2024年Q3企業(yè)郵箱安全報(bào)告

2024年第三季度企業(yè)郵箱安全性研究報(bào)告一、2024年Q3垃圾郵件概況分析 （一）Q3國(guó)內(nèi)企業(yè)郵箱垃圾郵件達(dá)8.53億封，63.67%來(lái)自境外 （二）境外垃圾郵件攻擊激增：捷克躍居榜首 2（三）TOP100垃圾郵件分析：教育行業(yè)依舊為主要接收對(duì)象 3二、2024年Q3釣魚(yú)郵件攻擊動(dòng)態(tài) 3（一）企業(yè)郵箱面臨多樣化網(wǎng)絡(luò)釣魚(yú)威脅 3（二）江西省攻擊源數(shù)據(jù)飆升，全球面臨釣魚(yú)威脅攻擊 4（三）TOP100釣魚(yú)攻擊分析：教育與企業(yè)為攻擊熱點(diǎn) 5三、2024年Q3垃圾釣魚(yú)郵件案例 6（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段 6（二）釣魚(yú)郵件TOP10：郵件系統(tǒng)通知為主流 6（三）Q3垃圾釣魚(yú)郵件典型案例樣本 7四、2024年Q3暴力破解宏觀態(tài)勢(shì) （一）暴力破解：攻擊頻次增加，破解成功率卻逆勢(shì)下降 10（二）教育行業(yè)仍是郵件暴力破解主要目標(biāo) 五、中睿天下：釣魚(yú)郵件溯源案例分析 （一）“郵件賬戶修復(fù)通知”溯源分析報(bào)告 附錄1郵件安全人工智能實(shí)驗(yàn)室介紹 附錄2CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹 組長(zhǎng)主要編寫(xiě)人員《2024年第三季度企業(yè)郵箱安全報(bào)告》是由廣東盈世計(jì)算機(jī)人工智能實(shí)驗(yàn)室和中睿天下郵件安全響應(yīng)中心的專(zhuān)家們，Coremail郵件安全人工智能實(shí)驗(yàn)室（EmailSecurityAILab，簡(jiǎn)稱“AI實(shí)驗(yàn)室”）是在Coremail的廣泛應(yīng)用場(chǎng)景、豐富大數(shù)據(jù)資源和頂尖科技人才的支持下成立的。AI實(shí)驗(yàn)室致力于在電子郵件安全防護(hù)領(lǐng)域?qū)崿F(xiàn)AI技術(shù)的創(chuàng)新應(yīng)用，包括自然語(yǔ)言處理、計(jì)算機(jī)視覺(jué)和大語(yǔ)言模型等前沿技術(shù)。通過(guò)這些技術(shù)，我們旨在提升電子郵件的安全性，為企業(yè)1一、2024年Q3垃圾郵件概況分析（一）Q3國(guó)內(nèi)企業(yè)郵箱垃圾郵件達(dá)8.53億封，63.67%來(lái)自境外根據(jù)Coremail郵件安全人工智能實(shí)驗(yàn)室數(shù)據(jù)顯示，2024年第三季度垃圾郵件總量環(huán)比第二季度有少量下降，但比去年同期仍上漲22.3%，境外垃圾郵件的威脅仍在上升，與此境內(nèi)垃圾郵件比例環(huán)比下降，這可能意味著國(guó)內(nèi)對(duì)垃圾郵件的打擊力度有所增強(qiáng)，或者攻擊者策略有所轉(zhuǎn)變。在郵件安全領(lǐng)域，我們正面臨著一個(gè)不斷演變的威脅環(huán)境。盡管近年來(lái)垃圾郵件的數(shù)量持續(xù)攀升，郵件安全服務(wù)提供商已經(jīng)部署了包括機(jī)器學(xué)習(xí)和人工智能在內(nèi)的多種先進(jìn)策略，以提高郵件的篩選和過(guò)濾效率。然而，垃圾郵件發(fā)送者也在不斷地調(diào)整和升級(jí)他們的攻擊手段，以繞過(guò)傳統(tǒng)的郵件安全防護(hù)措施。