2024第二季度企業(yè)郵箱安全性研究報(bào)告

2024年第二季度企業(yè)郵箱安全性研究報(bào)告TOC\o"1-2"\h\z\u一、2024年Q2垃圾郵件概況分析 1（一）國(guó)內(nèi)企業(yè)郵箱垃圾郵件增長(zhǎng)態(tài)勢(shì)明顯，境外源大比重加劇挑戰(zhàn) 1（二）境外垃圾郵件攻擊激增：美國(guó)及歐洲國(guó)家成主要威脅源 2（三）TOP100垃圾郵件分析：教育行業(yè)為主要攻擊目標(biāo) 3二、2024年Q2釣魚(yú)郵件攻擊動(dòng)態(tài) 3（一）境外釣魚(yú)郵件激增與隱蔽的境內(nèi)攻擊源 3（二）國(guó)際郵件安全環(huán)境復(fù)雜嚴(yán)峻，北京為國(guó)內(nèi)主要風(fēng)險(xiǎn)源 4（三）TOP100釣魚(yú)攻擊分析：教育與企業(yè)為攻擊熱點(diǎn) 5三、2024年Q2垃圾釣魚(yú)郵件案例 7（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段 7（二）釣魚(yú)郵件TOP10：官方偽裝通知依然是主流 7（三）Q2垃圾釣魚(yú)郵件典型案例樣本 8四、2024年Q2暴力破解宏觀態(tài)勢(shì) 11（一）暴力破解雖減，防護(hù)意識(shí)需持續(xù)強(qiáng)化 11（二）暴力破解風(fēng)暴眼：企業(yè)與教育行業(yè)成主戰(zhàn)場(chǎng) 12五、釣魚(yú)郵件溯源案例分析 13（一）“高溫季節(jié)福利”溯源分析報(bào)告 13（二）“密碼到期”溯源分析報(bào)告 14附錄1 郵件安全人工智能實(shí)驗(yàn)室介紹 17附錄2 CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹 18組長(zhǎng)主要編寫(xiě)人員劉磊 江嘉杰 伍偉彬 黃楚斯《2024Coremail郵件安全人工智能實(shí)驗(yàn)室和中睿天下郵件安全響應(yīng)中心的專家們，他們對(duì)本報(bào)告的編寫(xiě)提供了專業(yè)的指導(dǎo)和寶貴的建議。Coremail郵件安全人工智能實(shí)驗(yàn)室（EmailSecurityAILab，簡(jiǎn)稱“AI實(shí)驗(yàn)室”）是在Coremail的廣泛應(yīng)用場(chǎng)景、豐富大數(shù)據(jù)資源和頂尖科技人才的支持下成立的。AI實(shí)驗(yàn)室致力于在電子郵件安全防護(hù)領(lǐng)域?qū)崿F(xiàn)AI技術(shù)的創(chuàng)新應(yīng)用，包括自然語(yǔ)言處理、計(jì)算機(jī)視覺(jué)和大語(yǔ)言模型等前沿技術(shù)。通過(guò)這些技術(shù)，我們旨在提升電子郵件的安全性，為企業(yè)提供更加可靠的保障。一、2024Q2垃圾郵件概況分析（一）國(guó)內(nèi)企業(yè)郵箱垃圾郵件增長(zhǎng)態(tài)勢(shì)明顯，境外源大比重加劇挑戰(zhàn)Coremail郵件安全人工智能實(shí)驗(yàn)室數(shù)據(jù)顯示，2024年第二季度，國(guó)內(nèi)企業(yè)郵箱用9.1億封垃圾郵件，總量無(wú)論是環(huán)比（24.9%）還是同比（40.6%），呈大幅度增長(zhǎng)態(tài)勢(shì)，其中接近70%的垃圾郵件來(lái)自境外，進(jìn)一步加劇了防護(hù)的難度與復(fù)雜性。圖12023Q2-2024Q2境內(nèi)外垃圾郵件攻擊趨勢(shì)圖22024年Q2企業(yè)郵箱郵件類型分布在2024年第二季度企業(yè)郵箱用戶收到的郵件構(gòu)成中，正常郵件以46.78%的占比（共計(jì)7.99億封）主導(dǎo)了郵件流量，然而，不容忽視的是，垃圾郵件的侵?jǐn)_依然嚴(yán)重，其數(shù)量高達(dá)7.62億封，占據(jù)了總郵件量的44.59%。