2024年Q3企業(yè)郵箱安全報(bào)告

2024年第三季度企業(yè)郵箱安全性研究報(bào)告一、2024年Q3垃圾郵件概況分析 （一）Q3國(guó)內(nèi)企業(yè)郵箱垃圾郵件達(dá)8.53億封，63.67%來(lái)自境外 （二）境外垃圾郵件攻擊激增：捷克躍居榜首 2（三）TOP100垃圾郵件分析：教育行業(yè)依舊為主要接收對(duì)象 3二、2024年Q3釣魚郵件攻擊動(dòng)態(tài) 3（一）企業(yè)郵箱面臨多樣化網(wǎng)絡(luò)釣魚威脅 3（二）江西省攻擊源數(shù)據(jù)飆升，全球面臨釣魚威脅攻擊 4（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱點(diǎn) 5三、2024年Q3垃圾釣魚郵件案例 6（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段 6（二）釣魚郵件TOP10：郵件系統(tǒng)通知為主流 6（三）Q3垃圾釣魚郵件典型案例樣本 7四、2024年Q3暴力破解宏觀態(tài)勢(shì) （一）暴力破解：攻擊頻次增加，破解成功率卻逆勢(shì)下降 10（二）教育行業(yè)仍是郵件暴力破解主要目標(biāo) 五、中睿天下：釣魚郵件溯源案例分析 （一）“郵件賬戶修復(fù)通知”溯源分析報(bào)告 附錄1郵件安全人工智能實(shí)驗(yàn)室介紹 附錄2CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹 1一、2024年Q3垃圾郵件概況分析（一）Q3國(guó)內(nèi)企業(yè)郵箱垃圾郵件達(dá)8.53億封，63.67%來(lái)自境外根據(jù)Coremail郵件安全人工智能實(shí)驗(yàn)室數(shù)據(jù)顯示，2024年第三季度垃圾郵件總量環(huán)比第二季度有少量下降，但比去年同期仍上漲22.3%，境外垃圾郵件的威脅仍在上升，與此境內(nèi)垃圾郵件比例環(huán)比下降，這可能意味著國(guó)內(nèi)對(duì)垃圾郵件的打擊力度有所增強(qiáng)，或者攻擊者策略有所轉(zhuǎn)變。在郵件安全領(lǐng)域，我們正面臨著一個(gè)不斷演變的威脅環(huán)境。盡管近年來(lái)垃圾郵件的數(shù)量持續(xù)攀升，郵件安全服務(wù)提供商已經(jīng)部署了包括機(jī)器學(xué)習(xí)和人工智能在內(nèi)的多種先進(jìn)策略，以提高郵件的篩選和過(guò)濾效率。然而，垃圾郵件發(fā)送者也在不斷地調(diào)整和升級(jí)他們的攻擊手段，以繞過(guò)傳統(tǒng)的郵件安全防護(hù)措施。圖12023年Q2-2024年Q3境內(nèi)外垃圾郵件攻擊趨勢(shì)圖22024年Q3企業(yè)郵箱郵件類型分布2隨著垃圾郵件的持續(xù)蔓延，郵件安全風(fēng)險(xiǎn)日益復(fù)雜化，涵蓋了釣魚欺詐、廣告、各類詐騙手段、惡意軟件等多重威脅。在2024年第三季度，企業(yè)郵箱用戶接收到的郵件中，正常郵件占據(jù)了絕大部分流量，達(dá)到8.72億封（占比50.63%而整體垃圾郵件數(shù)量則高達(dá)6.73億封，占總郵件量的39.03%。為了有效防范垃圾郵件及網(wǎng)絡(luò)欺詐攻擊，企業(yè)必須加強(qiáng)持續(xù)監(jiān)控、及時(shí)更新防護(hù)策略，并重視用戶教育，以提升整體郵件安全防護(hù)能力。（二）境外垃圾郵件攻擊激增：捷克躍居榜首第三季度境外攻擊源數(shù)據(jù)顯示，捷克較第二季度躍居榜首，從第二季度370萬(wàn)封飆升至1423.6萬(wàn)封，其次是美國(guó)、俄羅斯，成為了垃圾郵件攻擊的主導(dǎo)力量，對(duì)我國(guó)構(gòu)成了較大的網(wǎng)絡(luò)威脅。