2024年Q2企业邮箱安全报告-2024.07-22正式版

组长林延中主要编写人员刘磊

江嘉杰

伍伟彬

黄楚斯《2024

年第二季度企业邮箱安全报告》是由广东盈世计算机科技有限公司与北京中睿天下信息技术有限公司携手呈现。我们特别感谢

Coremail

邮件安全人工智能实验室和中睿天下邮件安全响应中心的专家们，他们对本报告的编写提供了专业的指导和宝贵的建议。Coremail

邮件安全人工智能实验室（Email

Security

AI

Lab，简称“AI

实验室”）是在

Coremail

的广泛应用场景、丰富大数据资源和顶尖科技人才的支持下成立的。AI

实验室致力于在电子邮件安全防护领域实现

AI

技术的创新应用，包括自然语言处理、计算机视觉和大语言模型等前沿技术。通过这些技术，我们旨在提升电子邮件的安全性，为企业提供更加可靠的保障。一、2024

年

Q2

垃圾邮件概况分析（一）国内企业邮箱垃圾邮件增长态势明显，境外源大比重加剧挑战根据

Coremail

邮件安全人工智能实验室数据显示，2024

年第二季度，国内企业邮箱用户共收到

9.1

亿封垃圾邮件，总量无论是环比（上升

24.9%）还是同比（上升

40.6%），呈大幅度增长态势，其中接近

70%的垃圾邮件来自境外，进一步加剧了防护的难度与复杂性。图

1

2023

Q2-2024

Q2

境内外垃圾邮件攻击趋势图

2

2024

年

Q2

企业邮箱邮件类型分布在

2024

年第二季度企业邮箱用户收到的邮件构成中，正常邮件以

46.78%的占比（共1计

7.99

亿封）主导了邮件流量，然而，不容忽视的是，垃圾邮件的侵扰依然严重，其数量高达

7.62

亿封，占据了总邮件量的

44.59%。各单位组织仍需要继续加强对垃圾邮件、钓鱼邮件和诈骗邮件的防范措施。（二）境外垃圾邮件攻击激增：美国及欧洲国家成主要威胁源在

2024

年第二季度中，美国依旧是境外垃圾邮件的主要来源国，其次是乌克兰与马来西亚，为新的垃圾邮件攻击源，可能是境外垃圾邮件发送者，改变了攻击策略，选择了不同的邮件发送源或发件人地址，我们仍需加快提升国内网络防护能力。图

3

2024

年第二季度全球垃圾邮件攻击源

TOP

10

国家在国内范围内，垃圾邮件攻击也几乎无处不在，尤其在经济繁荣的区域更为突出。具体来说，北京市（约

2448.3

万封）、上海市（约

1103.3

万封）、浙江省（约

887.8

万封）和广东省（855.5

万封），属于人口密集区和经济中心，信息技术基础设施方面较为发达，为大规模的垃圾邮件攻击提供了便利条件。图

4

2024

年

Q2

国内十大垃圾邮件攻击源头省份2（三）TOP100

垃圾邮件分析：教育行业为主要攻击目标经

AI

实验室分析

TOP100

发送&接收垃圾邮件的域名，不难发现，教育行业仍然是垃圾邮件的主要攻击目标，接收量达

3.32

亿封。邮件是教育科研项目、教学数据、师生信息等敏感信息的承载体，教育行业的邮件安全更加不容忽视。图

5

2024

年

Q2

TOP100

域名发送&接收垃圾邮件数量行业分布面对教育领域持续增长的垃圾邮件困扰，提出以下建议给各位邮件系统管理员：1.

设置有效的邮件过滤和防护机制：学校和教育机构应使用针对垃圾邮件的有效过滤和防护技术，如使用邮件安全网关，及时拦截和清除垃圾邮件，减少对教育行业的干扰和危害。2.

开展反钓鱼培训：提高师生的网络安全防范意识，通过定期的模拟练习，教会他们如何识别并防御垃圾邮件和诈骗链接。3.

