2024年Q4企業(yè)郵箱安全報(bào)告

2024年第四季度企業(yè)郵箱安全性研究報(bào)告一、2024年Q4垃圾郵件概況分析 （一）Q4國(guó)內(nèi)企業(yè)郵箱垃圾郵件達(dá)8.22億封，58.73%來自境外 （二）美國(guó)境外“霸榜”，國(guó)內(nèi)經(jīng)濟(jì)活躍區(qū)受襲 2（三）TOP100垃圾郵件分析：教育行業(yè)仍是垃圾郵件的“重災(zāi)區(qū)” 3二、2024年Q4釣魚郵件攻擊動(dòng)態(tài) 4（一）2.1億封激增，境內(nèi)外威脅并存 4（二）境外多國(guó)上榜，境內(nèi)香港居首 4（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱點(diǎn) 5三、2024年Q4垃圾釣魚郵件案例 6（一）垃圾郵件TOP10：賬務(wù)交易提醒為主攻手段 6（二）釣魚郵件TOP10：郵件系統(tǒng)通知升級(jí)為主流 6（三）Q4垃圾釣魚郵件典型案例樣本 7四、2024年Q4暴力破解宏觀態(tài)勢(shì) （一）暴力破解：破解成功次數(shù)降低 （二）教育行業(yè)高危占比高，企業(yè)被攻擊比例大幅上升 11五、基于盜號(hào)測(cè)試信的黑產(chǎn)攻擊分析 （一）黑產(chǎn)盜號(hào)攻擊綜述 （二）黑產(chǎn)盜號(hào)使用的口令 （二）黑產(chǎn)盜取賬號(hào)使用的工具 （四）黑產(chǎn)盜取賬號(hào)使用的IP分布 （五）結(jié)論 附錄1郵件安全人工智能實(shí)驗(yàn)室介紹 附錄2CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹 組長(zhǎng)主要編寫人員《2024年第四季度企業(yè)郵箱安全報(bào)告》是由廣東盈世計(jì)算機(jī)人工智能實(shí)驗(yàn)室和中睿天下郵件安全響應(yīng)中心的專家們，Coremail郵件安全人工智能實(shí)驗(yàn)室（EmailSecurityAILab，簡(jiǎn)稱“AI實(shí)驗(yàn)室”）是在Coremail的廣泛應(yīng)用場(chǎng)景、豐富大數(shù)據(jù)資源和頂尖科技人才的支持下成立的。AI實(shí)驗(yàn)室致力于在電子郵件安全防護(hù)領(lǐng)域?qū)崿F(xiàn)AI技術(shù)的創(chuàng)新應(yīng)用，包括自然語(yǔ)言處理、計(jì)算機(jī)視覺和大語(yǔ)言模型等前沿技術(shù)。通過這些技術(shù)，我們旨在提升電子郵件的安全性，為企業(yè)1一、2024年Q4垃圾郵件概況分析（一）Q4國(guó)內(nèi)企業(yè)郵箱垃圾郵件達(dá)8.22億封，58.73%來自境外根據(jù)Coremail實(shí)驗(yàn)室數(shù)據(jù)表明，2024年Q4垃圾郵件總量環(huán)比Q3微降，同比去年漲15%。境外垃圾郵件威脅在增加，境內(nèi)垃圾郵件占比環(huán)比降低，這或是因國(guó)內(nèi)打擊力度加大，也可能是攻擊者策略調(diào)整。郵件安全領(lǐng)域的威脅形勢(shì)始終在變。近年來垃圾郵件數(shù)量持續(xù)上升，郵件安全服務(wù)商運(yùn)用機(jī)器學(xué)習(xí)、AI等先進(jìn)策略，提升郵件篩選和過濾效率。