Corail&CACTER邮件安全&中睿天下:2024年Q2企业邮箱安全报告
AI智能总结
la 2024年第二季度企业邮箱安全性研究报告 一、2024年Q2垃圾邮件概况分析1 (一)国内企业邮箱垃圾邮件增长态势明显,境外源大比重加剧挑战1 (二)境外垃圾邮件攻击激增:美国及欧洲国家成主要威胁源2 (三)TOP100垃圾邮件分析:教育行业为主要攻击目标3 二、2024年Q2钓鱼邮件攻击动态3 (一)境外钓鱼邮件激增与隐蔽的境内攻击源3 (二)国际邮件安全环境复杂严峻,北京为国内主要风险源4 (三)TOP100钓鱼攻击分析:教育与企业为攻击热点5 三、2024年Q2垃圾钓鱼邮件案例7 (一)垃圾邮件TOP10:教育培训为主攻手段7 (二)钓鱼邮件TOP10:官方伪装通知依然是主流7 (三)Q2垃圾钓鱼邮件典型案例样本8 四、2024年Q2暴力破解宏观态势11 (一)暴力破解虽减,防护意识需持续强化11 (二)暴力破解风暴眼:企业与教育行业成主战场12 五、钓鱼邮件溯源案例分析13 (一)“高温季节福利”溯源分析报告13 (二)“密码到期”溯源分析报告14 附录1邮件安全人工智能实验室介绍17 附录2CACTER邮件安全网关产品介绍18 组长 林延中 主要编写人员 刘磊江嘉杰伍伟彬黄楚斯 《2024年第二季度企业邮箱安全报告》是由广东盈世计算机科技有限公司与北京中睿天下信息技术有限公司携手呈现。我们特别感谢Coremail邮件安全人工智能实验室和中睿天下邮件安全响应中心的专家们,他们对本报告的编写提供了专业的指导和宝贵的建议。 Coremail邮件安全人工智能实验室(EmailSecurityAILab,简称“AI实验室”)是在Coremail的广泛应用场景、丰富大数据资源和顶尖科技人才的支持下成立的。AI实验室致力于在电子邮件安全防护领域实现AI技术的创新应用,包括自然语言处理、计算机视觉和大语言模型等前沿技术。通过这些技术,我们旨在提升电子邮件的安全性,为企业提供更加可靠的保障。 一、2024年Q2垃圾邮件概况分析 (一)国内企业邮箱垃圾邮件增长态势明显,境外源大比重加剧挑战 根据Coremail邮件安全人工智能实验室数据显示,2024年第二季度,国内企业邮箱用户共收到9.1亿封垃圾邮件,总量无论是环比(上升24.9%)还是同比(上升40.6%),呈大幅度增长态势,其中接近70%的垃圾邮件来自境外,进一步加剧了防护的难度与复杂性。 图12023Q2-2024Q2境内外垃圾邮件攻击趋势 图22024年Q2企业邮箱邮件类型分布 在2024年第二季度企业邮箱用户收到的邮件构成中,正常邮件以46.78%的占比(共 计7.99亿封)主导了邮件流量,然而,不容忽视的是,垃圾邮件的侵扰依然严重,其数量高达7.62亿封,占据了总邮件量的44.59%。各单位组织仍需要继续加强对垃圾邮件、钓鱼邮件和诈骗邮件的防范措施。 (二)境外垃圾邮件攻击激增:美国及欧洲国家成主要威胁源 在2024年第二季度中,美国依旧是境外垃圾邮件的主要来源国,其次是乌克兰与马来西亚,为新的垃圾邮件攻击源,可能是境外垃圾邮件发送者,改变了攻击策略,选择了不同的邮件发送源或发件人地址,我们仍需加快提升国内网络防护能力。 图32024年第二季度全球垃圾邮件攻击源TOP10国家 在国内范围内,垃圾邮件攻击也几乎无处不在,尤其在经济繁荣的区域更为突出。具体来说,北京市(约2448.3万封)、上海市(约1103.3万封)、浙江省(约887.8万封)和广东省(855.5万封),属于人口密集区和经济中心,信息技术基础设施方面较为发达,为大规模的垃圾邮件攻击提供了便利条件。 图42024年Q2国内十大垃圾邮件攻击源头省份 (三)TOP100垃圾邮件分析:教育行业为主要攻击目标 经AI实验室分析TOP100发送&接收垃圾邮件的域名,不难发现,教育行业仍然是垃圾邮件的主要攻击目标,接收量达3.32亿封。