各單位組織仍需要繼續(xù)加強(qiáng)對(duì)垃圾郵件、釣魚(yú)郵件和詐騙郵件的防范措施。（二）境外垃圾郵件攻擊激增：美國(guó)及歐洲國(guó)家成主要威脅源2024年第二季度中，美國(guó)依舊是境外垃圾郵件的主要來(lái)源國(guó)，其次是烏克蘭與馬來(lái)西亞，為新的垃圾郵件攻擊源，可能是境外垃圾郵件發(fā)送者，改變了攻擊策略，選擇了不同的郵件發(fā)送源或發(fā)件人地址，我們?nèi)孕杓涌焯嵘龂?guó)內(nèi)網(wǎng)絡(luò)防護(hù)能力。圖32024年第二季度全球垃圾郵件攻擊源TOP10國(guó)家在國(guó)內(nèi)范圍內(nèi)，垃圾郵件攻擊也幾乎無(wú)處不在，尤其在經(jīng)濟(jì)繁榮的區(qū)域更為突出。具體來(lái)說(shuō)，北京市（2448.3萬(wàn)封）、上海市（1103.3萬(wàn)封）、浙江?。?87.8萬(wàn)封）和廣東?。?55.5萬(wàn)封），屬于人口密集區(qū)和經(jīng)濟(jì)中心，信息技術(shù)基礎(chǔ)設(shè)施方面較為發(fā)達(dá)，為大規(guī)模的垃圾郵件攻擊提供了便利條件。圖42024年Q2國(guó)內(nèi)十大垃圾郵件攻擊源頭省份（三）TOP100垃圾郵件分析：教育行業(yè)為主要攻擊目標(biāo)AITOP100發(fā)送&接收垃圾郵件的域名，不難發(fā)現(xiàn)，教育行業(yè)仍然是垃3.32億封。郵件是教育科研項(xiàng)目、教學(xué)數(shù)據(jù)、師生信息等敏感信息的承載體，教育行業(yè)的郵件安全更加不容忽視。圖52024年Q2TOP100域名發(fā)送&接收垃圾郵件數(shù)量行業(yè)分布面對(duì)教育領(lǐng)域持續(xù)增長(zhǎng)的垃圾郵件困擾，提出以下建議給各位郵件系統(tǒng)管理員：設(shè)置有效的郵件過(guò)濾和防護(hù)機(jī)制：學(xué)校和教育機(jī)構(gòu)應(yīng)使用針對(duì)垃圾郵件的有效過(guò)濾和防護(hù)技術(shù)，如使用郵件安全網(wǎng)關(guān)，及時(shí)攔截和清除垃圾郵件，減少對(duì)教育行業(yè)的干擾和危害。開(kāi)展反釣魚(yú)培訓(xùn)：提高師生的網(wǎng)絡(luò)安全防范意識(shí)，通過(guò)定期的模擬練習(xí)，教會(huì)他們?nèi)绾巫R(shí)別并防御垃圾郵件和詐騙鏈接。強(qiáng)化信息與賬號(hào)防護(hù)：普及并推廣個(gè)人信息加密及強(qiáng)密碼使用的重要性，防止信息泄露成為釣魚(yú)郵件攻擊的跳板。推動(dòng)高校安全合作：鼓勵(lì)高等學(xué)府間的威脅情報(bào)共享，及時(shí)交流最新的郵件安全策略和防御技巧，共同提高校園網(wǎng)絡(luò)的安全防護(hù)水平。二、2024Q2釣魚(yú)郵件攻擊動(dòng)態(tài)（一）境外釣魚(yú)郵件激增與隱蔽的境內(nèi)攻擊源在頻發(fā)的網(wǎng)絡(luò)安全攻擊事件中，釣魚(yú)攻擊往往是黑客們的首選。2024年以來(lái)，釣魚(yú)郵件數(shù)量持續(xù)增長(zhǎng)，第二季度企業(yè)郵箱用戶收到的釣魚(yú)郵件數(shù)量達(dá)1.43億，威脅態(tài)勢(shì)依舊嚴(yán)峻，其中境外發(fā)送源達(dá)56.23，然而據(jù)AI實(shí)驗(yàn)室此前分析，雖然發(fā)件來(lái)源是境外，但釣魚(yú)郵件中的文本、行文規(guī)范均符合國(guó)內(nèi)的中文使用習(xí)慣，且釣魚(yú)網(wǎng)站也都以仿冒境內(nèi)網(wǎng)站為主，由此說(shuō)明部分攻擊的真實(shí)來(lái)源應(yīng)是境內(nèi)，只不過(guò)攻擊者使用了境外服務(wù)器做為跳板，最終導(dǎo)致釣魚(yú)郵件的境外來(lái)源數(shù)量遠(yuǎn)高于境內(nèi)。