但垃圾郵件發(fā)送者也在持續(xù)更新攻擊手段，試圖繞過傳統(tǒng)防護(hù)。圖12023年Q4-2024年Q4境內(nèi)外垃圾郵件攻擊趨勢(shì)圖22024年Q4企業(yè)郵箱郵件類型分布2隨著垃圾郵件的持續(xù)蔓延，郵件安全風(fēng)險(xiǎn)日益復(fù)雜化，涵蓋了釣魚欺詐、廣告、各類詐騙手段、惡意軟件等多重威脅。在2024年第四季度，企業(yè)郵箱用戶接收的正常郵件僅約8.94億封（占比52.08%非正常郵件仍舊占據(jù)較大分量，而整體垃圾郵件數(shù)量則高達(dá)6.04億封，占總郵件量的35.21%。為了有效防范垃圾郵件及網(wǎng)絡(luò)欺詐攻擊，企業(yè)必須加強(qiáng)持續(xù)監(jiān)控、及時(shí)更新防護(hù)策略，并重視用戶教育，以提升整體郵件安全防護(hù)能力。（二）美國(guó)境外“霸榜”，國(guó)內(nèi)經(jīng)濟(jì)活躍區(qū)受襲第四季度境外攻擊源數(shù)據(jù)顯示，美國(guó)斷層第一，高達(dá)1756萬封，而其后的捷克、俄羅斯、法國(guó)不足其22%，這可能是釣魚郵件的發(fā)信IP更加分散了，黑產(chǎn)使用了更多的IP地址來發(fā)送釣魚郵件，有較大的隨機(jī)性。圖32024年Q4全球垃圾郵件攻擊源TOP10國(guó)家國(guó)內(nèi)垃圾郵件攻擊分布存在明顯地域特征，經(jīng)濟(jì)活躍地區(qū)首當(dāng)其沖。北京、香港、上海、廣東等地，人口密集、經(jīng)濟(jì)活動(dòng)頻繁，信息技術(shù)基礎(chǔ)設(shè)施先進(jìn)，這為垃圾郵件廣泛傳播創(chuàng)造了條件。攻擊者借此更高效發(fā)送垃圾郵件，威脅當(dāng)?shù)鼐W(wǎng)絡(luò)安全與用戶體驗(yàn)。具體數(shù)據(jù)顯示，來自北京的垃圾郵件攻擊量約為2844萬封，香港約為1443.5萬封，上海約為1187.6萬封，廣東省則為1179.5萬封。圖42024年Q4國(guó)內(nèi)十大垃圾郵件攻擊源頭省份3（三）TOP100垃圾郵件分析：教育行業(yè)仍是垃圾郵件的“重災(zāi)區(qū)”經(jīng)過AI實(shí)驗(yàn)室對(duì)TOP100垃圾郵件發(fā)送與接收域名的深入分析，教育行業(yè)依舊是垃圾郵件的主要接收對(duì)象，從用戶角度，教育行業(yè)師生眾多，年齡跨度大，安全意識(shí)薄弱，易被垃圾郵件的虛假信息誘惑，點(diǎn)擊惡意鏈接或下載附件，成為垃圾郵件發(fā)送者的目標(biāo)。郵件管理方面，不同教育機(jī)構(gòu)的水平參差不齊。一些學(xué)?；驒C(jī)構(gòu)缺少專業(yè)管理團(tuán)隊(duì)，無法及時(shí)更新安全補(bǔ)丁，也未部署先進(jìn)的垃圾郵件過濾機(jī)制，導(dǎo)致郵件系統(tǒng)易被垃圾郵件突破。商業(yè)利益因素也不容忽視。教育行業(yè)與升學(xué)、培訓(xùn)、學(xué)術(shù)資源緊密相關(guān)，利益巨大。不法分子為推銷課程、資料或虛假學(xué)術(shù)服務(wù)，選擇大量發(fā)送垃圾郵件，以獲取潛在客戶。此外，社交與合作需求使得師生常在社交平臺(tái)、學(xué)術(shù)網(wǎng)站等留下郵箱，增加了郵箱暴露風(fēng)險(xiǎn)，垃圾郵件發(fā)送者便能輕易獲取這些信息，精準(zhǔn)發(fā)送垃圾郵件。