邮件是教育科研项目、教学数据、师生信息等敏感信息的承载体,教育行业的邮件安全更加不容忽视。 图52024年Q2TOP100域名发送&接收垃圾邮件数量行业分布 面对教育领域持续增长的垃圾邮件困扰,提出以下建议给各位邮件系统管理员: 1.设置有效的邮件过滤和防护机制:学校和教育机构应使用针对垃圾邮件的有效过滤和防护技术,如使用邮件安全网关,及时拦截和清除垃圾邮件,减少对教育行业的干扰和危害。 2.开展反钓鱼培训:提高师生的网络安全防范意识,通过定期的模拟练习,教会他们如 何识别并防御垃圾邮件和诈骗链接。 3.强化信息与账号防护:普及并推广个人信息加密及强密码使用的重要性,防止信息泄露成为钓鱼邮件攻击的跳板。 4.推动高校安全合作:鼓励高等学府间的威胁情报共享,及时交流最新的邮件安全策略 和防御技巧,共同提高校园网络的安全防护水平。 二、2024年Q2钓鱼邮件攻击动态 (一)境外钓鱼邮件激增与隐蔽的境内攻击源 在频发的网络安全攻击事件中,钓鱼攻击往往是黑客们的首选。2024年以来,钓鱼邮 件数量持续增长,第二季度企业邮箱用户收到的钓鱼邮件数量达1.43亿,威胁态势依旧严峻,其中境外发送源达56.23%,然而据AI实验室此前分析,虽然发件来源是境外,但钓鱼邮件中的文本、行文规范均符合国内的中文使用习惯,且钓鱼网站也都以仿冒境内网站为主,由此说明部分攻击的真实来源应是境内,只不过攻击者使用了境外服务器做为跳板,最终导致钓鱼邮件的境外来源数量远高于境内。 图62023Q2-2024Q2境内外钓鱼邮件攻击趋势 (二)国际邮件安全环境复杂严峻,北京为国内主要风险源 近年来,随着互联网的快速扩张与全球化进程的加速,邮件安全议题日益凸显其重要性。我国正面临境外钓鱼攻击的不断攀升,数据揭示美国作为钓鱼邮件的主要发源地,其攻击比例较俄罗斯高�显著的60.7%。 图72024Q2境外钓鱼邮件攻击来源Top10国家 从国内的钓鱼邮件攻击态势来看,第二季度国内各地的钓鱼邮件攻击均有上升的趋势,其中北京为钓鱼邮件的主要来源,发�钓鱼邮件攻击次数达到286.5万次。此外香港跃居前三,成为了活跃来源,让黑客团体更易进行网络钓鱼活动。 图82024Q2国内钓鱼邮件攻击来源Top10省份 (三)TOP100钓鱼攻击分析:教育与企业为攻击热点 如图,通过Q2钓鱼邮件发送&接收源TOP100域名行业分析,国内钓鱼邮件受害者所在行业比较集中,收到的钓鱼邮件数量排名TOP100域名的行业中,教育排名第一,约占钓鱼邮件总数的60%(3914.1万封);企业排名第二,约占26%(1713.4万封);排名第三的行业为IT互联网,占5%(329.1封)。 图92024Q2TOP100域名发送&接收钓鱼邮件数量行业分布 大规模邮件通讯所涉及的大量高价值信息和账号资产,以及员工和用户端安全意识和培训水平参差不齐的现状,导致企业和教育类机构成为网络攻击的重要目标。攻击者可以运用社会工程学手段,通过伪装成相关角色(例如老师、合作伙伴、客户或上级主管)的身份,针对性地向特定用户发送钓鱼邮件,从而提高攻击的成功率。 三、2024年Q2垃圾钓鱼邮件案例 (一)垃圾邮件TOP10:教育培训为主攻手段 2024年Q2热门垃圾邮件主题榜TOP10 序号 垃圾邮件主题 邮件数(封) 1 【火热招生中】2024年人力资源管理师 2562.3万 2 re:我是陈*飞,为企业提供礼品采购的企业 1080.5万 3 re:鼓励客户比价的企业礼品采购服务! 1076.9万 4 2024年最全课程汇总(增:线上证书课,包括中级经济师,HRBP证书……) 1014.9万 5 大客户开发与维护策略技巧 588.7万 6 成交的秘密——高业绩顾问式销售技巧 539.6万 7 中层经理管理能力提升 419.9万 8 为了您自身的安全,我强烈建议您阅读这封电子邮件。 367.2万 9 【火热招生中】2024年中级经济师(人力资源) 346.2万 10 SalesNotification 315.9万 第二季度的垃圾邮件数据揭示了当前邮件诈骗和垃圾邮件发送者采用的主要策略。