近日,Coremail CACTER 郵件安全聯(lián)合北京中睿天下信息技術(shù)有限公司發(fā)布《2024 年第三季度企業(yè)郵箱安全性研究報(bào)告》。2024 年第三季度企業(yè)郵箱安全呈現(xiàn)出何種態(tài)勢?作為郵箱管理員,我們又該如何做好防護(hù)?本文摘取了季報(bào)部分?jǐn)?shù)據(jù)進(jìn)行呈現(xiàn)。
垃圾郵件同比上漲 22.3%
根據(jù) Coremail 郵件安全人工智能實(shí)驗(yàn)室數(shù)據(jù)顯示,2024 年第三季度國內(nèi)企業(yè)郵箱用戶共收到 8.53 億封垃圾郵件。Q3 垃圾郵件總量環(huán)比 Q2 有少量下降,但比去年同期仍上漲 22.3%,境外垃圾郵件的威脅仍在上升,與此境內(nèi)垃圾郵件比例環(huán)比下降,這可能意味著國內(nèi)對垃圾郵件的打擊力度有所增強(qiáng),或者攻擊者策略有所轉(zhuǎn)變。
第三季度境外攻擊源數(shù)據(jù)顯示,捷克較第二季度躍居榜首,從第二季度 370 萬封飆升至 1423.6 萬封,其次是美國、俄羅斯,成為了垃圾郵件攻擊的主導(dǎo)力量,對我國構(gòu)成了較大的網(wǎng)絡(luò)威脅。
釣魚郵件攻擊同比上漲 102.3%
自 2024 年以來釣魚郵件的數(shù)量不斷攀升,第三季度企業(yè)郵箱用戶遭遇的釣魚郵件數(shù)量高達(dá) 1.74 億,這表明釣魚攻擊愈發(fā)猖獗。這種增長趨勢反映了黑客對釣魚攻擊的依賴程度在增加,可能是因?yàn)槠淠軌蛞韵鄬^低的成本獲得較高的回報(bào),例如獲取企業(yè)敏感信息、用戶賬號密碼等。
Q3 作為開學(xué)季,教育行業(yè)接收釣魚郵件數(shù)量高達(dá) 7699 萬,遠(yuǎn)超其他行業(yè),在教育環(huán)境中,師生之間、學(xué)校與家長之間存在著高度的信任關(guān)系。攻擊者可能利用這種信任,例如偽裝成學(xué)校的管理人員發(fā)送關(guān)于學(xué)費(fèi)繳納、課程安排變更等郵件。教育行業(yè)需要加強(qiáng)郵件安全防護(hù)措施,包括實(shí)施更嚴(yán)格的郵件過濾和反釣魚技術(shù)。
暴力破解:攻擊頻次增加,破解成功率卻逆勢下降
根據(jù) AI 實(shí)驗(yàn)室監(jiān)測,2024 年第三季度,全國企業(yè)級用戶遭受超過 33 億次暴力破解,而成功次數(shù)僅 474.1 萬,推測可能是Q3 處于 HW、網(wǎng)絡(luò)安全宣傳周中,結(jié)合網(wǎng)絡(luò)安全主管單位做了比較大力度的通報(bào),推動(dòng)各企業(yè)對弱口令做了自查和整改,防護(hù)機(jī)制加強(qiáng)、人員安全意識提升,導(dǎo)致破解成功率有所下滑。
單純的暴力破解攻擊成功率有限,因此攻擊者越來越多地結(jié)合社會(huì)工程學(xué)手段。例如,先通過發(fā)送看似合法的釣魚郵件,誘導(dǎo)用戶點(diǎn)擊鏈接或下載附件,在用戶設(shè)備上植入惡意軟件,獲取用戶的部分登錄信息或降低系統(tǒng)安全防護(hù)能力,再進(jìn)行暴力破解。常見的釣魚郵件可能偽裝成來自銀行、知名企業(yè)或政府機(jī)構(gòu)的通知,內(nèi)容極具迷惑性,增加了用戶上當(dāng)?shù)母怕?/strong>。
釣魚郵件溯源案例分析
" 郵件賬戶修復(fù)通知 " 溯源分析報(bào)告
1、概述
郵件主題為《NOTICE TO DELETE! For ixxxx@xxxxx.com.cn :》,郵件正文中含有釣魚超鏈接,目的為誘導(dǎo)用戶輸入賬密信息。當(dāng)用戶輸入個(gè)人賬密信息后,會(huì)將其發(fā)送至 "https://raxxxxxxx.xx/wx-ixxxxx/xxx.xxp",并通過郵件將受害者信息發(fā)送至 "hxxxxxxxxx@xxxx.com"。
2、郵件分析
(1)正文分析
郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點(diǎn)擊超鏈接,輸入賬密信息。
(2)鏈接分析
當(dāng)用戶輸入信息并點(diǎn)擊 next 后,賬密信息會(huì)發(fā)送至 "https://rxxxxxxxx.xx/wx-ixxxxx/xxx.xxp"。如下圖所示:
3、網(wǎng)站分析
對釣魚頁面進(jìn)行滲透測試,發(fā)現(xiàn) https://raxxxxxxx.xx/file 目錄存在目錄遍歷漏洞,在文件中發(fā)現(xiàn)釣魚頁面源碼及受害者信息。
通過分析釣魚頁面源碼,發(fā)現(xiàn)攻擊者用于接收受害者信息的電子郵箱地址為 "hxxxxxxx@xxxxxx.com" 并將受害者信息寫入至同目錄下的 result.txt 文件。