以上因素相互交織，讓教育行業(yè)持續(xù)處于垃圾郵件的高風(fēng)險(xiǎn)環(huán)境。垃圾郵件不僅干擾師生正常的教學(xué)與學(xué)習(xí)，還可能導(dǎo)致信息泄露、遭受詐騙等安全問題。因此，教育機(jī)構(gòu)亟需加強(qiáng)郵件系統(tǒng)管理，提升師生網(wǎng)絡(luò)安全意識(shí)，共同應(yīng)對(duì)垃圾郵件威脅，維護(hù)教育行業(yè)網(wǎng)絡(luò)環(huán)境的健康與安全。圖52024年Q4TOP100域名發(fā)送&接收垃圾郵件數(shù)量行業(yè)分布4二、2024年Q4釣魚郵件攻擊動(dòng)態(tài)（一）2.1億封激增，境內(nèi)外威脅并存2024年伊始，釣魚郵件數(shù)量呈顯著攀升態(tài)勢(shì)。至第四季度，企業(yè)郵箱用戶所遭遇的釣魚郵件數(shù)量竟高達(dá)2.1億封，這一數(shù)據(jù)直觀地反映出釣魚攻擊正愈演愈烈。境外來源的釣魚郵件占比達(dá)到54.22%，占據(jù)了釣魚郵件的主導(dǎo)地位。這些境外郵件具有更強(qiáng)的隱蔽性和難以追蹤性。由于涉及不同國(guó)家的法律和網(wǎng)絡(luò)監(jiān)管環(huán)境，攻擊者常利用國(guó)家間的信息不對(duì)稱和網(wǎng)絡(luò)安全防護(hù)水平差異來發(fā)動(dòng)攻擊。比如一些來自境外的釣魚郵件，會(huì)偽裝成國(guó)際知名企業(yè)或機(jī)構(gòu)，利用國(guó)內(nèi)用戶對(duì)國(guó)際品牌的信任，誘導(dǎo)用戶點(diǎn)擊鏈接或提供個(gè)人信息。圖62023年Q4-2024年Q4境內(nèi)外釣魚郵件攻擊趨勢(shì)境內(nèi)釣魚郵件占比為45.78%，雖然占比較境外稍低，但也不容小覷。境內(nèi)釣魚郵件往往更具針對(duì)性，會(huì)結(jié)合國(guó)內(nèi)的熱點(diǎn)事件、行業(yè)動(dòng)態(tài)等進(jìn)行設(shè)計(jì)。例如在電商促銷季，會(huì)出現(xiàn)大量偽裝成知名電商平臺(tái)的釣魚郵件，以訂單異常、退款等理由誘導(dǎo)用戶操作。（二）境外多國(guó)上榜，境內(nèi)香港居首從釣魚攻擊IP地址溯源分析，美國(guó)發(fā)出的攻擊IP數(shù)量獨(dú)占鰲頭，多達(dá)455.1萬個(gè)。俄羅斯、韓國(guó)、荷蘭等國(guó)家在釣魚郵件攻擊源頭里同樣占據(jù)關(guān)鍵地位。這意味著釣魚攻擊在全球范圍內(nèi)存在明顯的地域聚集特點(diǎn)，暗示網(wǎng)絡(luò)環(huán)境可能被不法分子利用，尤其是跨國(guó)企業(yè)和國(guó)際組織，必須強(qiáng)化安全防護(hù)工作，規(guī)避潛在風(fēng)險(xiǎn)。5圖72024年Q4境外釣魚郵件攻擊來源Top10國(guó)家從釣魚郵件的發(fā)送源TOP10服務(wù)器所在省份來看，香港躍升榜首1199.7萬；對(duì)比Q3的278.9萬，增長(zhǎng)幅度較大?？赡苁怯捎谙愀墼赒4期間某些特定的商業(yè)活動(dòng)、網(wǎng)絡(luò)環(huán)境變化或攻擊者策略調(diào)整等因素，黑產(chǎn)新掌握了較多的香港IP資源，導(dǎo)致釣魚攻擊量急劇增加。