2024年Q2企業(yè)郵箱安全報告-2024.07-22正式版

2024年第二季度企業(yè)郵箱安全性研究報告一、2024年垃圾郵件概況分析................................................................................................1（一）國內企業(yè)郵箱垃圾郵件增長態(tài)勢明顯，境外源大比重加劇挑戰(zhàn)...........................1（二）境外垃圾郵件攻擊激增：美國及歐洲國家成主要威脅源........................................2（三）垃圾郵件分析：教育行業(yè)為主要攻擊目標.................................................3二、2024年釣魚郵件攻擊動態(tài)................................................................................................3（一）境外釣魚郵件激增與隱蔽的境內攻擊源....................................................................3（二）國際郵件安全環(huán)境復雜嚴峻，北京為國內主要風險源............................................4（三）釣魚攻擊分析：教育與企業(yè)為攻擊熱點.....................................................5三、2024年垃圾釣魚郵件案例................................................................................................7（一）垃圾郵件：教育培訓為主攻手段...................................................................7（二）釣魚郵件：官方偽裝通知依然是主流...........................................................7（三）垃圾釣魚郵件典型案例樣本..................................................................................8四、2024年暴力破解宏觀態(tài)勢..............................................................................................（一）暴力破解雖減，防護意識需持續(xù)強化......................................................................11（二）暴力破解風暴眼：企業(yè)與教育行業(yè)成主戰(zhàn)場..........................................................12五、釣魚郵件溯源案例分析..........................................................................................................13（一）“高溫季節(jié)福利”溯源分析報告..............................................................................13（二）“密碼到期”溯源分析報告......................................................................