近日，Coremail CACTER 郵件安全聯(lián)合北京中睿天下信息技術(shù)有限公司發(fā)布《2024 年第三季度企業(yè)郵箱安全性研究報告》。2024 年第三季度企業(yè)郵箱安全呈現(xiàn)出何種態(tài)勢？作為郵箱管理員，我們又該如何做好防護？本文摘取了季報部分數(shù)據(jù)進行呈現(xiàn)。

垃圾郵件同比上漲 22.3%

根據(jù) Coremail 郵件安全人工智能實驗室數(shù)據(jù)顯示，2024 年第三季度國內(nèi)企業(yè)郵箱用戶共收到 8.53 億封垃圾郵件。Q3 垃圾郵件總量環(huán)比 Q2 有少量下降，但比去年同期仍上漲 22.3%，境外垃圾郵件的威脅仍在上升，與此境內(nèi)垃圾郵件比例環(huán)比下降，這可能意味著國內(nèi)對垃圾郵件的打擊力度有所增強，或者攻擊者策略有所轉(zhuǎn)變。

第三季度境外攻擊源數(shù)據(jù)顯示，捷克較第二季度躍居榜首，從第二季度 370 萬封飆升至 1423.6 萬封，其次是美國、俄羅斯，成為了垃圾郵件攻擊的主導力量，對我國構(gòu)成了較大的網(wǎng)絡(luò)威脅。

釣魚郵件攻擊同比上漲 102.3%

自 2024 年以來釣魚郵件的數(shù)量不斷攀升，第三季度企業(yè)郵箱用戶遭遇的釣魚郵件數(shù)量高達 1.74 億，這表明釣魚攻擊愈發(fā)猖獗。這種增長趨勢反映了黑客對釣魚攻擊的依賴程度在增加，可能是因為其能夠以相對較低的成本獲得較高的回報，例如獲取企業(yè)敏感信息、用戶賬號密碼等。

Q3 作為開學季，教育行業(yè)接收釣魚郵件數(shù)量高達 7699 萬，遠超其他行業(yè)，在教育環(huán)境中，師生之間、學校與家長之間存在著高度的信任關(guān)系。攻擊者可能利用這種信任，例如偽裝成學校的管理人員發(fā)送關(guān)于學費繳納、課程安排變更等郵件。教育行業(yè)需要加強郵件安全防護措施，包括實施更嚴格的郵件過濾和反釣魚技術(shù)。

暴力破解：攻擊頻次增加，破解成功率卻逆勢下降

根據(jù) AI 實驗室監(jiān)測，2024 年第三季度，全國企業(yè)級用戶遭受超過 33 億次暴力破解，而成功次數(shù)僅 474.1 萬，推測可能是Q3 處于 HW、網(wǎng)絡(luò)安全宣傳周中，結(jié)合網(wǎng)絡(luò)安全主管單位做了比較大力度的通報，推動各企業(yè)對弱口令做了自查和整改，防護機制加強、人員安全意識提升，導致破解成功率有所下滑。

單純的暴力破解攻擊成功率有限，因此攻擊者越來越多地結(jié)合社會工程學手段。例如，先通過發(fā)送看似合法的釣魚郵件，誘導用戶點擊鏈接或下載附件，在用戶設(shè)備上植入惡意軟件，獲取用戶的部分登錄信息或降低系統(tǒng)安全防護能力，再進行暴力破解。常見的釣魚郵件可能偽裝成來自銀行、知名企業(yè)或政府機構(gòu)的通知，內(nèi)容極具迷惑性，增加了用戶上當?shù)母怕?/strong>。

釣魚郵件溯源案例分析

" 郵件賬戶修復通知 " 溯源分析報告

1、概述

郵件主題為《NOTICE   TO   DELETE!   For   ixxxx@xxxxx.com.cn   :》，郵件正文中含有釣魚超鏈接，目的為誘導用戶輸入賬密信息。當用戶輸入個人賬密信息后，會將其發(fā)送至 "https://raxxxxxxx.xx/wx-ixxxxx/xxx.xxp"，并通過郵件將受害者信息發(fā)送至 "hxxxxxxxxx@xxxx.com"。

2、郵件分析

（1）正文分析

郵件正文中的內(nèi)容主要是誘導收件人點擊超鏈接，輸入賬密信息。

（2）鏈接分析

當用戶輸入信息并點擊 next 后，賬密信息會發(fā)送至 "https://rxxxxxxxx.xx/wx-ixxxxx/xxx.xxp"。如下圖所示：

3、網(wǎng)站分析

對釣魚頁面進行滲透測試，發(fā)現(xiàn) https://raxxxxxxx.xx/file 目錄存在目錄遍歷漏洞，在文件中發(fā)現(xiàn)釣魚頁面源碼及受害者信息。

通過分析釣魚頁面源碼，發(fā)現(xiàn)攻擊者用于接收受害者信息的電子郵箱地址為 "hxxxxxxx@xxxxxx.com" 并將受害者信息寫入至同目錄下的 result.txt 文件。