作為國(guó)際金融中心，香港本身網(wǎng)絡(luò)連接頻繁且復(fù)雜，容易被攻擊者作為跳板進(jìn)行跨境網(wǎng)絡(luò)攻擊，導(dǎo)致釣魚郵件數(shù)量顯著增加，攻擊者通過偽裝成銀行或金融機(jī)構(gòu)發(fā)送釣魚郵件，誘導(dǎo)用戶泄露敏感信息。圖82024年Q4國(guó)內(nèi)釣魚郵件攻擊來源Top10省份（三）TOP100釣魚攻擊分析：教育與企業(yè)為攻擊熱Q4作為開學(xué)季，教育行業(yè)接收釣魚郵件數(shù)量高達(dá)7953.1萬，遠(yuǎn)超其他行業(yè)，在教育環(huán)境中，師生之間、學(xué)校與家長(zhǎng)之間存在著高度的信任關(guān)系。攻擊者可能利用這種信任，例如偽裝成學(xué)校的管理人員發(fā)送關(guān)于學(xué)費(fèi)繳納、課程安排變更等郵件。教育行業(yè)需要加強(qiáng)郵件安全防護(hù)措施，包括實(shí)施更嚴(yán)格的郵件過濾和反釣魚技術(shù)。而企業(yè)發(fā)送及接收釣魚郵件較為活躍，由于其數(shù)據(jù)的高價(jià)值性，釣魚攻擊的威脅持續(xù)6存在，攻擊者常常利用企業(yè)內(nèi)部權(quán)力關(guān)系和工作流程的社會(huì)工程學(xué)攻擊，讓企業(yè)員工在不經(jīng)意間打開這些釣魚郵件，導(dǎo)致信息泄露或遭受經(jīng)濟(jì)損失。因而企業(yè)更需注重提高員工的安全意識(shí)，通過定期的安全培訓(xùn)和模擬釣魚攻擊演練，幫助員工識(shí)別和防范釣魚郵件。圖92024年Q4TOP100域名發(fā)送&接收釣魚郵件數(shù)量行業(yè)分布三、2024年Q4垃圾釣魚郵件案例（一）垃圾郵件TOP10：賬務(wù)交易提醒為主攻手段第四季度的垃圾郵件數(shù)據(jù)揭示了當(dāng)前郵件詐騙和垃圾郵件發(fā)送者采用的主要策略。以下為主題排名前十的垃圾郵件，以及其各自的郵件數(shù)量：12345test_for_525_per_test_tag_16789（二）釣魚郵件TOP10：郵件系統(tǒng)通知升級(jí)為主流釣魚郵件常偽裝為郵件系統(tǒng)通知或員工款項(xiàng)津貼，這增加了賬戶被劫和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。7123456789（三）Q4垃圾釣魚郵件典型案例樣本圖102024年Q4垃圾釣魚郵件案例1圖112024年Q4垃圾釣魚郵件案例28圖122024年Q4垃圾釣魚郵件案例3圖132024年Q4垃圾釣魚郵件案例4圖142024年Q4垃圾釣魚郵件案例59圖152024年Q4垃圾釣魚郵件案例6圖162024年Q4垃圾釣魚郵件案例7圖172024年Q4垃圾釣魚郵件案例8圖182024年Q4垃圾釣魚郵件案例9圖192024年Q4垃圾釣魚郵件案例10四、2024年Q4暴力破解宏觀態(tài)勢(shì)（一）暴力破解：破解成功次數(shù)降低根據(jù)AI實(shí)驗(yàn)室監(jiān)測(cè)，2024年第四季度，全國(guó)企業(yè)級(jí)用戶遭受超過42.2億次暴力破解，整體趨勢(shì)持續(xù)增長(zhǎng)，黑產(chǎn)規(guī)模在不斷增加，而Q4的成功次數(shù)僅528.2萬，推測(cè)與2024年監(jiān)管部門加強(qiáng)了郵箱賬號(hào)被盜的通報(bào)力度相關(guān)，企業(yè)加強(qiáng)了賬號(hào)管理，導(dǎo)致破解成功次數(shù)降低。