圖12023年Q2-2024年Q3境內(nèi)外垃圾郵件攻擊趨勢(shì)圖22024年Q3企業(yè)郵箱郵件類(lèi)型分布2隨著垃圾郵件的持續(xù)蔓延，郵件安全風(fēng)險(xiǎn)日益復(fù)雜化，涵蓋了釣魚(yú)欺詐、廣告、各類(lèi)詐騙手段、惡意軟件等多重威脅。在2024年第三季度，企業(yè)郵箱用戶接收到的郵件中，正常郵件占據(jù)了絕大部分流量，達(dá)到8.72億封（占比50.63%而整體垃圾郵件數(shù)量則高達(dá)6.73億封，占總郵件量的39.03%。為了有效防范垃圾郵件及網(wǎng)絡(luò)欺詐攻擊，企業(yè)必須加強(qiáng)持續(xù)監(jiān)控、及時(shí)更新防護(hù)策略，并重視用戶教育，以提升整體郵件安全防護(hù)能力。（二）境外垃圾郵件攻擊激增：捷克躍居榜首第三季度境外攻擊源數(shù)據(jù)顯示，捷克較第二季度躍居榜首，從第二季度370萬(wàn)封飆升至1423.6萬(wàn)封，其次是美國(guó)、俄羅斯，成為了垃圾郵件攻擊的主導(dǎo)力量，對(duì)我國(guó)構(gòu)成了較大的網(wǎng)絡(luò)威脅。圖32024年Q3全球垃圾郵件攻擊源TOP10國(guó)家在國(guó)內(nèi)，垃圾郵件攻擊的分布呈現(xiàn)出明顯的地域特征，特別是在經(jīng)濟(jì)發(fā)展較為活躍的地區(qū)。具體來(lái)看，北京市、上海市、廣東省和浙江省作為人口密集和經(jīng)濟(jì)活動(dòng)集中的區(qū)域，其信息技術(shù)基礎(chǔ)設(shè)施相對(duì)先進(jìn)，這為垃圾郵件的大規(guī)模傳播提供了可乘之機(jī)。具體數(shù)據(jù)顯示，北京市遭受的垃圾郵件攻擊量約為2643.1萬(wàn)封，上海市約為1310.6萬(wàn)封，廣東省約為1004萬(wàn)封，浙江省則為915.1萬(wàn)封。圖42024年Q3國(guó)內(nèi)十大垃圾郵件攻擊源頭省份3（三）TOP100垃圾郵件分析：教育行業(yè)依舊為主要接收對(duì)象經(jīng)過(guò)AI實(shí)驗(yàn)室對(duì)TOP100垃圾郵件發(fā)送與接收域名的深入分析，教育行業(yè)依舊是垃圾郵件的主要接收對(duì)象，推斷可能是郵箱地址的規(guī)律性及學(xué)術(shù)交流的開(kāi)放性，導(dǎo)致郵箱地址更容易暴露在公共環(huán)境中，被垃圾郵件發(fā)送者收集并投遞。面對(duì)教育領(lǐng)域持續(xù)增長(zhǎng)的垃圾郵件困擾，Coremail郵件安全專(zhuān)家建議各位郵件系統(tǒng)管理員部署高效的郵件安全網(wǎng)關(guān)，及時(shí)攔截和清除垃圾郵件；開(kāi)展反釣魚(yú)培訓(xùn)，提高師生的網(wǎng)絡(luò)安全防范意識(shí)，強(qiáng)化信息與賬號(hào)防護(hù)。圖52024年Q3TOP100域名發(fā)送&接收垃圾郵件數(shù)量行業(yè)分布二、2024年Q3釣魚(yú)郵件攻擊動(dòng)態(tài)（一）企業(yè)郵箱面臨多樣化網(wǎng)絡(luò)釣魚(yú)威脅自2024年以來(lái)釣魚(yú)郵件的數(shù)量不斷攀升，第三季度企業(yè)郵箱用戶遭遇的釣魚(yú)郵件數(shù)量高達(dá)1.74億封，這表明釣魚(yú)攻擊愈發(fā)猖獗。這種增長(zhǎng)趨勢(shì)反映了黑客對(duì)釣魚(yú)攻擊的依賴程度在增加，可能是因?yàn)槠淠軌蛞韵鄬?duì)較低的成本獲得較高的回報(bào)，例如獲取企業(yè)敏感信息、用戶賬號(hào)密碼等。