2023中国企业邮箱安全性研究报告
AI智能总结
编写组 组长 林延中裴智勇 主要编写人员 刘川琦 朱腾蛟江嘉杰邱嘉娜 《中国企业邮箱安全性研究报告》由广东盈世科技计算机有限公司与奇安信集团联合为您提供,本联合报告的编撰获得了Coremail邮件安全人工智能实验室、Coremail邮件安全大数据中心以及奇安信行业安全研究中心相关专家的悉心指导和宝贵建议,在此表示感谢。 主要观点 不论是从企业邮箱注册域名数、活跃用户数、还是邮件收发量等方面来看,国内企业级电子邮箱应用市场,都呈现出持续、稳定发展的态势。尽管垃圾邮件、钓鱼邮件的总量也有小幅增长,但带毒邮件数量已经呈现出逐年下降的趋势。这主要得益于邮件安全技术,特别是邮件反病毒技术的持续进步。 邮箱盗号问题仍然十分严重。2023年,全国被盗企业邮箱账户多达1022.2万个,占全年活跃企业邮箱账号总量的5.38%。由被盗企业邮箱账号发出的垃圾邮件多达871.7亿封。特别值得关注的是,邮箱盗号问题已经成为商业机密泄露、商业邮件诈骗等高危安全风险事件频发的重要诱因。同时,由“盗号”+“同域钓鱼”的攻击方式,也已经成为钓鱼邮件攻击的流行手段。 来自全球的邮件安全威胁仍然十分严峻。美国仍然是国内垃圾邮件、钓鱼邮件和带毒邮件最大的海外发送源。同时,自2022年以来,俄罗斯、乌克兰也成为头部的恶意邮件发送源头。这在一定程度上表明,俄乌冲突的持续,也使两国的网络安全形势持续恶化,从而被攻击者钻了空子。 邮件钓鱼已经被普遍应用于网络安全实战攻防演习,是仅次于微信钓鱼的第二大演习社工手法,目标覆盖率达22.6%。特别的,攻击队编写的钓鱼邮件水准通常远超一般黑产团伙:不仅邮件内容逻辑严谨、极具吸引力、极具迷惑性,而且攻击脚本还有可能使用多种免杀对抗技术和多重伪装技术。没有经过有针对性的安全意识培训,普通员工很难识破。 新型邮件攻击技术的应用给邮件安全工作带来了严峻的挑战:基于AI技术的深度邮件伪造,不仅使得跨国邮件攻击更容易,也使攻击样本更加多样化、更具迷惑性;基于恶意二维码、加密压缩包的攻击方式使得邮件中的恶意链接、恶意附件更加难以识别;基于动态IP池的账号爆破方式,也使很多传统的防爆破技术失效。“盗号”+“同域钓鱼”也使得域内通信不再可信。 基于人工智能大模型的新一代邮件安全技术目前已经进入实战阶段,并已初步展现出显著优于传统邮件安全技术的识别能力和分析能力,或将成为未来邮件安全问题“破局”的关键。 摘要 截止2023年底,国内注册的企业邮箱独立域名约为528万个,活跃的国内企业邮箱用户规模约为1.9亿。 2023年,全国企业邮箱用户共收发各类电子邮件约7798.5亿封。其中,正常邮件占比45.8%、普通垃圾邮件40.5%、钓鱼邮件7.4%、带毒邮件5.8%、谣言邮件0.24%,色情、赌博等违法信息推广邮件约0.18%。 从正常邮件的发送量上来看,工业制造类企业全年发送的邮件数量最多,约为全国邮件发送总量的18.6%,排名第一;交通运输占比16.7%,排名第二;其次是媒体占比为15.2%;教育培训、IT信息技术、互联网等也都是邮件发送量较多的行业。 从域名归属来看,国内企业邮箱收到的所有垃圾邮件、钓鱼邮件和带毒邮件,美国都是最大的海外发送源。同时,自2022年以来,俄罗斯、乌克兰也成为头部的恶意邮件发送源头。 2023年下半年,由于某些中文邮件黑产团伙的突然活跃,导致国内企业邮箱收到的钓鱼邮件数量同比大幅增长35.5%。年度最为流行的三种钓鱼邮件类型分别是身份验证/备案(36.1%)、补贴/退税(30.9%)和升级/扩容(17.4%),三者之和占到了所有钓鱼邮件总量的84.4%。 2023年,国内电子邮箱账号被盗规模高达1022.2万个,占全年活跃邮箱账号总量的5.38%;暴力破解是邮箱盗号最主要的手段,占到2023年邮箱异常登录行为检出总量的53.1%;由被盗号的电子邮箱发出的垃圾邮件,占到国内企业邮箱收到的所有垃圾邮件总量的27.6%。 