................141郵件安全人工智能實驗室介紹.......................................................................................172CACTER郵件安全網關產品介紹..................................................................................18林延中主要編寫人員劉磊江嘉杰伍偉彬黃楚斯《2024年第二季度企業(yè)郵箱安全報告》是由廣東盈世計算機科技有限公司與北京中睿天下信息技術有限公司攜手呈現(xiàn)。我們特別感謝Coremail郵件安全人工智能實驗室和中睿天下郵件安全響應中心的專家們，他們對本報告的編寫提供了專業(yè)的指導和寶貴的建議。Coremail郵件安全人工智能實驗室（EmailSecurityLab，簡稱實驗室”）是在Coremail的廣泛應用場景、豐富大數(shù)據(jù)資源和頂尖科技人才的支持下成立的。實驗室致力于在電子郵件安全防護領域實現(xiàn)技術的創(chuàng)新應用，包括自然語言處理、計算機視覺和大語言模型等前沿技術。通過這些技術，我們旨在提升電子郵件的安全性，為企業(yè)提供更加可靠的保障。一、2024年Q2垃圾郵件概況分析（一）國內企業(yè)郵箱垃圾郵件增長態(tài)勢明顯，境外源大比重加劇挑戰(zhàn)根據(jù)Coremail郵件安全人工智能實驗室數(shù)據(jù)顯示，2024年第二季度，國內企業(yè)郵箱用戶共收到9.1億封垃圾郵件，總量無論是環(huán)比（上升24.9%）還是同比（上升40.6%），呈大幅度增長態(tài)勢，其中接近70%的垃圾郵件來自境外，進一步加劇了防護的難度與復雜圖12023Q2-2024Q2境內外垃圾郵件攻擊趨勢圖22024年企業(yè)郵箱郵件類型分布在2024年第二季度企業(yè)郵箱用戶收到的郵件構成中，正常郵件以46.78%的占比（共1計7.99億封）主導了郵件流量，然而，不容忽視的是，垃圾郵件的侵擾依然嚴重，其數(shù)量高達7.62億封，占據(jù)了總郵件量的44.59%。各單位組織仍需要繼續(xù)加強對垃圾郵件、釣魚郵件和詐騙郵件的防范措施。（二）境外垃圾郵件攻擊激增：美國及歐洲國家成主要威脅源在2024年第二季度中，美國依舊是境外垃圾郵件的主要來源國，其次是烏克蘭與馬來西亞，為新的垃圾郵件攻擊源，可能是境外垃圾郵件發(fā)送者，改變了攻擊策略，選擇了不同的郵件發(fā)送源或發(fā)件人地址，我們仍需加快提升國內網絡防護能力。圖32024年第二季度全球垃圾郵件攻擊源10在國內范圍內，垃圾郵件攻擊也幾乎無處不在，尤其在經濟繁榮的區(qū)域更為突出。具體來說，北京市（約2448.3萬封）、上海市（約萬封）、浙江?。s887.8萬封）和廣東省（855.5萬封），屬于人口密集區(qū)和經濟中心，信息技術基礎設施方面較為發(fā)達，為大規(guī)模的垃圾郵件攻擊提供了便利條件。圖4年國內十大垃圾郵件攻擊源頭省份2（三）垃圾郵件分析：教育行業(yè)為主要攻擊目標經實驗室分析發(fā)送&接收垃圾郵件的域名，不難發(fā)現(xiàn)，教育行業(yè)仍然是垃圾郵件的主要攻擊目標，接收量達3.32億封。郵件是教育科研項目、教學數(shù)據(jù)、師生信息等敏感信息的承載體，教育行業(yè)的郵件安全更加不容忽視。圖52024年TOP100域名發(fā)送&接收垃圾郵件數(shù)量行業(yè)分布面對教育領域持續(xù)增長的垃圾郵件困擾，提出以下建議給各位郵件系統(tǒng)管理員：1.設置有效的郵件過濾和防護機制：學校和教育機構應使用針對垃圾郵件的有效過濾和防護技術，如使用郵件安全網關，及時攔截和清除垃圾郵件，減少對教育行業(yè)的干擾和危2.開展反釣魚培訓：提高師生的網絡安全防范意識，通過定期的模擬練習，教會他們如何識別并防御垃圾郵件和詐騙鏈接。3.