意郵件、罕見惡意后綴附件檢測(cè)；基于意圖理解的高級(jí)威脅二次篩查（從垃圾郵件中捕獲新型攻擊）；多語(yǔ)種支持：提升小語(yǔ)種惡意郵件檢出率；數(shù)據(jù)可視化統(tǒng)計(jì)：全局統(tǒng)計(jì)防護(hù)高管用戶的異常郵件總量；個(gè)體追蹤單高管用戶異常郵件明細(xì)分析。l新增大模型URL沙箱實(shí)現(xiàn)AI賦能的動(dòng)態(tài)防御，通過(guò)AI驅(qū)動(dòng)意圖級(jí)行為追蹤、多模態(tài)分析驗(yàn)證識(shí)破偽裝，提升新型惡意URL檢出率，讓偽裝的釣魚鏈接無(wú)處遁形。l新增AI智能報(bào)告模塊支持AI數(shù)據(jù)分析，“自定義制作統(tǒng)計(jì)報(bào)告”和“定時(shí)推送統(tǒng)計(jì)報(bào)告”場(chǎng)景郵件過(guò)濾數(shù)據(jù)深度挖掘和可視化解讀；智能生成郵件安全防護(hù)策略；CACTERcoreCACTER附件3CACTER郵件數(shù)據(jù)防泄露EDLPCACTEREDLP，是獨(dú)立的網(wǎng)關(guān)類產(chǎn)品，垂直于郵件數(shù)據(jù)防泄露，是Coremail基于深度內(nèi)容識(shí)別技術(shù)，根據(jù)不同安全級(jí)別