圖202023年Q2-2024年Q4全域暴力破解攻擊趨勢(shì)圖212023年Q2-2024年Q4全域暴力破解成功趨勢(shì)（二）教育行業(yè)高危占比高，企業(yè)被攻擊比例大幅據(jù)數(shù)據(jù)顯示，Q4的高危賬號(hào)TOP100域名中，教育行業(yè)占比高達(dá)65%，是高危賬號(hào)出現(xiàn)比例最高的行業(yè)。學(xué)校郵箱因其包含大量個(gè)人信息、學(xué)術(shù)數(shù)據(jù)和財(cái)務(wù)記錄，而成為黑客攻擊的優(yōu)選目標(biāo)。許多學(xué)校在安全措施上投入不足，密碼管理松散，加上大量的目標(biāo)賬戶，使得學(xué)校郵箱容易成為暴力破解和其他攻擊手段的目標(biāo)。黑客通過攻破郵箱賬戶不僅能竊取個(gè)人敏感數(shù)據(jù)，還可以利用其進(jìn)行更大范圍的網(wǎng)絡(luò)攻擊和社會(huì)工程學(xué)詐騙。因此，學(xué)校應(yīng)加強(qiáng)郵件系統(tǒng)的安全防護(hù)措施，尤其是在密碼管理、身份驗(yàn)證和賬戶監(jiān)控方面，防止暴力破解和其他類型的攻擊。企業(yè)在被攻擊TOP100域名中占比43%，與高危賬號(hào)相比，企業(yè)在被攻擊的比例上大幅上升，接近教育行業(yè)。這表明企業(yè)賬號(hào)不僅存在較高的風(fēng)險(xiǎn)，而且實(shí)際遭受攻擊的情況也較為嚴(yán)重，需要加強(qiáng)安全防范措施。圖222024年Q4識(shí)別高危賬號(hào)及暴力破解攻擊次數(shù)TOP100域名行業(yè)分布五、基于盜號(hào)測(cè)試信的黑產(chǎn)攻擊分析盜號(hào)測(cè)試信是黑產(chǎn)在盜取郵箱賬號(hào)后發(fā)送的測(cè)試性郵件，黑產(chǎn)在使用腳本進(jìn)行批量賬號(hào)破解時(shí)成功后，往往會(huì)發(fā)送一封測(cè)試信到自己的郵箱，其中大部分測(cè)試信會(huì)在標(biāo)題和正文攜帶用戶名、密碼、登錄地址等信息。黑產(chǎn)發(fā)送盜號(hào)測(cè)試信主要有兩個(gè)目的，一是測(cè)試使用郵箱賬號(hào)是否可以對(duì)外發(fā)信，二是在持續(xù)進(jìn)行多大規(guī)模賬號(hào)破解時(shí)便于收集和管理破解成功的用戶信息。一個(gè)典型的盜號(hào)測(cè)試信內(nèi)容如下：圖23典型的盜號(hào)測(cè)試信案例2024年Q4，Coremail郵件安全人工智能實(shí)驗(yàn)室共監(jiān)測(cè)到盜號(hào)測(cè)試信12833封，涉及受害郵箱賬號(hào)3746個(gè)，受害域名1048個(gè)。監(jiān)測(cè)到攻擊者使用的郵箱933個(gè)，黑產(chǎn)使用的IP6524個(gè)。下面將針對(duì)黑產(chǎn)的盜號(hào)測(cè)試信，從不同維度進(jìn)行分析：（一）黑產(chǎn)盜號(hào)攻擊綜述Coremail郵件安全人工智能實(shí)驗(yàn)室經(jīng)過長(zhǎng)期在郵件安全領(lǐng)域與黑產(chǎn)攻防對(duì)抗發(fā)現(xiàn)，目前郵箱賬號(hào)盜取已形成了專門的黑色產(chǎn)業(yè)，從事郵箱盜號(hào)的黑產(chǎn)團(tuán)伙已經(jīng)掌握了專業(yè)工具和大量的IP資源池，同時(shí)分工合作形成了產(chǎn)業(yè)鏈。