近日����,Coremail CACTER 郵件安全聯(lián)合北京中睿天下信息技術(shù)有限公司發(fā)布《2024 年第三季度企業(yè)郵箱安全性研究報(bào)告》��。2024 年第三季度企業(yè)郵箱安全呈現(xiàn)出何種態(tài)勢(shì)��?作為郵箱管理員�,我們又該如何做好防護(hù)?本文摘取了季報(bào)部分?jǐn)?shù)據(jù)進(jìn)行呈現(xiàn)����。
垃圾郵件同比上漲 22.3%
根據(jù) Coremail 郵件安全人工智能實(shí)驗(yàn)室數(shù)據(jù)顯示,2024 年第三季度國內(nèi)企業(yè)郵箱用戶共收到 8.53 億封垃圾郵件�����。Q3 垃圾郵件總量環(huán)比 Q2 有少量下降,但比去年同期仍上漲 22.3%��,境外垃圾郵件的威脅仍在上升���,與此境內(nèi)垃圾郵件比例環(huán)比下降�����,這可能意味著國內(nèi)對(duì)垃圾郵件的打擊力度有所增強(qiáng)����,或者攻擊者策略有所轉(zhuǎn)變�����。
第三季度境外攻擊源數(shù)據(jù)顯示��,捷克較第二季度躍居榜首�,從第二季度 370 萬封飆升至 1423.6 萬封����,其次是美國�����、俄羅斯�����,成為了垃圾郵件攻擊的主導(dǎo)力量����,對(duì)我國構(gòu)成了較大的網(wǎng)絡(luò)威脅��。
釣魚郵件攻擊同比上漲 102.3%
自 2024 年以來釣魚郵件的數(shù)量不斷攀升��,第三季度企業(yè)郵箱用戶遭遇的釣魚郵件數(shù)量高達(dá) 1.74 億�����,這表明釣魚攻擊愈發(fā)猖獗�����。這種增長趨勢(shì)反映了黑客對(duì)釣魚攻擊的依賴程度在增加�����,可能是因?yàn)槠淠軌蛞韵鄬?duì)較低的成本獲得較高的回報(bào),例如獲取企業(yè)敏感信息�����、用戶賬號(hào)密碼等��。
Q3 作為開學(xué)季�����,教育行業(yè)接收釣魚郵件數(shù)量高達(dá) 7699 萬�,遠(yuǎn)超其他行業(yè),在教育環(huán)境中�����,師生之間��、學(xué)校與家長之間存在著高度的信任關(guān)系���。攻擊者可能利用這種信任,例如偽裝成學(xué)校的管理人員發(fā)送關(guān)于學(xué)費(fèi)繳納�、課程安排變更等郵件。教育行業(yè)需要加強(qiáng)郵件安全防護(hù)措施,包括實(shí)施更嚴(yán)格的郵件過濾和反釣魚技術(shù)�����。
暴力破解:攻擊頻次增加����,破解成功率卻逆勢(shì)下降
根據(jù) AI 實(shí)驗(yàn)室監(jiān)測,2024 年第三季度���,全國企業(yè)級(jí)用戶遭受超過 33 億次暴力破解����,而成功次數(shù)僅 474.1 萬�,推測可能是Q3 處于 HW、網(wǎng)絡(luò)安全宣傳周中��,結(jié)合網(wǎng)絡(luò)安全主管單位做了比較大力度的通報(bào)��,推動(dòng)各企業(yè)對(duì)弱口令做了自查和整改�����,防護(hù)機(jī)制加強(qiáng)�、人員安全意識(shí)提升�,導(dǎo)致破解成功率有所下滑�����。
單純的暴力破解攻擊成功率有限�����,因此攻擊者越來越多地結(jié)合社會(huì)工程學(xué)手段��。例如��,先通過發(fā)送看似合法的釣魚郵件���,誘導(dǎo)用戶點(diǎn)擊鏈接或下載附件��,在用戶設(shè)備上植入惡意軟件����,獲取用戶的部分登錄信息或降低系統(tǒng)安全防護(hù)能力���,再進(jìn)行暴力破解�。常見的釣魚郵件可能偽裝成來自銀行��、知名企業(yè)或政府機(jī)構(gòu)的通知�����,內(nèi)容極具迷惑性���,增加了用戶上當(dāng)?shù)母怕?/strong>����。
釣魚郵件溯源案例分析
" 郵件賬戶修復(fù)通知 " 溯源分析報(bào)告
1����、概述
郵件主題為《NOTICE TO DELETE! For ixxxx@xxxxx.com.cn :》,郵件正文中含有釣魚超鏈接����,目的為誘導(dǎo)用戶輸入賬密信息。當(dāng)用戶輸入個(gè)人賬密信息后���,會(huì)將其發(fā)送至 "https://raxxxxxxx.xx/wx-ixxxxx/xxx.xxp"���,并通過郵件將受害者信息發(fā)送至 "hxxxxxxxxx@xxxx.com"。
2�、郵件分析
(1)正文分析
郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點(diǎn)擊超鏈接���,輸入賬密信息。
(2)鏈接分析
當(dāng)用戶輸入信息并點(diǎn)擊 next 后��,賬密信息會(huì)發(fā)送至 "https://rxxxxxxxx.xx/wx-ixxxxx/xxx.xxp"����。如下圖所示:
3、網(wǎng)站分析
對(duì)釣魚頁面進(jìn)行滲透測試���,發(fā)現(xiàn) https://raxxxxxxx.xx/file 目錄存在目錄遍歷漏洞�����,在文件中發(fā)現(xiàn)釣魚頁面源碼及受害者信息��。
通過分析釣魚頁面源碼��,發(fā)現(xiàn)攻擊者用于接收受害者信息的電子郵箱地址為 "hxxxxxxx@xxxxxx.com" 并將受害者信息寫入至同目錄下的 result.txt 文件���。