其中，來(lái)自境外的釣魚(yú)郵件占比高達(dá)55.77%，這顯示出釣魚(yú)攻擊的國(guó)際化特征。境外來(lái)源的釣魚(yú)郵件更難追蹤和防范，涉及到不同國(guó)家的法律和網(wǎng)絡(luò)監(jiān)管環(huán)境，這些境外攻擊者可能利用不同國(guó)家之間的信息不對(duì)稱和網(wǎng)絡(luò)安全防護(hù)水平的差異來(lái)發(fā)動(dòng)攻擊，這可能導(dǎo)4致企業(yè)和用戶在防范釣魚(yú)郵件方面需要投入更多的資源和精力。圖62023年Q3-2024年Q3境內(nèi)外釣魚(yú)郵件攻擊趨勢(shì)（二）江西省攻擊源數(shù)據(jù)飆升，全球面臨釣魚(yú)威脅攻擊從釣魚(yú)攻擊IP攻擊源分析，來(lái)自美國(guó)的攻擊IP來(lái)源依舊保持第一，達(dá)到469.6萬(wàn)；而韓國(guó)、土耳其等亞洲國(guó)家，俄羅斯、匈牙利、捷克等歐洲國(guó)家，這些國(guó)家在釣魚(yú)郵件攻擊源中也占據(jù)重要位置，這反映了釣魚(yú)攻擊在全球范圍內(nèi)具有一定的地域集中性，網(wǎng)絡(luò)環(huán)境可能被釣魚(yú)攻擊者所利用，尤其跨國(guó)企業(yè)和國(guó)際機(jī)構(gòu)需加強(qiáng)安全防御。圖72024年Q3境外釣魚(yú)郵件攻擊來(lái)源Top10國(guó)家從釣魚(yú)郵件的發(fā)送源TOP10服務(wù)器所在省份來(lái)看，廣東省以451.2萬(wàn)封釣魚(yú)郵件居首，而江西省的攻擊源數(shù)據(jù)飆升尤為值得關(guān)注。從第二季度的64.6萬(wàn)封（排行第八）上升到第三季度的較高位次（排行第二這可能暗示江西省在第三季度出現(xiàn)了某些新的因素促使釣魚(yú)郵件發(fā)送源增多。這也反映了網(wǎng)絡(luò)犯罪行為的動(dòng)態(tài)性和復(fù)雜性，攻擊者可能會(huì)5根據(jù)不同地區(qū)的網(wǎng)絡(luò)環(huán)境、安全防范措施的強(qiáng)弱等因素，靈活選擇或轉(zhuǎn)移其攻擊源頭，也要求網(wǎng)絡(luò)安全防范措施必須具有針對(duì)性和動(dòng)態(tài)適應(yīng)性。圖82024年Q3國(guó)內(nèi)釣魚(yú)郵件攻擊來(lái)源Top10省份（三）TOP100釣魚(yú)攻擊分析：教育與企業(yè)為攻擊熱Q3作為開(kāi)學(xué)季，教育行業(yè)接收釣魚(yú)郵件數(shù)量高達(dá)7699萬(wàn)，遠(yuǎn)超其他行業(yè)，在教育環(huán)境中，師生之間、學(xué)校與家長(zhǎng)之間存在著高度的信任關(guān)系。攻擊者可能利用這種信任，例如偽裝成學(xué)校的管理人員發(fā)送關(guān)于學(xué)費(fèi)繳納、課程安排變更等郵件。教育行業(yè)需要加強(qiáng)郵件安全防護(hù)措施，包括實(shí)施更嚴(yán)格的郵件過(guò)濾和反釣魚(yú)技術(shù)。而企業(yè)發(fā)送及接收釣魚(yú)郵件較為活躍，由于其數(shù)據(jù)的高價(jià)值性，釣魚(yú)攻擊的威脅持續(xù)存在，攻擊者常常利用企業(yè)內(nèi)部權(quán)力關(guān)系和工作流程的社會(huì)工程學(xué)攻擊，讓企業(yè)員工在不經(jīng)意間打開(kāi)這些釣魚(yú)郵件，導(dǎo)致信息泄露或遭受經(jīng)濟(jì)損失。