專業(yè)從事盜號(hào)的黑產(chǎn)團(tuán)伙會(huì)使用專用的盜號(hào)工具，這些工具有開源的也有其他黑產(chǎn)制作出售的。這些工具可以導(dǎo)入賬號(hào)和字典清單，對(duì)smtp、imap、pop3端口進(jìn)行自動(dòng)化暴力破解。由于web登錄界面不同郵箱差異較大，且通常有圖形驗(yàn)證碼等安全措施，絕大多數(shù)黑產(chǎn)工具不針對(duì)web界面做暴力破解。同時(shí)盜號(hào)的黑產(chǎn)團(tuán)伙會(huì)使用動(dòng)態(tài)IP代理，在暴力破解期間持續(xù)更換IP，防止被封禁。目前黑產(chǎn)掌握的資源池已經(jīng)非常龐大。黑產(chǎn)團(tuán)伙盜取賬號(hào)成功后，不一定會(huì)自己進(jìn)行進(jìn)一步利用，而是可能會(huì)出售。一些黑產(chǎn)團(tuán)伙通過運(yùn)營(yíng)telegram群組和黑產(chǎn)商城出售被盜取的賬號(hào)，同時(shí)他們也會(huì)從其他黑產(chǎn)團(tuán)伙收購(gòu)賬號(hào)，以賺取差價(jià)。最終從事BEC詐騙和發(fā)送釣魚、病毒、廣告郵件的黑產(chǎn)會(huì)購(gòu)買賬號(hào)并進(jìn)行惡意利用。圖23黑產(chǎn)攻擊分析由于黑產(chǎn)盜取賬號(hào)使用的工具相對(duì)穩(wěn)定，因此其攻擊模式具有較明顯的特征。多個(gè)黑產(chǎn)流程工具在盜號(hào)成功后會(huì)發(fā)送測(cè)試信，一是測(cè)試使用郵箱賬號(hào)是否可以對(duì)外發(fā)信，二是在持續(xù)進(jìn)行多大規(guī)模賬號(hào)破解時(shí)便于收集和管理破解成功的用戶信息。（二）黑產(chǎn)盜號(hào)使用的口令2024年Q4監(jiān)測(cè)到盜號(hào)測(cè)試信涉及的被盜郵箱賬號(hào)共3746個(gè)，其中3156個(gè)在標(biāo)題或正文中包含賬號(hào)口令，590個(gè)郵件中不帶有口令。針對(duì)包含口令信息的3156個(gè)樣本，我們分析了被盜賬號(hào)使用的口令特征。被盜賬號(hào)使用的口令主要分為以下三類：123456a、qwer@1234、asd123本次研究中發(fā)現(xiàn)使用常見弱口令導(dǎo)致被盜的賬號(hào)占比已經(jīng)非常小。此類口令并非常見的弱口令，甚至可能符合強(qiáng)口令復(fù)雜度要求，但是這類口令具有特定特征，攻擊者很容易構(gòu)造出此類口令。例如：姓名縮寫@123456、姓名全拼2024、企業(yè)英文名稱888本次研究中發(fā)現(xiàn)此類特定規(guī)則構(gòu)造的口令占比非常高，造成了嚴(yán)重危害。此類口令無特定規(guī)律，攻擊者無法通過郵箱賬號(hào)登要素來構(gòu)造。因此判斷用戶被釣魚泄露，或者口令在社工庫(kù)中泄露。本次研究的被盜賬號(hào)中，使用常見弱口令的賬號(hào)有158個(gè)，僅占5%；使用特定規(guī)則口令的賬號(hào)多達(dá)2310個(gè)，占比達(dá)73.2%；使用其他規(guī)則口令的賬號(hào)為688個(gè)，占21.8%。