圖62023Q2-2024Q2境內(nèi)外釣魚(yú)郵件攻擊趨勢(shì)（二）國(guó)際郵件安全環(huán)境復(fù)雜嚴(yán)峻，北京為國(guó)內(nèi)主要風(fēng)險(xiǎn)源近年來(lái)，隨著互聯(lián)網(wǎng)的快速擴(kuò)張與全球化進(jìn)程的加速，郵件安全議題日益凸顯其重要性。我國(guó)正面臨境外釣魚(yú)攻擊的不斷攀升，數(shù)據(jù)揭示美國(guó)作為釣魚(yú)郵件的主要發(fā)源地，其攻擊比例較俄羅斯高出顯著的60.7。圖72024Q2境外釣魚(yú)郵件攻擊來(lái)源Top10國(guó)家從國(guó)內(nèi)的釣魚(yú)郵件攻擊態(tài)勢(shì)來(lái)看，第二季度國(guó)內(nèi)各地的釣魚(yú)郵件攻擊均有上升的趨勢(shì)，其中北京為釣魚(yú)郵件的主要來(lái)源，發(fā)出釣魚(yú)郵件攻擊次數(shù)達(dá)到286.5萬(wàn)次。此外香港躍居前三，成為了活躍來(lái)源，讓黑客團(tuán)體更易進(jìn)行網(wǎng)絡(luò)釣魚(yú)活動(dòng)。圖82024Q2國(guó)內(nèi)釣魚(yú)郵件攻擊來(lái)源Top10省份（三）TOP100釣魚(yú)攻擊分析：教育與企業(yè)為攻擊熱點(diǎn)Q2&TOP100在行業(yè)比較集中，收到的釣魚(yú)郵件數(shù)量排名TOP100域名的行業(yè)中，教育排名第一，約占釣魚(yú)郵件總數(shù)的60（3914.1萬(wàn)封）；企業(yè)排名第二，約占26（1713.4萬(wàn)封）；排名第三的行業(yè)為IT互聯(lián)網(wǎng)，占5（329.1封）。圖92024Q2TOP100域名發(fā)送&接收釣魚(yú)郵件數(shù)量行業(yè)分布大規(guī)模郵件通訊所涉及的大量高價(jià)值信息和賬號(hào)資產(chǎn)，以及員工和用戶端安全意識(shí)和培訓(xùn)水平參差不齊的現(xiàn)狀，導(dǎo)致企業(yè)和教育類機(jī)構(gòu)成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。攻擊者可以運(yùn)用社會(huì)工程學(xué)手段，通過(guò)偽裝成相關(guān)角色（例如老師、合作伙伴、客戶或上級(jí)主管）的身份，針對(duì)性地向特定用戶發(fā)送釣魚(yú)郵件，從而提高攻擊的成功率。三、2024Q2垃圾釣魚(yú)郵件案例（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段2024Q22024Q2熱門垃圾郵件TOP10序號(hào)垃圾郵件主題郵件數(shù)（封）1【火熱招生中】2024年人力資源管理師2562.3萬(wàn)2re:我是陳*飛，為企業(yè)提供禮品采購(gòu)的企業(yè)1080.5萬(wàn)3re:鼓勵(lì)客戶比價(jià)的企業(yè)禮品采購(gòu)服務(wù)！1076.9萬(wàn)42024年最全課程匯總（增：線上證書(shū)課，包括中級(jí)經(jīng)濟(jì)師，HRBP證書(shū)……）1014.9萬(wàn)5大客戶開(kāi)發(fā)與維護(hù)策略技巧588.7萬(wàn)6成交的秘密——高業(yè)績(jī)顧問(wèn)式銷售技巧539.6萬(wàn)7中層經(jīng)理管理能力提升419.9萬(wàn)8為了您自身的安全，我強(qiáng)烈建議您閱讀這封電子郵件。367.2萬(wàn)9【火熱招生中】2024年中級(jí)經(jīng)濟(jì)師（人力資源）346.2萬(wàn)10SalesNotification315.9萬(wàn)（二）釣魚(yú)郵件TOP10：官方偽裝通知依然是主流釣魚(yú)郵件常偽裝為系統(tǒng)通知或發(fā)票詐騙，這增加了賬戶被劫和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。