強化信息與賬號防護：普及并推廣個人信息加密及強密碼使用的重要性，防止信息泄露成為釣魚郵件攻擊的跳板。4.推動高校安全合作：鼓勵高等學府間的威脅情報共享，及時交流最新的郵件安全策略和防御技巧，共同提高校園網絡的安全防護水平。二、2024年釣魚郵件攻擊動態(tài)（一）境外釣魚郵件激增與隱蔽的境內攻擊源在頻發(fā)的網絡安全攻擊事件中，釣魚攻擊往往是黑客們的首選。2024年以來，釣魚郵3件數(shù)量持續(xù)增長，第二季度企業(yè)郵箱用戶收到的釣魚郵件數(shù)量達1.43億，威脅態(tài)勢依舊嚴峻，其中境外發(fā)送源達56.23%，然而據(jù)實驗室此前分析，雖然發(fā)件來源是境外，但釣魚郵件中的文本、行文規(guī)范均符合國內的中文使用習慣，且釣魚網站也都以仿冒境內網站為主，由此說明部分攻擊的真實來源應是境內，只不過攻擊者使用了境外服務器做為跳板，最終導致釣魚郵件的境外來源數(shù)量遠高于境內。圖62023Q2-2024Q2境內外釣魚郵件攻擊趨勢（二）國際郵件安全環(huán)境復雜嚴峻，北京為國內主要風險源近年來，隨著互聯(lián)網的快速擴張與全球化進程的加速，郵件安全議題日益凸顯其重要性。我國正面臨境外釣魚攻擊的不斷攀升，數(shù)據(jù)揭示美國作為釣魚郵件的主要發(fā)源地，其攻擊比例較俄羅斯高出顯著的60.7%。圖72024境外釣魚郵件攻擊來源Top104從國內的釣魚郵件攻擊態(tài)勢來看，第二季度國內各地的釣魚郵件攻擊均有上升的趨勢，其中北京為釣魚郵件的主要來源，發(fā)出釣魚郵件攻擊次數(shù)達到286.5萬次。此外香港躍居前三，成為了活躍來源，讓黑客團體更易進行網絡釣魚活動。圖82024國內釣魚郵件攻擊來源Top10（三）釣魚攻擊分析：教育與企業(yè)為攻擊熱點如圖，通過釣魚郵件發(fā)送&接收源TOP100域名行業(yè)分析，國內釣魚郵件受害者所在行業(yè)比較集中，收到的釣魚郵件數(shù)量排名域名的行業(yè)中，教育排名第一，約占釣魚郵件總數(shù)的60%（3914.1萬封）；企業(yè)排名第二，約占26%（1713.4萬封）；排名第三的行業(yè)為互聯(lián)網，占5%（329.1封）。圖92024TOP100域名發(fā)送&接收釣魚郵件數(shù)量行業(yè)分布5大規(guī)模郵件通訊所涉及的大量高價值信息和賬號資產，以及員工和用戶端安全意識和培訓水平參差不齊的現(xiàn)狀，導致企業(yè)和教育類機構成為網絡攻擊的重要目標。攻擊者可以運用社會工程學手段，通過偽裝成相關角色（例如老師、合作伙伴、客戶或上級主管）的身份，針對性地向特定用戶發(fā)送釣魚郵件，從而提高攻擊的成功率。6三、2024年垃圾釣魚郵件案例（一）垃圾郵件：教育培訓為主攻手段第二季度的垃圾郵件數(shù)據(jù)揭示了當前郵件詐騙和垃圾郵件發(fā)送者采用的主要策略。以下為主題排名前十的垃圾郵件，以及其各自的郵件數(shù)量：2024年Q2熱門垃圾郵件主題榜TOP10序號垃圾郵件主題郵件數(shù)（封）1【火熱招生中】2024年人力資源管理師2562.3萬2re:我是陳*飛，為企業(yè)提供禮品采購的企業(yè)1080.5萬3re:鼓勵客戶比價的企業(yè)禮品采購服務！1076.9萬4年最全課程匯總（增：線上證書課，包括中級經濟師，HRBP證書……）1014.9萬5大客戶開發(fā)與維護策略技巧588.7萬6成交的秘密——高業(yè)績顧問式銷售技巧539.6萬7中層經理管理能力提升419.9萬8為了您自身的安全，我強烈建議您閱讀這封電子郵件。367.2萬9【火熱招生中】2024年中級經濟師（人力資源）346.2萬SalesNotification315.9萬（二）釣魚郵件：官方偽裝通知依然是主流釣魚郵件常偽裝為系統(tǒng)通知或發(fā)票詐騙，這增加了賬戶被劫和數(shù)據(jù)泄露的風險。2024年Q2熱門釣魚郵件主題榜TOP10序號釣魚郵件主題郵件數(shù)（封）1關于郵件系統(tǒng)的通知393.4萬2為了您自身的安全，我強烈建議您閱讀這封電子郵件。