圖242024年Q4被盜賬號(hào)統(tǒng)計(jì)由此可見使用特定規(guī)則的口令已經(jīng)成為賬號(hào)被黑產(chǎn)盜取的主要原因，其占比高達(dá)73.1%。Coremail郵件安全人工智能實(shí)驗(yàn)室進(jìn)一步分析了黑產(chǎn)構(gòu)造特定規(guī)則口令字典的方式。攻擊者會(huì)根據(jù)郵箱賬號(hào)進(jìn)行變形，構(gòu)造暴力破解的口令字典?？诹顦?gòu)造基本結(jié)構(gòu)有三種：“賬號(hào)名變形”+“常用數(shù)字組合”、“賬號(hào)名變形”+“@”+“常用數(shù)字組合”、“賬號(hào)名變形”+“常用數(shù)字組合”+“！”1、賬號(hào)名變形：包括郵箱賬號(hào)名、姓名縮寫、姓名縮寫大寫、姓名縮寫首字母大寫、郵箱域名。2、特殊字符：@通常在中間通常在結(jié)尾。3、常用數(shù)字組合：包括常見數(shù)字串12345、123、1234、654321和年份2025、2024、2023等。假設(shè)爆破目標(biāo)賬號(hào)為lihua@，則根據(jù)黑產(chǎn)常用的規(guī)則，將構(gòu)造口令字典如下：lihua@123、lihua@123456、lihua@2024、lh@123、Lh1234、LH123456、Lh1234!、LH123456!、coremail@2024、Coremail123456綜上，本次研究發(fā)現(xiàn)黑產(chǎn)暴力破解盜取賬號(hào)的主要方式是針對(duì)賬號(hào)構(gòu)造特定規(guī)則的口令字典，該方式占被盜賬號(hào)的73.1%。如果用戶規(guī)避掉黑產(chǎn)常用的口令構(gòu)造方式，可以大幅提升賬號(hào)安全性。（二）黑產(chǎn)盜取賬號(hào)使用的工具本次監(jiān)測(cè)到的黑產(chǎn)使用的暴力破解工具主要包括“smtpcracker”“SMTPCracker”“MadCatsmtp-Checker”等開源工具，非開源工具主要包括“sanmaoMailCracker.exe”“SMTPTESTERALLINONE”。圖252024Q4黑產(chǎn)使用的暴力破解工具從統(tǒng)計(jì)數(shù)據(jù)來看，黑產(chǎn)使用最為普遍的smtp暴力破解工具是sanmaoMailCracker，從盜號(hào)測(cè)試信數(shù)量統(tǒng)計(jì)，占比高達(dá)54.9%。該工具疑似由國(guó)內(nèi)黑產(chǎn)從業(yè)者開發(fā)，為exe工具，2024年該工具官網(wǎng)已經(jīng)關(guān)閉，工具停止更新，但是現(xiàn)有版本仍然被廣泛使用。從統(tǒng)計(jì)數(shù)據(jù)來看，使用該工具的黑產(chǎn)團(tuán)伙喜歡使用國(guó)內(nèi)代理IP，集中于江蘇、湖北、遼寧三個(gè)省。同時(shí)，使用該工具的黑產(chǎn)收信郵箱域名集中于和163.com。圖262024年Q4使用sanmaoMailCracker工具的國(guó)內(nèi)代理IP及黑產(chǎn)收信郵箱域名綜上，使用sanmaoMailCracker.exe的黑產(chǎn)代理IP和收信郵箱都集中于國(guó)內(nèi)，說明該工具極可能是國(guó)內(nèi)郵件盜號(hào)黑產(chǎn)最主要的暴力破解工具。