强化信息与账号防护：普及并推广个人信息加密及强密码使用的重要性，防止信息泄露成为钓鱼邮件攻击的跳板。4.

推动高校安全合作：鼓励高等学府间的威胁情报共享，及时交流最新的邮件安全策略和防御技巧，共同提高校园网络的安全防护水平。二、2024

年

Q2

钓鱼邮件攻击动态（一）境外钓鱼邮件激增与隐蔽的境内攻击源在频发的网络安全攻击事件中，钓鱼攻击往往是黑客们的首选。2024

年以来，钓鱼邮3件数量持续增长，第二季度企业邮箱用户收到的钓鱼邮件数量达

1.43

亿，威胁态势依旧严峻，其中境外发送源达

56.23%，然而据

AI

实验室此前分析，虽然发件来源是境外，但钓鱼邮件中的文本、行文规范均符合国内的中文使用习惯，且钓鱼网站也都以仿冒境内网站为主，由此说明部分攻击的真实来源应是境内，只不过攻击者使用了境外服务器做为跳板，最终导致钓鱼邮件的境外来源数量远高于境内。图

6

2023

Q2-2024

Q2

境内外钓鱼邮件攻击趋势（二）国际邮件安全环境复杂严峻，北京为国内主要风险源近年来，随着互联网的快速扩张与全球化进程的加速，邮件安全议题日益凸显其重要性。我国正面临境外钓鱼攻击的不断攀升，数据揭示美国作为钓鱼邮件的主要发源地，其攻击比例较俄罗斯高出显著的

60.7%。图

7

2024

Q2

境外钓鱼邮件攻击来源

Top10

国家4从国内的钓鱼邮件攻击态势来看，第二季度国内各地的钓鱼邮件攻击均有上升的趋势，其中北京为钓鱼邮件的主要来源，发出钓鱼邮件攻击次数达到

286.5

万次。此外香港跃居前三，成为了活跃来源，让黑客团体更易进行网络钓鱼活动。图

8

2024

Q2

国内钓鱼邮件攻击来源

Top10

省份（三）TOP100

钓鱼攻击分析：教育与企业为攻击热点如图，通过

Q2

钓鱼邮件发送&接收源

TOP100

域名行业分析，国内钓鱼邮件受害者所在行业比较集中，收到的钓鱼邮件数量排名

TOP100

域名的行业中，教育排名第一，约占钓鱼邮件总数的

60%（3914.1

万封）；企业排名第二，约占

26%（1713.4

万封）；排名第三的行业为

IT

互联网，占

5%（329.1

封）。图

9

2024

Q2

TOP100

域名发送&接收钓鱼邮件数量行业分布5大规模邮件通讯所涉及的大量高价值信息和账号资产，以及员工和用户端安全意识和培训水平参差不齐的现状，导致企业和教育类机构成为网络攻击的重要目标。攻击者可以运用社会工程学手段，通过伪装成相关角色（例如老师、合作伙伴、客户或上级主管）的身份，针对性地向特定用户发送钓鱼邮件，从而提高攻击的成功率。6三、2024

年

Q2

垃圾钓鱼邮件案例（一）垃圾邮件

TOP10：教育培训为主攻手段第二季度的垃圾邮件数据揭示了当前邮件诈骗和垃圾邮件发送者采用的主要策略。以下为主题排名前十的垃圾邮件，以及其各自的邮件数量：2024