因而企業(yè)更需注重提高員工的安全意識(shí)，通過(guò)定期的安全培訓(xùn)和模擬釣魚(yú)攻擊演練，幫助員工識(shí)別和防范釣魚(yú)郵件。圖92024年Q3TOP100域名發(fā)送&接收釣魚(yú)郵件數(shù)量行業(yè)分布6三、2024年Q3垃圾釣魚(yú)郵件案例（一）垃圾郵件TOP10：教育培訓(xùn)為主攻手段第三季度的垃圾郵件數(shù)據(jù)揭示了當(dāng)前郵件詐騙和垃圾郵件發(fā)送者采用的主要策略。以下為主題排名前十的垃圾郵件，以及其各自的郵件數(shù)量：123456789（二）釣魚(yú)郵件TOP10：郵件系統(tǒng)通知為主流釣魚(yú)郵件常偽裝為郵件系統(tǒng)通知或員工津貼，這增加了賬戶被劫和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。1234567897（三）Q3垃圾釣魚(yú)郵件典型案例樣本圖102024年Q3垃圾釣魚(yú)郵件案例1圖112024年Q3垃圾釣魚(yú)郵件案例2圖122024年Q3垃圾釣魚(yú)郵件案例38圖132024年Q3垃圾釣魚(yú)郵件案例4圖142024年Q3垃圾釣魚(yú)郵件案例5圖152024年Q3垃圾釣魚(yú)郵件案例6圖162024年Q3垃圾釣魚(yú)郵件案例79圖172024年Q3垃圾釣魚(yú)郵件案例8圖182024年Q3垃圾釣魚(yú)郵件案例9圖192024年Q3垃圾釣魚(yú)郵件案例10四、2024年Q3暴力破解宏觀態(tài)勢(shì)（一）暴力破解：攻擊頻次增加，破解成功率卻逆勢(shì)下降根據(jù)AI實(shí)驗(yàn)室監(jiān)測(cè)，2024年第三季度，全國(guó)企業(yè)級(jí)用戶遭受超過(guò)33億次暴力破解，而成功次數(shù)僅474.1萬(wàn)，推測(cè)可能是Q3處于HW、網(wǎng)絡(luò)安全宣傳周中，結(jié)合網(wǎng)絡(luò)安全主管單位做了比較大力度的通報(bào)，推動(dòng)各企業(yè)對(duì)弱口令做了自查和整改，防護(hù)機(jī)制加強(qiáng)、人員安全意識(shí)提升，導(dǎo)致破解成功率有所下滑。圖202023年Q1-2024年Q3全域暴力破解攻擊趨勢(shì)圖212023年Q1-2024年Q3全域暴力破解成功趨勢(shì)隨著網(wǎng)絡(luò)技術(shù)的普及和商業(yè)競(jìng)爭(zhēng)的加劇，郵件暴力破解的頻率在不斷增加。攻擊者越來(lái)越意識(shí)到企業(yè)和個(gè)人郵箱中可能包含的高價(jià)值信息，如商業(yè)機(jī)密、客戶資料、財(cái)務(wù)數(shù)據(jù)等，因此不斷加大攻擊力度。單純的暴力破解攻擊成功率有限，因此攻擊者越來(lái)越多地結(jié)合社會(huì)工程學(xué)手段。例如，先通過(guò)發(fā)送看似合法的釣魚(yú)郵件，誘導(dǎo)用戶點(diǎn)擊鏈接或下載附件，在用戶設(shè)備上植入惡意軟件，獲取用戶的部分登錄信息或降低系統(tǒng)安全防護(hù)能力，再進(jìn)行暴力破解。常見(jiàn)的釣魚(yú)郵件可能偽裝成來(lái)自銀行、知名企業(yè)或政府機(jī)構(gòu)的通知，內(nèi)容極具迷惑性，增加了用戶上當(dāng)?shù)母怕省＃ǘ┙逃袠I(yè)仍是郵件暴力破解主要目標(biāo)據(jù)數(shù)據(jù)顯示，Q3的TOP100域名中，無(wú)論是高危賬號(hào)還是被暴力攻擊次數(shù)均為教育行業(yè)受到的威脅最大，這可能與教育行業(yè)賬號(hào)數(shù)量眾多、密碼安全性較弱等因素有關(guān)。