圖32024年Q3全球垃圾郵件攻擊源TOP10國(guó)家在國(guó)內(nèi)，垃圾郵件攻擊的分布呈現(xiàn)出明顯的地域特征，特別是在經(jīng)濟(jì)發(fā)展較為活躍的地區(qū)。具體來(lái)看，北京市、上海市、廣東省和浙江省作為人口密集和經(jīng)濟(jì)活動(dòng)集中的區(qū)域，其信息技術(shù)基礎(chǔ)設(shè)施相對(duì)先進(jìn)，這為垃圾郵件的大規(guī)模傳播提供了可乘之機(jī)。具體數(shù)據(jù)顯示，北京市遭受的垃圾郵件攻擊量約為2643.1萬(wàn)封，上海市約為1310.6萬(wàn)封，廣東省約為1004萬(wàn)封，浙江省則為915.1萬(wàn)封。圖42024年Q3國(guó)內(nèi)十大垃圾郵件攻擊源頭省份3（三）TOP100垃圾郵件分析：教育行業(yè)依舊為主要接收對(duì)象經(jīng)過(guò)AI實(shí)驗(yàn)室對(duì)TOP100垃圾郵件發(fā)送與接收域名的深入分析，教育行業(yè)依舊是垃圾郵件的主要接收對(duì)象，推斷可能是郵箱地址的規(guī)律性及學(xué)術(shù)交流的開放性，導(dǎo)致郵箱地址更容易暴露在公共環(huán)境中，被垃圾郵件發(fā)送者收集并投遞。面對(duì)教育領(lǐng)域持續(xù)增長(zhǎng)的垃圾郵件困擾，Coremail郵件安全專家建議各位郵件系統(tǒng)管理員部署高效的郵件安全網(wǎng)關(guān)，及時(shí)攔截和清除垃圾郵件；開展反釣魚培訓(xùn)，提高師生的網(wǎng)絡(luò)安全防范意識(shí)，強(qiáng)化信息與賬號(hào)防護(hù)。圖52024年Q3TOP100域名發(fā)送&接收垃圾郵件數(shù)量行業(yè)分布二、2024年Q3釣魚郵件攻擊動(dòng)態(tài)（一）企業(yè)郵箱面臨多樣化網(wǎng)絡(luò)釣魚威脅自2024年以來(lái)釣魚郵件的數(shù)量不斷攀升，第三季度企業(yè)郵箱用戶遭遇的釣魚郵件數(shù)量高達(dá)1.74億封，這表明釣魚攻擊愈發(fā)猖獗。這種增長(zhǎng)趨勢(shì)反映了黑客對(duì)釣魚攻擊的依賴程度在增加，可能是因?yàn)槠淠軌蛞韵鄬?duì)較低的成本獲得較高的回報(bào)，例如獲取企業(yè)敏感信息、用戶賬號(hào)密碼等。其中，來(lái)自境外的釣魚郵件占比高達(dá)55.77%，這顯示出釣魚攻擊的國(guó)際化特征。境外來(lái)源的釣魚郵件更難追蹤和防范，涉及到不同國(guó)家的法律和網(wǎng)絡(luò)監(jiān)管環(huán)境，這些境外攻擊者可能利用不同國(guó)家之間的信息不對(duì)稱和網(wǎng)絡(luò)安全防護(hù)水平的差異來(lái)發(fā)動(dòng)攻擊，這可能導(dǎo)4致企業(yè)和用戶在防范釣魚郵件方面需要投入更多的資源和精力。圖62023年Q3-2024年Q3境內(nèi)外釣魚郵件攻擊趨勢(shì)（二）江西省攻擊源數(shù)據(jù)飆升，全球面臨釣魚威脅攻擊從釣魚攻擊IP攻擊源分析，來(lái)自美國(guó)的攻擊IP來(lái)源依舊保持第一，達(dá)到469.6萬(wàn)；而韓國(guó)、土耳其等亞洲國(guó)家，俄羅斯、匈牙利、捷克等歐洲國(guó)家，這些國(guó)家在釣魚郵件攻擊源中也占據(jù)重要位置，這反映了釣魚攻擊在全球范圍內(nèi)具有一定的地域集中性，網(wǎng)絡(luò)環(huán)境可能被釣魚攻擊者所利用，尤其跨國(guó)企業(yè)和國(guó)際機(jī)構(gòu)需加強(qiáng)安全防御。圖72024年Q3境外釣魚郵件攻擊來(lái)源Top10國(guó)家從釣魚郵件的發(fā)送源TOP10服務(wù)器所在省份來(lái)看，廣東省以451.2萬(wàn)封釣魚郵件居首，而江西省的攻擊源數(shù)據(jù)飆升尤為值得關(guān)注。