年

Q2

热门垃圾邮件主题榜

TOP10序号1垃圾邮件主题邮件数（封）【火热招生中】2024

年人力资源管理师2562.3

万1080.5

万1076.9

万1014.9

万2re:我是陈*飞，为企业提供礼品采购的企业3re:鼓励客户比价的企业礼品采购服务！42024

年最全课程汇总（增：线上证书课，包括中级经济师，HRBP

证书……）56大客户开发与维护策略技巧成交的秘密——高业绩顾问式销售技巧中层经理管理能力提升588.7

万539.6

万419.9

万367.2

万346.2

万315.9

万78为了您自身的安全，我强烈建议您阅读这封电子邮件。【火热招生中】2024

年中级经济师（人力资源）Sales

Notification910（二）钓鱼邮件

TOP10：官方伪装通知依然是主流钓鱼邮件常伪装为系统通知或发票诈骗，这增加了账户被劫和数据泄露的风险。2024

年

Q2

热门钓鱼邮件主题榜

TOP10序号钓鱼邮件主题邮件数（封）123关于邮件系统的通知为了您自身的安全，我强烈建议您阅读这封电子邮件。お支払い金額のお知らせ393.4

万151.7

万103.1

万4【电子发票】您收到一张新的电子发票[发票号码:980750**]92.2

万56邮件管理系统邮件管理系统通知ご利用明細更新のお知らせ《薪酬津贴登记发放须知》待办申报表91.6

万87.5

万81.6

万81.4

万80.2

万79.2

万78910校内邮件管理7（三）Q2

垃圾钓鱼邮件典型案例样本1、补贴诈骗通知类持续威胁图

10

2024

Q2

垃圾钓鱼邮件案例

1图

11

2024

Q2

垃圾钓鱼邮件案例

2图

12

2024

Q2

垃圾钓鱼邮件案例

382、各类冒充电子发票、诱导下载恶意软件图

13

2024

Q2

垃圾钓鱼邮件案例

43、冒充律师函、税务检查等图

14

2024

Q2

垃圾钓鱼邮件案例

54、冒充订单或询盘信息图

15

2024

Q2

垃圾钓鱼邮件案例

69图

16

2024

Q2

垃圾钓鱼邮件案例

75、系统账号密码登录类钓鱼图

17

2024

Q2

垃圾钓鱼邮件案例

86、比特币勒索诈骗邮件图

18

2024

Q2

垃圾钓鱼邮件案例

910四、2024

年

Q2

暴力破解宏观态势（一）暴力破解虽减，防护意识需持续强化在邮箱系统面临的盗号挑战中，暴力破解作为一种普遍且难以轻易忽视的攻击手段，其持续存在主要归因于两大核心要素。首先，使用单因素认证（密码）的身份校验方式，为攻击者打开了潜在的入侵门户，使他们看到了通过尝试多种密码组合来窃取账户访问权限的可能性。其次是部分用户习惯性使用弱密码，无意中降低了攻击者的破解难度及攻击成本。图

19

2022

年

Q4-2024

年

Q2

全域暴力破解攻击趋势根据

AI

实验室监测，2024

年第二季度，全国企业级用户遭受超过

21.4

亿次暴力破解，相比于

Q1

的

39.1

亿次暴力破解，环比降幅约为

45%，无差别的暴力破解攻击大幅下降。但数据显示暴力破解攻击成功次数正在回升，推测可能是攻击者优化口令字典规则，其次加大了撞库攻击比例，导致破解成功率提高，因此管理员仍需保持警惕并采取必要的防护措施。11图

20

2022

年

Q4-2024

年

Q2

全域暴力破解成功趋势（二）暴力破解风暴眼：企业与教育行业成主战场在

24

年第二季度，全国的企业用户遭遇了高达

21.4

亿次的暴力破解攻击，其中成功的破解次数达到

912.7

万次。数据显示，高危账号和被攻击域名主要集中在教育行业和企业，面临的安全威胁尤为严重。从用户体量上看，教育行业和企业账号数确实明显高于其他行业，在外暴露的攻击面广。对非活跃账号较难把控，如教育行业，许多大学的教职员工和学生使用的是初始设置的密码，加之大量学生邮箱长期不活跃，这使得邮箱账号非常容易被盗用且难以及时发现。而在企业，由于存储有大量的商业秘密、客户资料以及财务数据，暴力破解攻击变得尤为频繁。一旦攻击者成功获取账号，他们会从广撒网式的攻击转变为更为专业、针对性的攻击，如利用这些账号广泛发送垃圾邮件或发起特定的钓鱼行动。图

