2024年Q4企業(yè)郵箱安全報告

2024年第四季度企業(yè)郵箱安全性研究報告一、2024年Q4垃圾郵件概況分析 （一）Q4國內(nèi)企業(yè)郵箱垃圾郵件達8.22億封，58.73%來自境外 （二）美國境外“霸榜”，國內(nèi)經(jīng)濟活躍區(qū)受襲 2（三）TOP100垃圾郵件分析：教育行業(yè)仍是垃圾郵件的“重災區(qū)” 3二、2024年Q4釣魚郵件攻擊動態(tài) 4（一）2.1億封激增，境內(nèi)外威脅并存 4（二）境外多國上榜，境內(nèi)香港居首 4（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱點 5三、2024年Q4垃圾釣魚郵件案例 6（一）垃圾郵件TOP10：賬務交易提醒為主攻手段 6（二）釣魚郵件TOP10：郵件系統(tǒng)通知升級為主流 6（三）Q4垃圾釣魚郵件典型案例樣本 7四、2024年Q4暴力破解宏觀態(tài)勢 （一）暴力破解：破解成功次數(shù)降低 （二）教育行業(yè)高危占比高，企業(yè)被攻擊比例大幅上升 11五、基于盜號測試信的黑產(chǎn)攻擊分析 （一）黑產(chǎn)盜號攻擊綜述 （二）黑產(chǎn)盜號使用的口令 （二）黑產(chǎn)盜取賬號使用的工具 （四）黑產(chǎn)盜取賬號使用的IP分布 （五）結論 附錄1郵件安全人工智能實驗室介紹 附錄2CACTER郵件安全網(wǎng)關產(chǎn)品介紹 組長主要編寫人員《2024年第四季度企業(yè)郵箱安全報告》是由廣東盈世計算機人工智能實驗室和中睿天下郵件安全響應中心的專家們，Coremail郵件安全人工智能實驗室（EmailSecurityAILab，簡稱“AI實驗室”）是在Coremail的廣泛應用場景、豐富大數(shù)據(jù)資源和頂尖科技人才的支持下成立的。AI實驗室致力于在電子郵件安全防護領域實現(xiàn)AI技術的創(chuàng)新應用，包括自然語言處理、計算機視覺和大語言模型等前沿技術。通過這些技術，我們旨在提升電子郵件的安全性，為企業(yè)1一、2024年Q4垃圾郵件概況分析（一）Q4國內(nèi)企業(yè)郵箱垃圾郵件達8.22億封，58.73%來自境外根據(jù)Coremail實驗室數(shù)據(jù)表明，2024年Q4垃圾郵件總量環(huán)比Q3微降，同比去年漲15%。境外垃圾郵件威脅在增加，境內(nèi)垃圾郵件占比環(huán)比降低，這或是因國內(nèi)打擊力度加大，也可能是攻擊者策略調(diào)整。郵件安全領域的威脅形勢始終在變。近年來垃圾郵件數(shù)量持續(xù)上升，郵件安全服務商運用機器學習、AI等先進策略，提升郵件篩選和過濾效率。但垃圾郵件發(fā)送者也在持續(xù)更新攻擊手段，試圖繞過傳統(tǒng)防護。圖12023年Q4-2024年Q4境內(nèi)外垃圾郵件攻擊趨勢圖22024年Q4企業(yè)郵箱郵件類型分布2隨著垃圾郵件的持續(xù)蔓延，郵件安全風險日益復雜化，涵蓋了釣魚欺詐、廣告、各類詐騙手段、惡意軟件等多重威脅。在2024年第四季度，企業(yè)郵箱用戶接收的正常郵件僅約8.94億封（占比52.08%非正常郵件仍舊占據(jù)較大分量，而整體垃圾郵件數(shù)量則高達6.04億封，占總郵件量的35.21%。為了有效防范垃圾郵件及網(wǎng)絡欺詐攻擊，企業(yè)必須加強持續(xù)監(jiān)控、及時更新防護策略，并重視用戶教育，以提升整體郵件安全防護能力。