从攻击技术与攻击方式来看,邮件安全问题呈现出以下几点主要趋势:AI技术已被广泛用于恶意邮件的深度伪造;动态IP池已被广泛应用于邮箱爆破;邮箱盗号加同域钓鱼成流行攻击组合;带logo的恶意二维码、加密压缩的带毒附件均已成为逃脱安全检查首先攻击方式。 邮件钓鱼被普遍应用于实战攻防演习,是演习过程中仅次于微信钓鱼的第二大社工渠道。想要更好的应对网络安全实战攻防演习,应当做好邮件安全意识教育工作。 关键词:企业邮箱、垃圾邮件、钓鱼邮件、带毒邮件、加密压缩、同域钓鱼、动态IP、暴力破解、账号安全 目录 研究背景1 第一章电子邮箱应用形势2 一、电子邮箱的使用规模2 二、电子邮箱用户行业分布3 三、电子邮件的地域分布5 第二章垃圾邮件形势分析6 一、垃圾邮件的规模6 二、垃圾邮件发送源6 三、垃圾邮件受害者7 第三章钓鱼邮件形势分析9 一、钓鱼邮件的规模9 二、钓鱼邮件发送源9 三、钓鱼邮件受害者11 四、钓鱼邮件的类型11 第四章带毒邮件形势分析22 一、带毒邮件的规模22 二、带毒邮件发送源22 三、带毒邮件受害者23 四、带毒邮件的类型24 第五章电子邮箱账号安全25 一、邮箱盗号的规模25 二、暴力破解的形势25 三、邮箱盗号的影响26 第六章邮件攻击典型案例27 一、仿冒国家部委发布虚假劳动补贴邮件27 二、冒充合作伙伴伪造发票商务邮件诈骗29 三、动态IP池爆破员工邮箱钓鱼重要客户30 四、某金融企业遭遇撒网式钓鱼邮件攻击32 五、钓鱼邮件通知入群触发的群聊剧本杀34 六、攻击队冒充HR给发送的加密带毒邮件35 第七章邮件风险趋势分析39 一、AI用于邮件深伪使跨国攻击更难识别39 二、动态IP池使邮箱爆破产业链更加完善40 三、邮箱盗号加同域钓鱼成流行攻击组合42 四、加标二维码成欺诈邮件攻击流行招式42 五、加密压缩成带毒邮件反查杀首选方式43 六、邮件钓鱼被普遍应用于实战攻防演习43 附件1CACTER邮件安全网关产品介绍45 附录2CAC2.0防暴卫士产品简介49 附件3奇安信网神邮件威胁检测系统52 附录4奇安信观星实验室55 研究背景 在中国当前网络空间形势下,社交网络日益发达,电子邮件发展至今已有几十年历史,但仍是最重要的现代互联网应用之一。从个人生活到工作场景的使用,邮件都在现阶段人们的生活中扮演着不可或缺的角色。近年来中国企业信息化办公程度逐年升高,更是大大促进了企业邮箱的使用,同时也使企业邮箱系统成为黑客入侵机构内部网络的首选入口。 针对邮件系统在使用时存在的问题,奇安信行业安全研究中心联合Coremail邮件安全人工智能实验室、CACTER邮件安全研究团队,自2016年起合作编撰《中国企业邮箱安全性研究报告》,截至今年已连续发布九年。报告数据主要来自Coremail与奇安信集团联合监测,报告内容以电子邮箱的使用、垃圾邮件、钓鱼邮件、带毒邮件为主体,从规模、发送源、受害者及典型案例等方面分析中国企业邮箱安全性。 本报告结合了Coremail、CACTER邮件安全与奇安信集团多年在企业邮箱领域的丰富实践经验及研究经验,相关研究成果具有很强的代表性。希望此份报告能够对各个行业、单位,开展以邮件防护为基础,增强完善整体网络安全建设,提供一定参考。 第一章电子邮箱应用形势 一、电子邮箱的使用规模 根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测,同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估,截止2023 年底,国内注册的企业邮箱独立域名约为528万个,相比2022年的537万个减少了1.7%。活跃的国内企业邮箱用户规模约为1.9亿,与2023年用户规模相比增长约5.6%。2017年至2023年国内企业级电子邮箱独立域名与活跃用户规模变化趋势如下图所示: 从电子邮箱的使用情况来看,2023年,全国企业级邮箱用户共收发各类电子邮件约 7798.5亿封,相比2022年增长了1.8%。