從第二季度的64.6萬(wàn)封（排行第八）上升到第三季度的較高位次（排行第二這可能暗示江西省在第三季度出現(xiàn)了某些新的因素促使釣魚郵件發(fā)送源增多。這也反映了網(wǎng)絡(luò)犯罪行為的動(dòng)態(tài)性和復(fù)雜性，攻擊者可能會(huì)5根據(jù)不同地區(qū)的網(wǎng)絡(luò)環(huán)境、安全防范措施的強(qiáng)弱等因素，靈活選擇或轉(zhuǎn)移其攻擊源頭，也要求網(wǎng)絡(luò)安全防范措施必須具有針對(duì)性和動(dòng)態(tài)適應(yīng)性。圖82024年Q3國(guó)內(nèi)釣魚郵件攻擊來(lái)源Top10省份（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱Q3作為開學(xué)季，教育行業(yè)接收釣魚郵件數(shù)量高達(dá)7699萬(wàn)，遠(yuǎn)超其他行業(yè)，在教育環(huán)境中，師生之間、學(xué)校與家長(zhǎng)之間存在著高度的信任關(guān)系。攻擊者可能利用這種信任，例如偽裝成學(xué)校的管理人員發(fā)送關(guān)于學(xué)費(fèi)繳納、課程安排變更等郵件。教育行業(yè)需要加強(qiáng)郵件安全防護(hù)措施，包括實(shí)施更嚴(yán)格的郵件過(guò)濾和反釣魚技術(shù)。而企業(yè)發(fā)送及接收釣魚郵件較為活躍，由于其數(shù)據(jù)的高價(jià)值性，釣魚攻擊的威脅持續(xù)存在，攻擊者常常利用企業(yè)內(nèi)部權(quán)力關(guān)系和工作流程的社會(huì)工程學(xué)攻擊，讓企業(yè)員工在不經(jīng)意間打開這些釣魚郵件，導(dǎo)致信息泄露或遭受經(jīng)濟(jì)損失。因而企業(yè)更需注重提高員工的安全意識(shí)，通過(guò)定期的安全培訓(xùn)和模擬釣魚攻擊演練，幫助員工識(shí)別和防范釣魚郵件。圖92024年Q3TOP100域名發(fā)送&接收釣魚郵件數(shù)量行業(yè)分布6三、2024年Q3垃圾釣魚郵件案例（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段第三季度的垃圾郵件數(shù)據(jù)揭示了當(dāng)前郵件詐騙和垃圾郵件發(fā)送者采用的主要策略。以下為主題排名前十的垃圾郵件，以及其各自的郵件數(shù)量：123456789（二）釣魚郵件TOP10：郵件系統(tǒng)通知為主流釣魚郵件常偽裝為郵件系統(tǒng)通知或員工津貼，這增加了賬戶被劫和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。1234567897（三）Q3垃圾釣魚郵件典型案例樣本圖102024年Q3垃圾釣魚郵件案例1圖112024年Q3垃圾釣魚郵件案例2圖122024年Q3垃圾釣魚郵件案例38圖132024年Q3垃圾釣魚郵件案例4圖142024年Q3垃圾釣魚郵件案例5圖152024年Q3垃圾釣魚郵件案例6圖162024年Q3垃圾釣魚郵件案例79圖172024年Q3垃圾釣魚郵件案例8圖182024年Q3垃圾釣魚郵件案例9圖192024年Q3垃圾釣魚郵件案例10四、2024年Q3暴力破解宏觀態(tài)勢(shì)（一）暴力破解：攻擊頻次增加，破解成功率卻逆勢(shì)下降根據(jù)AI實(shí)驗(yàn)室監(jiān)測(cè)，2024年第三季度，全國(guó)企業(yè)級(jí)用戶遭受超過(guò)33億次暴力破解，而成功次數(shù)僅474.1萬(wàn)，推測(cè)可能是Q3處于HW、網(wǎng)絡(luò)安全宣傳周中，結(jié)合網(wǎng)絡(luò)安全主管單位做了比較大力度的通報(bào)，推動(dòng)各企業(yè)對(duì)弱口令做了自查和整改，防護(hù)機(jī)制加強(qiáng)、人員安全意識(shí)提升，導(dǎo)致破解成功率有所下滑。