（二）美國境外“霸榜”，國內(nèi)經(jīng)濟活躍區(qū)受襲第四季度境外攻擊源數(shù)據(jù)顯示，美國斷層第一，高達1756萬封，而其后的捷克、俄羅斯、法國不足其22%，這可能是釣魚郵件的發(fā)信IP更加分散了，黑產(chǎn)使用了更多的IP地址來發(fā)送釣魚郵件，有較大的隨機性。圖32024年Q4全球垃圾郵件攻擊源TOP10國家國內(nèi)垃圾郵件攻擊分布存在明顯地域特征，經(jīng)濟活躍地區(qū)首當其沖。北京、香港、上海、廣東等地，人口密集、經(jīng)濟活動頻繁，信息技術基礎設施先進，這為垃圾郵件廣泛傳播創(chuàng)造了條件。攻擊者借此更高效發(fā)送垃圾郵件，威脅當?shù)鼐W(wǎng)絡安全與用戶體驗。具體數(shù)據(jù)顯示，來自北京的垃圾郵件攻擊量約為2844萬封，香港約為1443.5萬封，上海約為1187.6萬封，廣東省則為1179.5萬封。圖42024年Q4國內(nèi)十大垃圾郵件攻擊源頭省份3（三）TOP100垃圾郵件分析：教育行業(yè)仍是垃圾郵件的“重災區(qū)”經(jīng)過AI實驗室對TOP100垃圾郵件發(fā)送與接收域名的深入分析，教育行業(yè)依舊是垃圾郵件的主要接收對象，從用戶角度，教育行業(yè)師生眾多，年齡跨度大，安全意識薄弱，易被垃圾郵件的虛假信息誘惑，點擊惡意鏈接或下載附件，成為垃圾郵件發(fā)送者的目標。郵件管理方面，不同教育機構的水平參差不齊。一些學?；驒C構缺少專業(yè)管理團隊，無法及時更新安全補丁，也未部署先進的垃圾郵件過濾機制，導致郵件系統(tǒng)易被垃圾郵件突破。商業(yè)利益因素也不容忽視。教育行業(yè)與升學、培訓、學術資源緊密相關，利益巨大。不法分子為推銷課程、資料或虛假學術服務，選擇大量發(fā)送垃圾郵件，以獲取潛在客戶。此外，社交與合作需求使得師生常在社交平臺、學術網(wǎng)站等留下郵箱，增加了郵箱暴露風險，垃圾郵件發(fā)送者便能輕易獲取這些信息，精準發(fā)送垃圾郵件。以上因素相互交織，讓教育行業(yè)持續(xù)處于垃圾郵件的高風險環(huán)境。垃圾郵件不僅干擾師生正常的教學與學習，還可能導致信息泄露、遭受詐騙等安全問題。因此，教育機構亟需加強郵件系統(tǒng)管理，提升師生網(wǎng)絡安全意識，共同應對垃圾郵件威脅，維護教育行業(yè)網(wǎng)絡環(huán)境的健康與安全。圖52024年Q4TOP100域名發(fā)送&接收垃圾郵件數(shù)量行業(yè)分布4二、2024年Q4釣魚郵件攻擊動態(tài)（一）2.1億封激增，境內(nèi)外威脅并存2024年伊始，釣魚郵件數(shù)量呈顯著攀升態(tài)勢。至第四季度，企業(yè)郵箱用戶所遭遇的釣魚郵件數(shù)量竟高達2.1億封，這一數(shù)據(jù)直觀地反映出釣魚攻擊正愈演愈烈。境外來源的釣魚郵件占比達到54.22%，占據(jù)了釣魚郵件的主導地位。這些境外郵件具有更強的隱蔽性和難以追蹤性。由于涉及不同國家的法律和網(wǎng)絡監(jiān)管環(huán)境，攻擊者常利用國家間的信息不對稱和網(wǎng)絡安全防護水平差異來發(fā)動攻擊。比如一些來自境外的釣魚郵件，會偽裝成國際知名企業(yè)或機構，利用國內(nèi)用戶對國際品牌的信任，誘導用戶點擊鏈接或提供個人信息。圖62023年Q4-2024年Q4境內(nèi)外釣魚郵件攻擊趨勢境內(nèi)釣魚郵件占比為45.78%，雖然占比較境外稍低，但也不容小覷。境內(nèi)釣魚郵件往往更具針對性，會結合國內(nèi)的熱點事件、行業(yè)動態(tài)等進行設計。例如在電商促銷季，會出現(xiàn)大量偽裝成知名電商平臺的釣魚郵件，以訂單異常、退款等理由誘導用戶操作。