近日�,Coremail CACTER 郵件安全聯(lián)合北京中睿天下信息技術(shù)有限公司發(fā)布《2024 年第三季度企業(yè)郵箱安全性研究報(bào)告》�����。2024 年第三季度企業(yè)郵箱安全呈現(xiàn)出何種態(tài)勢(shì)��?作為郵箱管理員����,我們又該如何做好防護(hù)?本文摘取了季報(bào)部分?jǐn)?shù)據(jù)進(jìn)行呈現(xiàn)�。
垃圾郵件同比上漲 22.3%
根據(jù) Coremail 郵件安全人工智能實(shí)驗(yàn)室數(shù)據(jù)顯示,2024 年第三季度國內(nèi)企業(yè)郵箱用戶共收到 8.53 億封垃圾郵件����。Q3 垃圾郵件總量環(huán)比 Q2 有少量下降,但比去年同期仍上漲 22.3%�����,境外垃圾郵件的威脅仍在上升,與此境內(nèi)垃圾郵件比例環(huán)比下降���,這可能意味著國內(nèi)對(duì)垃圾郵件的打擊力度有所增強(qiáng)�����,或者攻擊者策略有所轉(zhuǎn)變�����。
第三季度境外攻擊源數(shù)據(jù)顯示�,捷克較第二季度躍居榜首�,從第二季度 370 萬封飆升至 1423.6 萬封,其次是美國�、俄羅斯,成為了垃圾郵件攻擊的主導(dǎo)力量����,對(duì)我國構(gòu)成了較大的網(wǎng)絡(luò)威脅。
釣魚郵件攻擊同比上漲 102.3%
自 2024 年以來釣魚郵件的數(shù)量不斷攀升�,第三季度企業(yè)郵箱用戶遭遇的釣魚郵件數(shù)量高達(dá) 1.74 億,這表明釣魚攻擊愈發(fā)猖獗�����。這種增長趨勢(shì)反映了黑客對(duì)釣魚攻擊的依賴程度在增加,可能是因?yàn)槠淠軌蛞韵鄬?duì)較低的成本獲得較高的回報(bào)����,例如獲取企業(yè)敏感信息�����、用戶賬號(hào)密碼等�。
Q3 作為開學(xué)季,教育行業(yè)接收釣魚郵件數(shù)量高達(dá) 7699 萬���,遠(yuǎn)超其他行業(yè)���,在教育環(huán)境中,師生之間���、學(xué)校與家長之間存在著高度的信任關(guān)系��。攻擊者可能利用這種信任�����,例如偽裝成學(xué)校的管理人員發(fā)送關(guān)于學(xué)費(fèi)繳納���、課程安排變更等郵件���。教育行業(yè)需要加強(qiáng)郵件安全防護(hù)措施,包括實(shí)施更嚴(yán)格的郵件過濾和反釣魚技術(shù)�。
暴力破解:攻擊頻次增加,破解成功率卻逆勢(shì)下降
根據(jù) AI 實(shí)驗(yàn)室監(jiān)測(cè)�����,2024 年第三季度��,全國企業(yè)級(jí)用戶遭受超過 33 億次暴力破解���,而成功次數(shù)僅 474.1 萬���,推測(cè)可能是Q3 處于 HW、網(wǎng)絡(luò)安全宣傳周中����,結(jié)合網(wǎng)絡(luò)安全主管單位做了比較大力度的通報(bào),推動(dòng)各企業(yè)對(duì)弱口令做了自查和整改�,防護(hù)機(jī)制加強(qiáng)����、人員安全意識(shí)提升�����,導(dǎo)致破解成功率有所下滑�����。
單純的暴力破解攻擊成功率有限����,因此攻擊者越來越多地結(jié)合社會(huì)工程學(xué)手段�����。例如���,先通過發(fā)送看似合法的釣魚郵件���,誘導(dǎo)用戶點(diǎn)擊鏈接或下載附件,在用戶設(shè)備上植入惡意軟件��,獲取用戶的部分登錄信息或降低系統(tǒng)安全防護(hù)能力,再進(jìn)行暴力破解��。常見的釣魚郵件可能偽裝成來自銀行�、知名企業(yè)或政府機(jī)構(gòu)的通知,內(nèi)容極具迷惑性����,增加了用戶上當(dāng)?shù)母怕?/strong>。
釣魚郵件溯源案例分析
" 郵件賬戶修復(fù)通知 " 溯源分析報(bào)告
1��、概述
郵件主題為《NOTICE TO DELETE! For ixxxx@xxxxx.com.cn :》���,郵件正文中含有釣魚超鏈接����,目的為誘導(dǎo)用戶輸入賬密信息�。當(dāng)用戶輸入個(gè)人賬密信息后,會(huì)將其發(fā)送至 "https://raxxxxxxx.xx/wx-ixxxxx/xxx.xxp"����,并通過郵件將受害者信息發(fā)送至 "hxxxxxxxxx@xxxx.com"。
2���、郵件分析
(1)正文分析
郵件正文中的內(nèi)容主要是誘導(dǎo)收件人點(diǎn)擊超鏈接�,輸入賬密信息。
(2)鏈接分析
當(dāng)用戶輸入信息并點(diǎn)擊 next 后�����,賬密信息會(huì)發(fā)送至 "https://rxxxxxxxx.xx/wx-ixxxxx/xxx.xxp"�����。如下圖所示:
3��、網(wǎng)站分析
對(duì)釣魚頁面進(jìn)行滲透測(cè)試����,發(fā)現(xiàn) https://raxxxxxxx.xx/file 目錄存在目錄遍歷漏洞����,在文件中發(fā)現(xiàn)釣魚頁面源碼及受害者信息。
通過分析釣魚頁面源碼�����,發(fā)現(xiàn)攻擊者用于接收受害者信息的電子郵箱地址為 "hxxxxxxx@xxxxxx.com" 并將受害者信息寫入至同目錄下的 result.txt 文件����。