平均每天收发电子邮件约21.4亿封。 其中,正常邮件占比约为45.8%,普通垃圾邮件占比为40.5%、钓鱼邮件7.4%、带毒 邮件5.8%、谣言邮件0.24%,色情、赌博等违法信息推广邮件约0.18%。与2022年相 比:钓鱼邮件占比增长了1.3个百分点;病毒邮件、谣言类邮件、色情赌博类邮件的占比均有明显下降;正常邮件和普通垃圾邮件的占比变化不大。 仅就正常邮件而言,统计显示,全国企业邮箱用户在2023年共收发正常电子邮件约 3571.7亿封,比2022年增长2.7%,平均每天发送正常电子邮件约9.8亿封,人均每天发送 电子邮件约5.2封。 不同于个人邮箱,企业邮箱的主要用途是办公。因此,同一机构内部邮件互发往往会比较频繁。抽样统计显示,2023年企业用户发送的电子邮件中,约34.6%为机构内部邮件,22.7%为外部邮件,42.7%为内外通发邮件(收件人既有机构内部,也有机构外部)。 二、电子邮箱用户行业分布 对中国政企机构独立邮箱域名的抽样分析显示,从域名注册量来看,工业制造类企业注册的邮箱域名最多,占比为30.6%,其次是交通运输行业占比11.4%,外资机构占比8.5%;还有互联网企业占比7.7%,IT信息技术占比7.3%,金融行业占比6.0%等,这些都属于电子邮箱使用独立域名较多的行业。 如果从正常邮件的发送量上来看,工业制造和交通运输行业发送的邮件数量最多。工业制造类企业全年发送的邮件数量,约为全国邮件发送总量的18.6%,排名第一;交通运输占比16.7%,排名第二;其次是媒体占比为15.2%;教育培训、IT信息技术、互联网等也都是邮件发送量较多的行业。具体占比如下图所示: 对比独立邮箱域名注册量和邮件发送量,可以看出,就单个政企机构而言,媒体、教育培训与医疗卫生等行业对邮件办公的依赖度最高。 特别的,本次报告对.edu(教育)、.org(组织机构)和.gov(政府)三个域名的邮箱使用情况进行了分析。其中,.edu.cn邮箱域名在全国占比为0.10%,.org.cn的邮箱域名占比约为0.09%,.gov.cn邮箱域名占比为0.05%。而从正常邮件发送量上来看,.edu.cn邮箱占2.84%,.gov.cn邮箱占0.77%,.org.cn邮箱占0.19%。 三、电子邮件的地域分布 统计显示,2023年全国企业邮箱用户收发的邮件以境内收发为主。国内收发占74.9%;海外收发25.1%。 从服务器的所在地来看,2023年,国内企业邮箱服务器设在北京的数量排名第一,占比为18.7%;上海排第二,占比为16.7%;杭州排名第三,占比8.8%。 第二章垃圾邮件形势分析 第三章垃圾邮件的规模 根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估,2023年,全国企业邮箱用户共收到各类普通垃圾邮件3158.4亿封,约占企业级用户邮件收发总量的40.5%,是企业级用户正常邮件数量的88.4%。从最近三年的情况来看,普通垃圾邮件的收发量增速略低于正常邮件的收发量增速,其他恶意邮件的收发量持续下降。具体分布如下图所示: 一、垃圾邮件发送源 从发送者邮箱域名归属情况来看,2023年,全国企业邮箱收到的垃圾邮件中,来自国内的垃圾邮件最多,占总数的38.6%,来自美国的垃圾邮件次之,占总量约20.4%,第三是俄罗斯,约占7.2%。下表给出了按照垃圾邮件数量统计的,历年垃圾邮件发送源国别归属排行Top5。值得关注的是:从2022年开始,乌克兰和英国,超过了越南和印度,跻身垃圾邮件发送源的Top5。而随着战争的持续,来自俄乌两国的垃圾邮件占比持续提升。这也在某种程度上说明,两国正在遭到越来越多的网络安全威胁。 表1历年垃圾邮件发送源国别归属排行Top5(按照垃圾邮件数量统计) 2021年 2022年 2023年 排名 国家 占比 国家 占比 国家 占比 1 中国 47.8% 中国 41.9% 中国 38.