（二）境外多國上榜，境內(nèi)香港居首從釣魚攻擊IP地址溯源分析，美國發(fā)出的攻擊IP數(shù)量獨占鰲頭，多達455.1萬個。俄羅斯、韓國、荷蘭等國家在釣魚郵件攻擊源頭里同樣占據(jù)關鍵地位。這意味著釣魚攻擊在全球范圍內(nèi)存在明顯的地域聚集特點，暗示網(wǎng)絡環(huán)境可能被不法分子利用，尤其是跨國企業(yè)和國際組織，必須強化安全防護工作，規(guī)避潛在風險。5圖72024年Q4境外釣魚郵件攻擊來源Top10國家從釣魚郵件的發(fā)送源TOP10服務器所在省份來看，香港躍升榜首1199.7萬；對比Q3的278.9萬，增長幅度較大?？赡苁怯捎谙愀墼赒4期間某些特定的商業(yè)活動、網(wǎng)絡環(huán)境變化或攻擊者策略調(diào)整等因素，黑產(chǎn)新掌握了較多的香港IP資源，導致釣魚攻擊量急劇增加。作為國際金融中心，香港本身網(wǎng)絡連接頻繁且復雜，容易被攻擊者作為跳板進行跨境網(wǎng)絡攻擊，導致釣魚郵件數(shù)量顯著增加，攻擊者通過偽裝成銀行或金融機構發(fā)送釣魚郵件，誘導用戶泄露敏感信息。圖82024年Q4國內(nèi)釣魚郵件攻擊來源Top10省份（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱Q4作為開學季，教育行業(yè)接收釣魚郵件數(shù)量高達7953.1萬，遠超其他行業(yè)，在教育環(huán)境中，師生之間、學校與家長之間存在著高度的信任關系。攻擊者可能利用這種信任，例如偽裝成學校的管理人員發(fā)送關于學費繳納、課程安排變更等郵件。教育行業(yè)需要加強郵件安全防護措施，包括實施更嚴格的郵件過濾和反釣魚技術。而企業(yè)發(fā)送及接收釣魚郵件較為活躍，由于其數(shù)據(jù)的高價值性，釣魚攻擊的威脅持續(xù)6存在，攻擊者常常利用企業(yè)內(nèi)部權力關系和工作流程的社會工程學攻擊，讓企業(yè)員工在不經(jīng)意間打開這些釣魚郵件，導致信息泄露或遭受經(jīng)濟損失。因而企業(yè)更需注重提高員工的安全意識，通過定期的安全培訓和模擬釣魚攻擊演練，幫助員工識別和防范釣魚郵件。圖92024年Q4TOP100域名發(fā)送&接收釣魚郵件數(shù)量行業(yè)分布三、2024年Q4垃圾釣魚郵件案例（一）垃圾郵件TOP10：賬務交易提醒為主攻手段第四季度的垃圾郵件數(shù)據(jù)揭示了當前郵件詐騙和垃圾郵件發(fā)送者采用的主要策略。以下為主題排名前十的垃圾郵件，以及其各自的郵件數(shù)量：12345test_for_525_per_test_tag_16789（二）釣魚郵件TOP10：郵件系統(tǒng)通知升級為主流釣魚郵件常偽裝為郵件系統(tǒng)通知或員工款項津貼，這增加了賬戶被劫和數(shù)據(jù)泄露的風險。7123456789（三）Q4垃圾釣魚郵件典型案例樣本圖102024年Q4垃圾釣魚郵件案例1圖112024年Q4垃圾釣魚郵件案例28圖122024年Q4垃圾釣魚郵件案例3圖132024年Q4垃圾釣魚郵件案例4圖142024年Q4垃圾釣魚郵件案例59圖152024年Q4垃圾釣魚郵件案例6圖162024年Q4垃圾釣魚郵件案例7圖172024年Q4垃圾釣魚郵件案例8圖182024年Q4垃圾釣魚郵件案例9圖192024年Q4垃圾釣魚郵件案例10四、2024年Q4暴力破解宏觀態(tài)勢（一）暴力破解：破解成功次數(shù)降低根據(jù)AI實驗室監(jiān)測，2024年第四季度，全國企業(yè)級用戶遭受超過42.2億次暴力破解，整體趨勢持續(xù)增長，黑產(chǎn)規(guī)模在不斷增加，而Q4的成功次數(shù)僅528.2萬，推測與2024年監(jiān)管部門加強了郵箱賬號被盜的通報力度相關，企業(yè)加強了賬號管理，導致破解成功次數(shù)降低。