151.7萬3お支払い金額のお知らせ103.1萬4【電子發(fā)票】您收到一張新的電子發(fā)票[發(fā)票號碼:980750**]92.2萬5郵件管理系統(tǒng)91.6萬6郵件管理系統(tǒng)通知87.5萬7ご利用明細更新のお知らせ81.6萬8《薪酬津貼登記發(fā)放須知》81.4萬9待辦申報表80.2萬校內郵件管理79.2萬7（三）Q2垃圾釣魚郵件典型案例樣本1、補貼詐騙通知類持續(xù)威脅圖102024垃圾釣魚郵件案例1圖112024垃圾釣魚郵件案例2圖122024垃圾釣魚郵件案例382、各類冒充電子發(fā)票、誘導下載惡意軟件圖132024垃圾釣魚郵件案例43、冒充律師函、稅務檢查等圖142024垃圾釣魚郵件案例54、冒充訂單或詢盤信息圖152024垃圾釣魚郵件案例69圖162024垃圾釣魚郵件案例75、系統(tǒng)賬號密碼登錄類釣魚圖172024垃圾釣魚郵件案例86、比特幣勒索詐騙郵件圖182024垃圾釣魚郵件案例910四、2024年暴力破解宏觀態(tài)勢（一）暴力破解雖減，防護意識需持續(xù)強化在郵箱系統(tǒng)面臨的盜號挑戰(zhàn)中，暴力破解作為一種普遍且難以輕易忽視的攻擊手段，其持續(xù)存在主要歸因于兩大核心要素。首先，使用單因素認證（密碼）的身份校驗方式，為攻擊者打開了潛在的入侵門戶，使他們看到了通過嘗試多種密碼組合來竊取賬戶訪問權限的可能性。其次是部分用戶習慣性使用弱密碼，無意中降低了攻擊者的破解難度及攻擊成本。圖192022年Q4-2024年全域暴力破解攻擊趨勢根據(jù)實驗室監(jiān)測，2024年第二季度，全國企業(yè)級用戶遭受超過21.4億次暴力破解，相比于的39.1億次暴力破解，環(huán)比降幅約為45%，無差別的暴力破解攻擊大幅下降。但數(shù)據(jù)顯示暴力破解攻擊成功次數(shù)正在回升，推測可能是攻擊者優(yōu)化口令字典規(guī)則，其次加大了撞庫攻擊比例，導致破解成功率提高，因此管理員仍需保持警惕并采取必要的防護措施。圖202022年Q4-2024年全域暴力破解成功趨勢（二）暴力破解風暴眼：企業(yè)與教育行業(yè)成主戰(zhàn)場在24年第二季度，全國的企業(yè)用戶遭遇了高達21.4億次的暴力破解攻擊，其中成功的破解次數(shù)達到912.7萬次。數(shù)據(jù)顯示，高危賬號和被攻擊域名主要集中在教育行業(yè)和企業(yè)，面臨的安全威脅尤為嚴重。從用戶體量上看，教育行業(yè)和企業(yè)賬號數(shù)確實明顯高于其他行業(yè)，在外暴露的攻擊面廣。對非活躍賬號較難把控，如教育行業(yè)，許多大學的教職員工和學生使用的是初始設置的密碼，加之大量學生郵箱長期不活躍，這使得郵箱賬號非常容易被盜用且難以及時發(fā)現(xiàn)。而在企業(yè)，由于存儲有大量的商業(yè)秘密、客戶資料以及財務數(shù)據(jù)，暴力破解攻擊變得尤為頻繁。一旦攻擊者成功獲取賬號，他們會從廣撒網式的攻擊轉變?yōu)楦鼮閷I(yè)、針對性的攻擊，如利用這些賬號廣泛發(fā)送垃圾郵件或發(fā)起特定的釣魚行動。圖212024年識別高危賬號及暴力破解攻擊次數(shù)TOP100域名行業(yè)分布12面對日益專業(yè)化的郵件威脅，教育單位和各大企事業(yè)單位應從郵件系統(tǒng)和安全教育等層面展開防范，強化安全教育，推廣雙重驗證的使用。在郵件服務層面，可以增設郵件安全網關增強對假冒郵件的攔截，并確保啟用雙因素驗證及特定的客戶端密碼以預防賬戶遭受侵害；對于用戶的安全教育，可進行釣魚郵件模擬訓練，提升用戶的防范意識。五、釣魚郵件溯源案例分析（一）“高溫季節(jié)福利”溯源分析報告1、概述郵件主題為《高溫季節(jié)福利優(yōu)化方案及實施通知》，經排查該郵件存在惡意的二維碼，掃描后判斷訪問者環(huán)境，符合移動端特征后跳轉至釣魚畫面，其目的誘導用戶輸入銀行卡及支付密碼等個人敏感信息。