圖202023年Q1-2024年Q3全域暴力破解攻擊趨勢(shì)圖212023年Q1-2024年Q3全域暴力破解成功趨勢(shì)隨著網(wǎng)絡(luò)技術(shù)的普及和商業(yè)競(jìng)爭(zhēng)的加劇，郵件暴力破解的頻率在不斷增加。攻擊者越來(lái)越意識(shí)到企業(yè)和個(gè)人郵箱中可能包含的高價(jià)值信息，如商業(yè)機(jī)密、客戶資料、財(cái)務(wù)數(shù)據(jù)等，因此不斷加大攻擊力度。單純的暴力破解攻擊成功率有限，因此攻擊者越來(lái)越多地結(jié)合社會(huì)工程學(xué)手段。例如，先通過(guò)發(fā)送看似合法的釣魚郵件，誘導(dǎo)用戶點(diǎn)擊鏈接或下載附件，在用戶設(shè)備上植入惡意軟件，獲取用戶的部分登錄信息或降低系統(tǒng)安全防護(hù)能力，再進(jìn)行暴力破解。常見(jiàn)的釣魚郵件可能偽裝成來(lái)自銀行、知名企業(yè)或政府機(jī)構(gòu)的通知，內(nèi)容極具迷惑性，增加了用戶上當(dāng)?shù)母怕?。（二）教育行業(yè)仍是郵件暴力破解主要目標(biāo)據(jù)數(shù)據(jù)顯示，Q3的TOP100域名中，無(wú)論是高危賬號(hào)還是被暴力攻擊次數(shù)均為教育行業(yè)受到的威脅最大，這可能與教育行業(yè)賬號(hào)數(shù)量眾多、密碼安全性較弱等因素有關(guān)。而企業(yè)也是暴力破解的主要對(duì)象，顯示出攻擊者傾向于針對(duì)數(shù)據(jù)價(jià)值高和安全防護(hù)較弱的行尤其是我國(guó)雙一流高校，長(zhǎng)期面臨著嚴(yán)重的郵件威脅，黑產(chǎn)團(tuán)伙妄圖通過(guò)釣魚郵件、盜號(hào)等手段獲取高校機(jī)密性科研材料，或?qū)熒M(jìn)行錢財(cái)詐騙。因此，再次建議各大高校教育安全從業(yè)人員，盡快進(jìn)行安全措施推進(jìn)整改，對(duì)賬號(hào)形成標(biāo)準(zhǔn)管理體系，同時(shí)對(duì)師生定期進(jìn)行反釣魚演練提升反詐騙安全意識(shí)。圖222024年Q3識(shí)別高危賬號(hào)及暴力破解攻擊次數(shù)TOP100域名行業(yè)分布五、中睿天下：釣魚郵件溯源案例分析（一）“郵件賬戶修復(fù)通知”溯源分析報(bào)告郵件主題為《NOTICETODELETE!Forixxxx@:》，郵件正文中含有釣魚超鏈接，目的為誘導(dǎo)用戶輸入賬密信息。當(dāng)用戶輸入個(gè)人賬密信息后，會(huì)將其發(fā)送至“https://raxxxxxxx.xx/wx-ixxxxx/xxx.xxp”，并通過(guò)郵件將受害者信息發(fā)送至“hxxxxxxxxx@”。（1）正文分析郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點(diǎn)擊超鏈接，輸入賬密信息。（2）鏈接分析當(dāng)用戶輸入信息并點(diǎn)擊next后，賬密信息會(huì)發(fā)送至“https://rxxxxxxxx.xx/wx-ixxxxx/xxx.xxp”。如下圖所示：對(duì)釣魚頁(yè)面進(jìn)行滲透測(cè)試，發(fā)現(xiàn)https://raxxxxxxx.xx/file目錄存在目錄遍歷漏洞，在文件中發(fā)現(xiàn)釣魚頁(yè)面源碼及受害者信息。通過(guò)分析釣魚頁(yè)面源碼，發(fā)現(xiàn)攻擊者用于接收受害者信息的電子郵箱地址為“hxxxxxxx@”并將受害者信息寫入至同目錄下的result.txt文件。附錄1