以下为主题排名前十的垃圾邮件,以及其各自的邮件数量: (二)钓鱼邮件TOP10:官方伪装通知依然是主流 钓鱼邮件常伪装为系统通知或发票诈骗,这增加了账户被劫和数据泄露的风险。 2024年Q2热门钓鱼邮件主题榜TOP10 序号 钓鱼邮件主题 邮件数(封) 1 关于邮件系统的通知 393.4万 2 为了您自身的安全,我强烈建议您阅读这封电子邮件。 151.7万 3 お支払い金額のお知らせ 103.1万 4 【电子发票】您收到一张新的电子发票[发票号码:980750**] 92.2万 5 邮件管理系统 91.6万 6 邮件管理系统通知 87.5万 7 ご利用明細更新のお知らせ 81.6万 8 《薪酬津贴登记发放须知》 81.4万 9 待办申报表 80.2万 10 校内邮件管理 79.2万 (三)Q2垃圾钓鱼邮件典型案例样本 1、补贴诈骗通知类持续威胁 图102024Q2垃圾钓鱼邮件案例1 图112024Q2垃圾钓鱼邮件案例2 图122024Q2垃圾钓鱼邮件案例3 2、各类冒充电子发票、诱导下载恶意软件 图132024Q2垃圾钓鱼邮件案例4 3、冒充律师函、税务检查等 图142024Q2垃圾钓鱼邮件案例5 4、冒充订单或询盘信息 图152024Q2垃圾钓鱼邮件案例6 图162024Q2垃圾钓鱼邮件案例7 5、系统账号密码登录类钓鱼 图172024Q2垃圾钓鱼邮件案例8 6、比特币勒索诈骗邮件 图182024Q2垃圾钓鱼邮件案例9 四、2024年Q2暴力破解宏观态势 (一)暴力破解虽减,防护意识需持续强化 在邮箱系统面临的盗号挑战中,暴力破解作为一种普遍且难以轻易忽视的攻击手段,其持续存在主要归因于两大核心要素。首先,使用单因素认证(密码)的身份校验方式,为攻击者打开了潜在的入侵门户,使他们看到了通过尝试多种密码组合来窃取账户访问权限的可能性。其次是部分用户习惯性使用弱密码,无意中降低了攻击者的破解难度及攻击成本。 图192022年Q4-2024年Q2全域暴力破解攻击趋势 根据AI实验室监测,2024年第二季度,全国企业级用户遭受超过21.4亿次暴力破解,相比于Q1的39.1亿次暴力破解,环比降幅约为45%,无差别的暴力破解攻击大幅下降。但数据显示暴力破解攻击成功次数正在回升,推测可能是攻击者优化口令字典规则,其次加大了撞库攻击比例,导致破解成功率提高,因此管理员仍需保持警惕并采取必要的防护措施。 图202022年Q4-2024年Q2全域暴力破解成功趋势 (二)暴力破解风暴眼:企业与教育行业成主战场 在24年第二季度,全国的企业用户遭遇了高达21.4亿次的暴力破解攻击,其中成功 的破解次数达到912.7万次。数据显示,高危账号和被攻击域名主要集中在教育行业和企业,面临的安全威胁尤为严重。 从用户体量上看,教育行业和企业账号数确实明显高于其他行业,在外暴露的攻击面广。对非活跃账号较难把控,如教育行业,许多大学的教职员工和学生使用的是初始设置的密码,加之大量学生邮箱长期不活跃,这使得邮箱账号非常容易被盗用且难以及时发现。而在企业,由于存储有大量的商业秘密、客户资料以及财务数据,暴力破解攻击变得尤为频繁。一旦攻击者成功获取账号,他们会从广撒网式的攻击转变为更为专业、针对性的攻击,如利用这些账号广泛发送垃圾邮件或发起特定的钓鱼行动。 图212024年Q2识别高危账号及暴力破解攻击次数TOP100域名行业分布 面对日益专业化的邮件威胁,教育单位和各大企事业单位应从邮件系统和安全教育等层面展开防范,强化安全教育,推广双重验证的使用。在邮件服务层面,可以增设邮件安全网关增强对假冒邮件的拦截,并确保启用双因素验证及特定的客户端密码以预防账户遭受侵害;对于用户的安全教育,可进行钓鱼邮件模拟训练,提升用户的防范意识。 五、钓鱼邮件溯源案例分析 (一)“高温季节福利”溯源分析报告 1、概述 邮件主题为《高温季节福利优化方案及实施通