圖202023年Q2-2024年Q4全域暴力破解攻擊趨勢圖212023年Q2-2024年Q4全域暴力破解成功趨勢（二）教育行業(yè)高危占比高，企業(yè)被攻擊比例大幅據(jù)數(shù)據(jù)顯示，Q4的高危賬號TOP100域名中，教育行業(yè)占比高達65%，是高危賬號出現(xiàn)比例最高的行業(yè)。學校郵箱因其包含大量個人信息、學術數(shù)據(jù)和財務記錄，而成為黑客攻擊的優(yōu)選目標。許多學校在安全措施上投入不足，密碼管理松散，加上大量的目標賬戶，使得學校郵箱容易成為暴力破解和其他攻擊手段的目標。黑客通過攻破郵箱賬戶不僅能竊取個人敏感數(shù)據(jù)，還可以利用其進行更大范圍的網(wǎng)絡攻擊和社會工程學詐騙。因此，學校應加強郵件系統(tǒng)的安全防護措施，尤其是在密碼管理、身份驗證和賬戶監(jiān)控方面，防止暴力破解和其他類型的攻擊。企業(yè)在被攻擊TOP100域名中占比43%，與高危賬號相比，企業(yè)在被攻擊的比例上大幅上升，接近教育行業(yè)。這表明企業(yè)賬號不僅存在較高的風險，而且實際遭受攻擊的情況也較為嚴重，需要加強安全防范措施。圖222024年Q4識別高危賬號及暴力破解攻擊次數(shù)TOP100域名行業(yè)分布五、基于盜號測試信的黑產(chǎn)攻擊分析盜號測試信是黑產(chǎn)在盜取郵箱賬號后發(fā)送的測試性郵件，黑產(chǎn)在使用腳本進行批量賬號破解時成功后，往往會發(fā)送一封測試信到自己的郵箱，其中大部分測試信會在標題和正文攜帶用戶名、密碼、登錄地址等信息。黑產(chǎn)發(fā)送盜號測試信主要有兩個目的，一是測試使用郵箱賬號是否可以對外發(fā)信，二是在持續(xù)進行多大規(guī)模賬號破解時便于收集和管理破解成功的用戶信息。一個典型的盜號測試信內(nèi)容如下：圖23典型的盜號測試信案例2024年Q4，Coremail郵件安全人工智能實驗室共監(jiān)測到盜號測試信12833封，涉及受害郵箱賬號3746個，受害域名1048個。監(jiān)測到攻擊者使用的郵箱933個，黑產(chǎn)使用的IP6524個。下面將針對黑產(chǎn)的盜號測試信，從不同維度進行分析：（一）黑產(chǎn)盜號攻擊綜述Coremail郵件安全人工智能實驗室經(jīng)過長期在郵件安全領域與黑產(chǎn)攻防對抗發(fā)現(xiàn)，目前郵箱賬號盜取已形成了專門的黑色產(chǎn)業(yè)，從事郵箱盜號的黑產(chǎn)團伙已經(jīng)掌握了專業(yè)工具和大量的IP資源池，同時分工合作形成了產(chǎn)業(yè)鏈。專業(yè)從事盜號的黑產(chǎn)團伙會使用專用的盜號工具，這些工具有開源的也有其他黑產(chǎn)制作出售的。這些工具可以導入賬號和字典清單，對smtp、imap、pop3端口進行自動化暴力破解。由于web登錄界面不同郵箱差異較大，且通常有圖形驗證碼等安全措施，絕大多數(shù)黑產(chǎn)工具不針對web界面做暴力破解。同時盜號的黑產(chǎn)團伙會使用動態(tài)IP代理，在暴力破解期間持續(xù)更換IP，防止被封禁。目前黑產(chǎn)掌握的資源池已經(jīng)非常龐大。黑產(chǎn)團伙盜取賬號成功后，不一定會自己進行進一步利用，而是可能會出售。一些黑產(chǎn)團伙通過運營telegram群組和黑產(chǎn)商城出售被盜取的賬號，同時他們也會從其他黑產(chǎn)團伙收購賬號，以賺取差價。