近日��,Coremail CACTER 郵件安全聯(lián)合北京中睿天下信息技術(shù)有限公司發(fā)布《2024 年第三季度企業(yè)郵箱安全性研究報(bào)告》����。2024 年第三季度企業(yè)郵箱安全呈現(xiàn)出何種態(tài)勢(shì)?作為郵箱管理員�,我們又該如何做好防護(hù)�����?本文摘取了季報(bào)部分?jǐn)?shù)據(jù)進(jìn)行呈現(xiàn)�。
垃圾郵件同比上漲 22.3%
根據(jù) Coremail 郵件安全人工智能實(shí)驗(yàn)室數(shù)據(jù)顯示����,2024 年第三季度國(guó)內(nèi)企業(yè)郵箱用戶共收到 8.53 億封垃圾郵件。Q3 垃圾郵件總量環(huán)比 Q2 有少量下降��,但比去年同期仍上漲 22.3%�,境外垃圾郵件的威脅仍在上升,與此境內(nèi)垃圾郵件比例環(huán)比下降��,這可能意味著國(guó)內(nèi)對(duì)垃圾郵件的打擊力度有所增強(qiáng)��,或者攻擊者策略有所轉(zhuǎn)變�。
第三季度境外攻擊源數(shù)據(jù)顯示�,捷克較第二季度躍居榜首,從第二季度 370 萬封飆升至 1423.6 萬封�����,其次是美國(guó)���、俄羅斯��,成為了垃圾郵件攻擊的主導(dǎo)力量�,對(duì)我國(guó)構(gòu)成了較大的網(wǎng)絡(luò)威脅。
釣魚郵件攻擊同比上漲 102.3%
自 2024 年以來釣魚郵件的數(shù)量不斷攀升�����,第三季度企業(yè)郵箱用戶遭遇的釣魚郵件數(shù)量高達(dá) 1.74 億���,這表明釣魚攻擊愈發(fā)猖獗�����。這種增長(zhǎng)趨勢(shì)反映了黑客對(duì)釣魚攻擊的依賴程度在增加����,可能是因?yàn)槠淠軌蛞韵鄬?duì)較低的成本獲得較高的回報(bào)�,例如獲取企業(yè)敏感信息、用戶賬號(hào)密碼等����。
Q3 作為開學(xué)季,教育行業(yè)接收釣魚郵件數(shù)量高達(dá) 7699 萬���,遠(yuǎn)超其他行業(yè)�,在教育環(huán)境中,師生之間���、學(xué)校與家長(zhǎng)之間存在著高度的信任關(guān)系�����。攻擊者可能利用這種信任�����,例如偽裝成學(xué)校的管理人員發(fā)送關(guān)于學(xué)費(fèi)繳納���、課程安排變更等郵件。教育行業(yè)需要加強(qiáng)郵件安全防護(hù)措施�,包括實(shí)施更嚴(yán)格的郵件過濾和反釣魚技術(shù)。
暴力破解:攻擊頻次增加�,破解成功率卻逆勢(shì)下降
根據(jù) AI 實(shí)驗(yàn)室監(jiān)測(cè)�,2024 年第三季度,全國(guó)企業(yè)級(jí)用戶遭受超過 33 億次暴力破解����,而成功次數(shù)僅 474.1 萬���,推測(cè)可能是Q3 處于 HW、網(wǎng)絡(luò)安全宣傳周中�,結(jié)合網(wǎng)絡(luò)安全主管單位做了比較大力度的通報(bào),推動(dòng)各企業(yè)對(duì)弱口令做了自查和整改��,防護(hù)機(jī)制加強(qiáng)���、人員安全意識(shí)提升��,導(dǎo)致破解成功率有所下滑�。
單純的暴力破解攻擊成功率有限����,因此攻擊者越來越多地結(jié)合社會(huì)工程學(xué)手段。例如�,先通過發(fā)送看似合法的釣魚郵件,誘導(dǎo)用戶點(diǎn)擊鏈接或下載附件����,在用戶設(shè)備上植入惡意軟件,獲取用戶的部分登錄信息或降低系統(tǒng)安全防護(hù)能力���,再進(jìn)行暴力破解���。常見的釣魚郵件可能偽裝成來自銀行�、知名企業(yè)或政府機(jī)構(gòu)的通知�,內(nèi)容極具迷惑性,增加了用戶上當(dāng)?shù)母怕?/strong>����。
釣魚郵件溯源案例分析
" 郵件賬戶修復(fù)通知 " 溯源分析報(bào)告
1、概述
郵件主題為《NOTICE TO DELETE! For ixxxx@xxxxx.com.cn :》����,郵件正文中含有釣魚超鏈接,目的為誘導(dǎo)用戶輸入賬密信息���。當(dāng)用戶輸入個(gè)人賬密信息后�����,會(huì)將其發(fā)送至 "https://raxxxxxxx.xx/wx-ixxxxx/xxx.xxp"�,并通過郵件將受害者信息發(fā)送至 "hxxxxxxxxx@xxxx.com"�。
2、郵件分析
(1)正文分析
郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點(diǎn)擊超鏈接����,輸入賬密信息。
(2)鏈接分析
當(dāng)用戶輸入信息并點(diǎn)擊 next 后�,賬密信息會(huì)發(fā)送至 "https://rxxxxxxxx.xx/wx-ixxxxx/xxx.xxp"。如下圖所示:
3�����、網(wǎng)站分析
對(duì)釣魚頁面進(jìn)行滲透測(cè)試���,發(fā)現(xiàn) https://raxxxxxxx.xx/file 目錄存在目錄遍歷漏洞��,在文件中發(fā)現(xiàn)釣魚頁面源碼及受害者信息����。
通過分析釣魚頁面源碼���,發(fā)現(xiàn)攻擊者用于接收受害者信息的電子郵箱地址為 "hxxxxxxx@xxxxxx.com" 并將受害者信息寫入至同目錄下的 result.txt 文件�����。