2024Q2熱門釣魚(yú)郵件TOP10序號(hào)釣魚(yú)郵件主題郵件數(shù)（封）1關(guān)于郵件系統(tǒng)的通知393.4萬(wàn)2為了您自身的安全，我強(qiáng)烈建議您閱讀這封電子郵件。151.7萬(wàn)3お支払い金額のお知らせ103.1萬(wàn)4【電子發(fā)票】您收到一張新的電子發(fā)票[發(fā)票號(hào)碼:980750**]92.2萬(wàn)5郵件管理系統(tǒng)91.6萬(wàn)6郵件管理系統(tǒng)通知87.5萬(wàn)7ご利用明細(xì)更新のお知らせ81.6萬(wàn)8《薪酬津貼登記發(fā)放須知》81.4萬(wàn)9待辦申報(bào)表80.2萬(wàn)10校內(nèi)郵件管理79.2萬(wàn)7（三）Q2垃圾釣魚(yú)郵件典型案例樣本1、補(bǔ)貼詐騙通知類持續(xù)威脅102024Q21112024Q22122024Q232、各類冒充電子發(fā)票、誘導(dǎo)下載惡意軟件圖132024Q2垃圾釣魚(yú)郵件案例43、冒充律師函、稅務(wù)檢查等圖142024Q2垃圾釣魚(yú)郵件案例54、冒充訂單或詢盤信息圖152024Q2垃圾釣魚(yú)郵件案例6圖162024Q2垃圾釣魚(yú)郵件案例75、系統(tǒng)賬號(hào)密碼登錄類釣魚(yú)圖172024Q2垃圾釣魚(yú)郵件案例86、比特幣勒索詐騙郵件圖182024Q2垃圾釣魚(yú)郵件案例9四、2024Q2暴力破解宏觀態(tài)勢(shì)（一）暴力破解雖減，防護(hù)意識(shí)需持續(xù)強(qiáng)化在郵箱系統(tǒng)面臨的盜號(hào)挑戰(zhàn)中，暴力破解作為一種普遍且難以輕易忽視的攻擊手段，其持續(xù)存在主要?dú)w因于兩大核心要素。首先，使用單因素認(rèn)證（密碼）的身份校驗(yàn)方式，為攻擊者打開(kāi)了潛在的入侵門戶，使他們看到了通過(guò)嘗試多種密碼組合來(lái)竊取賬戶訪問(wèn)權(quán)限的可能性。其次是部分用戶習(xí)慣性使用弱密碼，無(wú)意中降低了攻擊者的破解難度及攻擊成本。圖192022年Q4-2024年Q2全域暴力破解攻擊趨勢(shì)根據(jù)AI實(shí)驗(yàn)室監(jiān)測(cè)，2024年第二季度，全國(guó)企業(yè)級(jí)用戶遭受超過(guò)21.4億次暴力破解，相比于Q1的39.1億次暴力破解，環(huán)比降幅約為45，無(wú)差別的暴力破解攻擊大幅下降。但數(shù)據(jù)顯示暴力破解攻擊成功次數(shù)正在回升，推測(cè)可能是攻擊者優(yōu)化口令字典規(guī)則，其次加大了撞庫(kù)攻擊比例，導(dǎo)致破解成功率提高，因此管理員仍需保持警惕并采取必要的防護(hù)措施。圖202022年Q4-2024年Q2全域暴力破解成功趨勢(shì)（二）暴力破解風(fēng)暴眼：企業(yè)與教育行業(yè)成主戰(zhàn)場(chǎng)在24年第二季度，全國(guó)的企業(yè)用戶遭遇了高達(dá)21.4億次的暴力破解攻擊，其中成功的破解次數(shù)達(dá)到912.7萬(wàn)次。數(shù)據(jù)顯示，高危賬號(hào)和被攻擊域名主要集中在教育行業(yè)和企業(yè)，面臨的安全威脅尤為嚴(yán)重。從用戶體量上看，教育行業(yè)和企業(yè)賬號(hào)數(shù)確實(shí)明顯高于其他行業(yè)，在外暴露的攻擊面廣。對(duì)非活躍賬號(hào)較難把控，如教育行業(yè)，許多大學(xué)的教職員工和學(xué)生使用的是初始設(shè)置的密碼，加之大量學(xué)生郵箱長(zhǎng)期不活躍，這使得郵箱賬號(hào)非常容易被盜用且難以及時(shí)發(fā)現(xiàn)。而在企業(yè)，由于存儲(chǔ)有大量的商業(yè)秘密、客戶資料以及財(cái)務(wù)數(shù)據(jù)，暴力破解攻擊變得尤為頻繁。一旦攻擊者成功獲取賬號(hào)，他們會(huì)從廣撒網(wǎng)式的攻擊轉(zhuǎn)變?yōu)楦鼮閷I(yè)、針對(duì)性的攻擊，如利用這些賬號(hào)廣泛發(fā)送垃圾郵件或發(fā)起特定的釣魚(yú)行動(dòng)。