最終從事BEC詐騙和發(fā)送釣魚、病毒、廣告郵件的黑產(chǎn)會購買賬號并進行惡意利用。圖23黑產(chǎn)攻擊分析由于黑產(chǎn)盜取賬號使用的工具相對穩(wěn)定，因此其攻擊模式具有較明顯的特征。多個黑產(chǎn)流程工具在盜號成功后會發(fā)送測試信，一是測試使用郵箱賬號是否可以對外發(fā)信，二是在持續(xù)進行多大規(guī)模賬號破解時便于收集和管理破解成功的用戶信息。（二）黑產(chǎn)盜號使用的口令2024年Q4監(jiān)測到盜號測試信涉及的被盜郵箱賬號共3746個，其中3156個在標題或正文中包含賬號口令，590個郵件中不帶有口令。針對包含口令信息的3156個樣本，我們分析了被盜賬號使用的口令特征。被盜賬號使用的口令主要分為以下三類：123456a、qwer@1234、asd123本次研究中發(fā)現(xiàn)使用常見弱口令導致被盜的賬號占比已經(jīng)非常小。此類口令并非常見的弱口令，甚至可能符合強口令復雜度要求，但是這類口令具有特定特征，攻擊者很容易構造出此類口令。例如：姓名縮寫@123456、姓名全拼2024、企業(yè)英文名稱888本次研究中發(fā)現(xiàn)此類特定規(guī)則構造的口令占比非常高，造成了嚴重危害。此類口令無特定規(guī)律，攻擊者無法通過郵箱賬號登要素來構造。因此判斷用戶被釣魚泄露，或者口令在社工庫中泄露。本次研究的被盜賬號中，使用常見弱口令的賬號有158個，僅占5%；使用特定規(guī)則口令的賬號多達2310個，占比達73.2%；使用其他規(guī)則口令的賬號為688個，占21.8%。圖242024年Q4被盜賬號統(tǒng)計由此可見使用特定規(guī)則的口令已經(jīng)成為賬號被黑產(chǎn)盜取的主要原因，其占比高達73.1%。Coremail郵件安全人工智能實驗室進一步分析了黑產(chǎn)構造特定規(guī)則口令字典的方式。攻擊者會根據(jù)郵箱賬號進行變形，構造暴力破解的口令字典?？诹顦嬙旎窘Y構有三種：“賬號名變形”+“常用數(shù)字組合”、“賬號名變形”+“@”+“常用數(shù)字組合”、“賬號名變形”+“常用數(shù)字組合”+“！”1、賬號名變形：包括郵箱賬號名、姓名縮寫、姓名縮寫大寫、姓名縮寫首字母大寫、郵箱域名。2、特殊字符：@通常在中間通常在結尾。3、常用數(shù)字組合：包括常見數(shù)字串12345、123、1234、654321和年份2025、2024、2023等。假設爆破目標賬號為lihua@，則根據(jù)黑產(chǎn)常用的規(guī)則，將構造口令字典如下：lihua@123、lihua@123456、lihua@2024、lh@123、Lh1234、LH123456、Lh1234!、LH123456!、coremail@2024、Coremail123456綜上，本次研究發(fā)現(xiàn)黑產(chǎn)暴力破解盜取賬號的主要方式是針對賬號構造特定規(guī)則的口令字典，該方式占被盜賬號的73.1%。如果用戶規(guī)避掉黑產(chǎn)常用的口令構造方式，可以大幅提升賬號安全性。（二）黑產(chǎn)盜取賬號使用的工具本次監(jiān)測到的黑產(chǎn)使用的暴力破解工具主要包括“smtpcracker”“SMTPCracker”“MadCatsmtp-Checker”等開源工具，非開源工具主要包括“sanmaoMailCracker.exe”“SMTPTESTERALLINONE”。