2、郵件分析（1）正文分析郵件誘導收件人掃描郵件中的惡意二維碼，當符合移動端特征后跳轉至誘導用戶輸入銀行卡及支付密碼的釣魚頁面。惡意鏈接為：“hxxps://”目的在于竊取收件人的銀行卡信息及盜取銀行卡財產。（2）鏈接分析訪問跳轉后的釣魚鏈接“hxxps:///”，并替換移動端頭，頁面顯示為釣魚頁面。如下圖所示：133、網站分析分析網站信息時發(fā)現(xiàn)域名注冊人為黎**—qwxxxxxxxxx6@**黎**—lxxxxx2@**4、黑產組織畫像郵件主題：《高溫季節(jié)福利優(yōu)化方案及實施通知》郵件內容：以企業(yè)財務部門的名義發(fā)送“津貼發(fā)放通知，線上登記審核”郵件，目的為獲取受害人銀行卡信息、身份證號、手機號、銀行卡密碼等信息。黑產組織：各類企事業(yè)單位，活動的釣魚網站鏈接2（二）“密碼到期”溯源分析報告1.概述郵件主題為密碼到期提醒，郵件正文中存在可點擊按鈕“立即修改密碼”，點擊跳轉后鏈接為“”，誘導用戶輸入郵箱賬號與密碼。2.郵件分析14（1）正文分析郵件正文中的內容主要是誘導收件人點擊修改密碼鏈接。點擊后跳轉鏈接為：“”目的在于竊取收件人的郵箱賬號與密碼。（2）鏈接分析通過跳轉鏈接“”，發(fā)現(xiàn)其并未綁定ip，如下圖所示：該跳轉鏈接目前無法訪問查詢此域名對應的注冊信息15通過郵箱查詢存在最近解析記錄，如下圖所示：3.溯源分析根據(jù)域名注冊信息深入跟蹤（圖1），獲取信息如下：姓名:王*手機:15xxxxxxx97QQ:6xxxxx31郵箱：416附錄1郵件安全人工智能實驗室介紹Coremail郵件安全人工智能實驗室（EmailSecurityLab），依托于Coremail豐富的應用場景、海量大數(shù)據(jù)與一流科技人才，專注于將自然語言處理、計算機視覺、大型語言模型等智能技術應用于電子郵件安全防護領域的創(chuàng)新突破。目前郵件安全人工智能實驗室已在反垃圾領域取得可喜成果，形成了反垃圾算法智能優(yōu)化閉環(huán)：基于技術實現(xiàn)郵件樣本智能收集、識別、入庫、反饋、自學習訓練、最終提升算法模型能力，不斷優(yōu)化中央引擎、保持反垃圾品質穩(wěn)步提升。17附錄2CACTER郵件安全網關產品介紹CACTER郵件安全是由Coremail孵化的獨立品牌，隸屬于廣東盈世計算機科技有限公司。憑借年的反垃圾反釣魚技術沉淀，CACTER致力于提供一站式郵件安全解決方案。產品涵蓋郵件安全網關、CAC2.0反釣魚防盜號、安全海外中繼、郵件數(shù)據(jù)防泄露EDLP、安全管理中心SMC2、重保服務、反釣魚演練等。核心技術依托自研國產反垃圾引擎和Coremail郵件安全大數(shù)據(jù)中心，高效識別并攔截垃圾廣告、釣魚郵件、病毒郵件、BEC詐騙郵件等各類威脅，為企業(yè)郵件通信保駕護航?？蛻艉w國務院新聞辦公室、國家科技部、國家財政部、中科院、清華大學、北京大學、人民銀行、建設銀行、交通銀行、華潤集團、南方電網、美的集團等。CACTER郵件安全網關介紹CACTER郵件安全網關，基于自主研發(fā)的神經網絡平臺NERVE2.0深度學習能力，全面檢測并攔截各類惡意郵件，包括垃圾郵件、釣魚郵件、病毒郵件及BEC詐騙郵件；反垃圾準確率高達99.8%，誤判率低于0.02%。支持Coremail，Exchange，Microsoft365，網易企業(yè)郵箱，安寧，139，Winmail，Eyou，Mdeamon，Postfix，IceWarp等幾乎一切收費或開源郵件系統(tǒng)。產品優(yōu)勢1惡意郵件精準隔離CACTER郵件安全網關融合了多項自主研發(fā)的世界領先級反垃圾郵件技術，并使用國內外知名反病毒引擎，對進入網關的郵件進行多維分析，確保釣魚郵件、病毒郵件、垃圾郵件被隔離到網關，保障郵件系統(tǒng)不受惡意郵件威脅。2檢測能力實時更新18CACTER郵件安全網關擁有全國最大的郵件安全數(shù)據(jù)中心，基于數(shù)億惡意郵件樣本，通過