（四）黑產(chǎn)盜取賬號(hào)使用的IP分布針對(duì)2024Q4盜號(hào)測(cè)試信使用的IP分布進(jìn)行分析。其中6749次攻擊記錄來自國(guó)內(nèi)，6084次攻擊記錄來自國(guó)外。來自國(guó)內(nèi)的攻擊分布如下：圖272024Q4盜號(hào)測(cè)試信使用IP國(guó)內(nèi)攻擊分布來自國(guó)外的攻擊分布如下：圖282024Q4盜號(hào)測(cè)試信使用IP國(guó)外攻擊分布綜上，黑產(chǎn)使用的攻擊的ip地址分布來看，國(guó)內(nèi)和國(guó)外基本相等。國(guó)內(nèi)集中于江蘇、湖北遼寧三個(gè)省份，其中江蘇省達(dá)45.8%，說明國(guó)內(nèi)黑產(chǎn)IP資源呈現(xiàn)明顯的地區(qū)聚集性。攻擊IP共分布在多達(dá)2950個(gè)C段，在整個(gè)Q4平均每個(gè)C段用于發(fā)送盜號(hào)測(cè)試信僅4.35次！這說明黑產(chǎn)已經(jīng)掌握了大量的IP池資源。同時(shí)，針對(duì)IP和C段的封禁策略針對(duì)當(dāng)前的黑產(chǎn)資源規(guī)模已經(jīng)難以奏效。黑產(chǎn)使用的IPC段前十及次數(shù)如下：黑產(chǎn)使用的IPC段前十次數(shù)11.88.10034149.85.127180.123.227180.123.55180.104.184105.163.158220.173.12349.81.29114.230.109218.91.70通過對(duì)2024年Q4黑產(chǎn)盜號(hào)測(cè)試信的研究，Coremail郵件安全人工智能實(shí)驗(yàn)室得出以下關(guān)鍵結(jié)論：1、目前郵箱賬號(hào)盜取已形成了專門的黑色產(chǎn)業(yè)，盜號(hào)測(cè)試信是黑產(chǎn)盜取賬號(hào)成功的重要標(biāo)志；2、黑產(chǎn)暴力破解使用的口令字典，大部分通過目標(biāo)郵箱賬號(hào)名變形生成，其他占比達(dá)到73.2%。黑產(chǎn)構(gòu)造口令常用的規(guī)則為：“賬號(hào)名變形”+“常用數(shù)字組合”、“賬號(hào)名變形”+“@”+“常用數(shù)字組合”、“賬號(hào)名變形”+“常用數(shù)字組合”+“！”，用戶如果規(guī)避掉這種口令規(guī)則可以大幅降低賬號(hào)被暴力破解的風(fēng)險(xiǎn)。3、黑產(chǎn)暴力破解最常使用的工具為sanmaoSmtpCracker.exe，占54.9%。同時(shí)該工具應(yīng)為國(guó)內(nèi)黑產(chǎn)使用的最主要暴力破解工具。4、黑產(chǎn)暴力破解使用的IP國(guó)內(nèi)和國(guó)外數(shù)量接近。黑產(chǎn)國(guó)內(nèi)IP資源呈現(xiàn)明顯的地區(qū)聚集性，集中于江蘇、湖北遼寧三個(gè)省份，其中江蘇省達(dá)45.8%。附錄1郵件安全人工智能實(shí)驗(yàn)室介紹Coremail郵件安全人工智能實(shí)驗(yàn)室（EmailSecurityAILab依托于Coremail豐富的應(yīng)用場(chǎng)景、海量大數(shù)據(jù)與