而企業(yè)也是暴力破解的主要對(duì)象，顯示出攻擊者傾向于針對(duì)數(shù)據(jù)價(jià)值高和安全防護(hù)較弱的行尤其是我國(guó)雙一流高校，長(zhǎng)期面臨著嚴(yán)重的郵件威脅，黑產(chǎn)團(tuán)伙妄圖通過(guò)釣魚(yú)郵件、盜號(hào)等手段獲取高校機(jī)密性科研材料，或?qū)熒M(jìn)行錢(qián)財(cái)詐騙。因此，再次建議各大高校教育安全從業(yè)人員，盡快進(jìn)行安全措施推進(jìn)整改，對(duì)賬號(hào)形成標(biāo)準(zhǔn)管理體系，同時(shí)對(duì)師生定期進(jìn)行反釣魚(yú)演練提升反詐騙安全意識(shí)。圖222024年Q3識(shí)別高危賬號(hào)及暴力破解攻擊次數(shù)TOP100域名行業(yè)分布五、中睿天下：釣魚(yú)郵件溯源案例分析（一）“郵件賬戶修復(fù)通知”溯源分析報(bào)告郵件主題為《NOTICETODELETE!Forixxxx@:》，郵件正文中含有釣魚(yú)超鏈接，目的為誘導(dǎo)用戶輸入賬密信息。當(dāng)用戶輸入個(gè)人賬密信息后，會(huì)將其發(fā)送至“https://raxxxxxxx.xx/wx-ixxxxx/xxx.xxp”，并通過(guò)郵件將受害者信息發(fā)送至“hxxxxxxxxx@”。（1）正文分析郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點(diǎn)擊超鏈接，輸入賬密信息。（2）鏈接分析當(dāng)用戶輸入信息并點(diǎn)擊next后，賬密信息會(huì)發(fā)送至“https://rxxxxxxxx.xx/wx-ixxxxx/xxx.xxp”。如下圖所示：對(duì)釣魚(yú)頁(yè)面進(jìn)行滲透測(cè)試，發(fā)現(xiàn)https://raxxxxxxx.xx/file目錄存在目錄遍歷漏洞，在文件中發(fā)現(xiàn)釣魚(yú)頁(yè)面源碼及受害者信息。通過(guò)分析釣魚(yú)頁(yè)面源碼，發(fā)現(xiàn)攻擊者用于接收受害者信息的電子郵箱地址為“hxxxxxxx@”并將受害者信息寫(xiě)入至同目錄下的result.txt文件。附錄1郵件安全人工智能實(shí)驗(yàn)室介紹Coremail郵件安全人工智能實(shí)驗(yàn)室（EmailSecurityAILab依托于Coremail豐富的應(yīng)用場(chǎng)景、海量大數(shù)據(jù)與一流科技人才，專(zhuān)注于將自然語(yǔ)言處理、計(jì)算機(jī)視覺(jué)、大型語(yǔ)言模型等AI智能技術(shù)應(yīng)用于電子郵件安全防護(hù)領(lǐng)域的創(chuàng)新突破。目前郵件安全人工智能實(shí)驗(yàn)室已在反垃圾領(lǐng)域取得可喜成果，形成了反垃圾算法智能優(yōu)化閉環(huán)：基于AI技術(shù)實(shí)現(xiàn)郵件樣本智能收集、識(shí)別、入庫(kù)、反饋、自學(xué)習(xí)訓(xùn)練、最終提升算法模型能力，不斷優(yōu)化中央引擎、保持反垃圾品質(zhì)穩(wěn)步提升。附錄2CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹CACTER郵件安全是由Coremail孵化的獨(dú)立品牌，隸屬于廣東盈世計(jì)算機(jī)科技有限公作為國(guó)內(nèi)郵件領(lǐng)域的頭部企業(yè)，憑借25年的深入研發(fā)和技術(shù)沉淀，CACTER致力于提供一站式郵件安全解決方案。