圖212024年Q2識(shí)別高危賬號(hào)及暴力破解攻擊次數(shù)TOP100域名行業(yè)分布面對(duì)日益專業(yè)化的郵件威脅，教育單位和各大企事業(yè)單位應(yīng)從郵件系統(tǒng)和安全教育等層面展開(kāi)防范，強(qiáng)化安全教育，推廣雙重驗(yàn)證的使用。在郵件服務(wù)層面，可以增設(shè)郵件安全網(wǎng)關(guān)增強(qiáng)對(duì)假冒郵件的攔截，并確保啟用雙因素驗(yàn)證及特定的客戶端密碼以預(yù)防賬戶遭受侵害；對(duì)于用戶的安全教育，可進(jìn)行釣魚(yú)郵件模擬訓(xùn)練，提升用戶的防范意識(shí)。五、釣魚(yú)郵件溯源案例分析（一）“高溫季節(jié)福利”溯源分析報(bào)告1、概述郵件主題為《高溫季節(jié)福利優(yōu)化方案及實(shí)施通知》，經(jīng)排查該郵件存在惡意的二維碼，掃描后判斷訪問(wèn)者環(huán)境，符合移動(dòng)端特征后跳轉(zhuǎn)至釣魚(yú)畫(huà)面，其目的誘導(dǎo)用戶輸入銀行卡及支付密碼等個(gè)人敏感信息。2、郵件分析正文分析郵件誘導(dǎo)收件人掃描郵件中的惡意二維碼，當(dāng)符合移動(dòng)端特征后跳轉(zhuǎn)至誘導(dǎo)用戶輸入銀行卡及支付密碼的釣魚(yú)頁(yè)面。惡意鏈接為：“hxxps://”目的在于竊取收件人的銀行卡信息及盜取銀行卡財(cái)產(chǎn)。鏈接分析訪問(wèn)跳轉(zhuǎn)后的釣魚(yú)鏈接“hxxps:///”，并替換移動(dòng)端UA頭，頁(yè)面顯示為釣魚(yú)頁(yè)面。如下圖所示：3、網(wǎng)站分析分析網(wǎng)站信息時(shí)發(fā)現(xiàn)域名注冊(cè)人為黎**—qwxxxxxxxxx6@**黎**—lxxxxx2@**4、黑產(chǎn)組織畫(huà)像郵件主題：《高溫季節(jié)福利優(yōu)化方案及實(shí)施通知》郵件內(nèi)容：以企業(yè)財(cái)務(wù)部門的名義發(fā)送“津貼發(fā)放通知，線上登記審核”郵件，目的為獲取受害人銀行卡信息、身份證號(hào)、手機(jī)號(hào)、銀行卡密碼等信息。黑產(chǎn)組織：各類企事業(yè)單位，活動(dòng)的釣魚(yú)網(wǎng)站鏈接2個(gè)。（二）“密碼到期”溯源分析報(bào)告概述郵件主題為密碼到期提醒，郵件正文中存在可點(diǎn)擊按鈕“立即修改密碼”，點(diǎn)擊跳轉(zhuǎn)后鏈接為“”，誘導(dǎo)用戶輸入郵箱賬號(hào)與密碼。郵件分析正文分析郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點(diǎn)擊修改密碼鏈接。點(diǎn)擊后跳轉(zhuǎn)鏈接為：“”目的在于竊取收件人的郵箱賬號(hào)與密碼。鏈接分析通過(guò)跳轉(zhuǎn)鏈接“”，發(fā)現(xiàn)其并未綁定ip，如下圖所示：該跳轉(zhuǎn)鏈接目前無(wú)法訪問(wèn)查詢此域名對(duì)應(yīng)的whois注冊(cè)信息通過(guò)郵箱查詢存在最近解析記錄，如下圖所示：溯源分析根據(jù)域名whois注冊(cè)信息深入跟蹤（圖1），獲取信息如下：姓名:王* 手機(jī):15xxxxxxx97QQ:6xxxxx31 郵箱：4附錄1 郵件安全人工智能實(shí)驗(yàn)室介紹Coremail郵件安全人工智能實(shí)驗(yàn)室（EmailSecurityAILab），依托于Coremail豐富的應(yīng)用場(chǎng)景、海量大數(shù)據(jù)與一流科技人才，專注于將自然語(yǔ)言處理、計(jì)算機(jī)視覺(jué)、大型語(yǔ)言模型等AI智能技術(shù)應(yīng)用于電子郵件安全防護(hù)領(lǐng)域的創(chuàng)新突破。目前郵件安全人工智能實(shí)驗(yàn)室已在反垃圾領(lǐng)域取得可喜成