圖252024Q4黑產(chǎn)使用的暴力破解工具從統(tǒng)計數(shù)據(jù)來看，黑產(chǎn)使用最為普遍的smtp暴力破解工具是sanmaoMailCracker，從盜號測試信數(shù)量統(tǒng)計，占比高達54.9%。該工具疑似由國內(nèi)黑產(chǎn)從業(yè)者開發(fā)，為exe工具，2024年該工具官網(wǎng)已經(jīng)關閉，工具停止更新，但是現(xiàn)有版本仍然被廣泛使用。從統(tǒng)計數(shù)據(jù)來看，使用該工具的黑產(chǎn)團伙喜歡使用國內(nèi)代理IP，集中于江蘇、湖北、遼寧三個省。同時，使用該工具的黑產(chǎn)收信郵箱域名集中于和163.com。圖262024年Q4使用sanmaoMailCracker工具的國內(nèi)代理IP及黑產(chǎn)收信郵箱域名綜上，使用sanmaoMailCracker.exe的黑產(chǎn)代理IP和收信郵箱都集中于國內(nèi)，說明該工具極可能是國內(nèi)郵件盜號黑產(chǎn)最主要的暴力破解工具。（四）黑產(chǎn)盜取賬號使用的IP分布針對2024Q4盜號測試信使用的IP分布進行分析。其中6749次攻擊記錄來自國內(nèi)，6084次攻擊記錄來自國外。來自國內(nèi)的攻擊分布如下：圖272024Q4盜號測試信使用IP國內(nèi)攻擊分布來自國外的攻擊分布如下：圖282024Q4盜號測試信使用IP國外攻擊分布綜上，黑產(chǎn)使用的攻擊的ip地址分布來看，國內(nèi)和國外基本相等。國內(nèi)集中于江蘇、湖北遼寧三個省份，其中江蘇省達45.8%，說明國內(nèi)黑產(chǎn)IP資源呈現(xiàn)明顯的地區(qū)聚集性。攻擊IP共分布在多達2950個C段，在整個Q4平均每個C段用于發(fā)送盜號測試信僅4.35次！這說明黑產(chǎn)已經(jīng)掌握了大量的IP池資源。同時，針對IP和C段的封禁策略針對當前的黑產(chǎn)資源規(guī)模已經(jīng)難以奏效。黑產(chǎn)使用的IPC段前十及次數(shù)如下：黑產(chǎn)使用的IPC段前十次數(shù)11.88.10034149.85.127180.123.227180.123.55180.104.184105.163.158220.173.12349.81.29114.230.109218.91.70通過對2024年Q4黑產(chǎn)盜號測試信的研究，Coremail郵件安全人工智能實驗室得出以下關鍵結論：1、目前郵箱賬號盜取已形成了專門的黑色產(chǎn)業(yè)，盜號測試信是黑產(chǎn)盜取賬號成功的重要標志；2、黑產(chǎn)暴力破解使用的口令字典，大部分通過目標郵箱賬號名變形生成，其他占比達到73.2%。黑產(chǎn)構造口令常用的規(guī)則為：“賬號名變形”+“常用數(shù)字組合”、“賬號名變形”+“@”+“常用數(shù)字組合”、“賬號名變形”+“常用數(shù)字組合”+“！”，用戶如果規(guī)避掉這種口令規(guī)則可以大幅降低賬號被暴力破解的風險。3、黑產(chǎn)暴力破解最常使用的工具為sanmaoSmtpCracker.exe，占54.9%。同時該工具應為國內(nèi)黑產(chǎn)使用的最主要暴力破解工具。4、黑產(chǎn)暴力破解使用的IP國內(nèi)和國外數(shù)量接近。黑產(chǎn)國內(nèi)IP資源呈現(xiàn)明顯的地區(qū)聚集性，集中于江蘇、湖北遼寧三個省份，其中江蘇省達45.8%。附錄1郵件安全人工智能實驗室介紹Coremail郵件安全人工智能實驗室（EmailSecurityAILab依托于Coremail豐富的應用場景、海量大數(shù)據(jù)與