產(chǎn)品涵蓋郵件安全網(wǎng)關(guān)、郵件數(shù)據(jù)防泄露EDLP、安全管理中心SMC2、安全海外中繼、CAC2.0反釣魚(yú)防盜號(hào)、重保服務(wù)、反釣魚(yú)演練等。CACTER的核心技術(shù)依托自研國(guó)產(chǎn)反垃圾引擎和國(guó)內(nèi)頭部企業(yè)級(jí)郵件安全大數(shù)據(jù)中心，擁有多項(xiàng)發(fā)明專(zhuān)利與軟件著作權(quán)，與中國(guó)科學(xué)院成立郵件安全AI實(shí)驗(yàn)室，并與清華大學(xué)、奇安信、網(wǎng)易等國(guó)內(nèi)權(quán)威機(jī)構(gòu)持續(xù)開(kāi)展前沿研究與合作，為客戶提供從建立安全意識(shí)到數(shù)據(jù)保護(hù)的多層次郵件安全防護(hù)，為各領(lǐng)域提供更加安全、高效、自主可控的郵件安全解決方案。客戶涵蓋國(guó)務(wù)院新聞辦公室、國(guó)家科技部、國(guó)家財(cái)政部、中科院、清華大學(xué)、北京大學(xué)、人民銀行、建設(shè)銀行、交通銀行、華潤(rùn)集團(tuán)、南方電網(wǎng)、美的集團(tuán)等。CACTER郵件安全網(wǎng)關(guān)，基于自主研發(fā)的神經(jīng)網(wǎng)絡(luò)平臺(tái)NERVE2.0深度學(xué)習(xí)能力，全面檢測(cè)并攔截各類(lèi)惡意郵件，包括垃圾郵件、釣魚(yú)郵件、病毒郵件及BEC詐騙郵件；反垃圾準(zhǔn)確率高達(dá)99.8%，誤判率低于0.02%。支持Coremail，Exchange，Microsoft365，網(wǎng)易企業(yè)郵箱，安寧，139，Winmail，Eyou，Mdeamon，Postfix，IceWarp等幾乎一切收費(fèi)或開(kāi)源郵件系統(tǒng)。產(chǎn)品優(yōu)勢(shì)1.惡意郵件精準(zhǔn)隔離CACTER郵件安全網(wǎng)關(guān)融合了多項(xiàng)自主研發(fā)的世界領(lǐng)先級(jí)反垃圾郵件技術(shù)，并使用國(guó)內(nèi)外知名反病毒引擎，對(duì)進(jìn)入網(wǎng)關(guān)的郵件進(jìn)行多維分析，確保釣魚(yú)郵件、病毒郵件、垃圾郵件被隔離到網(wǎng)關(guān)，保障郵件系統(tǒng)不受惡意郵件威脅。2.檢測(cè)能力實(shí)時(shí)更新CACTER郵件安全網(wǎng)關(guān)擁有全國(guó)頭部企業(yè)級(jí)郵件安全數(shù)據(jù)中心，基于數(shù)億惡意郵件樣本，通過(guò)部署百萬(wàn)探針郵箱搜集惡意郵件數(shù)據(jù)，實(shí)時(shí)更新郵件檢測(cè)引擎規(guī)則，為客戶提供最新郵件防護(hù)。3.惡意鏈接保護(hù)使用CACTER郵件網(wǎng)關(guān)后，管理員可開(kāi)啟惡意鏈接保護(hù)功能，對(duì)投往郵件系統(tǒng)的每一封郵件的鏈接進(jìn)行保護(hù)。首次過(guò)濾+二次檢測(cè)防護(hù)，事前攔截、事中提醒、事后追溯結(jié)合，為郵件系統(tǒng)的郵件安全保駕護(hù)航。4.加密附件檢測(cè)病毒查殺：Coremail與多家反病毒廠商合作，對(duì)郵件的附件進(jìn)行多重查殺，同時(shí)，病