21

2024

年

Q2

识别高危账号及暴力破解攻击次数

TOP100

域名行业分布12面对日益专业化的邮件威胁，教育单位和各大企事业单位应从邮件系统和安全教育等层面展开防范，强化安全教育，推广双重验证的使用。在邮件服务层面，可以增设邮件安全网关增强对假冒邮件的拦截，并确保启用双因素验证及特定的客户端密码以预防账户遭受侵害；对于用户的安全教育，可进行钓鱼邮件模拟训练，提升用户的防范意识。五、钓鱼邮件溯源案例分析（一）“高温季节福利”溯源分析报告1、概述邮件主题为《高温季节福利优化方案及实施通知》，经排查该邮件存在恶意的二维码，扫描后判断访问者环境，符合移动端特征后跳转至钓鱼画面，其目的诱导用户输入银行卡及支付密码等个人敏感信息。2、邮件分析（1）正文分析邮件诱导收件人扫描邮件中的恶意二维码，当符合移动端特征后跳转至诱导用户输入银行卡及支付密码的钓鱼页面。恶意链接为：“hxxps://”目的在于窃取收件人的银行卡信息及盗取银行卡财产。（2）链接分析访问跳转后的钓鱼链接“http://nkfd97gonnzwrv97rofs.chphotogovopen.top/h5/”，并替换移动端

UA

头，页面显示为钓鱼页面。如下图所示：133、网站分析分析网站信息时发现域名注册人为黎**—qwxxxxxxxxx6@**黎**—lxxxxx2@**4、黑产组织画像邮件主题：《高温季节福利优化方案及实施通知》邮件内容：以企业财务部门的名义发送“津贴发放通知，线上登记审核”邮件，目的为获取受害人银行卡信息、身份证号、手机号、银行卡密码等信息。黑产组织：各类企事业单位，活动的钓鱼网站链接

2

个。（二）“密码到期”溯源分析报告1.

概述邮件主题为密码到期提醒，邮件正文中存在可点击按钮“立即修改密码”，点击跳转后链接为“”，诱导用户输入邮箱账号与密码。2.

邮件分析14（1）正文分析邮件正文中的内容主要是诱导收件人点击修改密码链接。点击后跳转链接为：“”目的在于窃取收件人的邮箱账号与密码。（2）链接分析通过跳转链接“”，发现其并未绑定

ip，如下图所示：该跳转链接目前无法访问查询此域名对应的

whois

注册信息15通过邮箱查询存在最近解析记录，如下图所示：3.

溯源分析根据域名

whois

注册信息深入跟踪（图

1），获取信息如下：姓名:王*

手机:15xxxxxxx97QQ:6xxxxx31

邮箱：416附录

1

邮件安全人工智能实验室介绍Coremail

邮件安全人工智能实验室（Email

Security

AI

Lab），依托于

Coremail

丰富的应用场景、海量大数据与一流科技人才，专注于将自然语言处理、计算机视觉、大型语言模型等

AI

智能技术应用于电子邮件安全防护领域的创新突破。目前邮件安全人工智能实验室已在反垃圾领域取得可喜成果，形成了反垃圾算法智能优化闭环：基于

AI

技术实现邮件样本智能收集、识别、入库、反馈、自学习训练、最终提升算法模型能力，不断优化中央引擎、保持反垃圾品质稳步提升。17附录

2

CACTER

邮件安全网关产品介绍CACTER

邮件安全是由

Coremail

孵化的独立品牌，隶属于广东盈世计算机科技有限公司。凭借

25

年的反垃圾反钓鱼技术沉淀，CACTER

致力于提供一站式邮件安全解决方案。产品涵盖邮件安全网关、CAC2.0

反钓鱼防盗号、安全海外中继、邮件数据防泄露

EDLP、安全管理中心

SMC2、重保服务、反钓鱼演练等。核心技术依托自研国产反垃圾引擎和Coremail

邮件安全大数据中心，高效识别并拦截垃圾广告、钓鱼邮件、病毒邮件、BEC

诈骗邮件等各类威胁，为企业邮件通信保驾护航。客户涵盖国务院新闻办公室、国家科技部、国家财政部、中科院、清华大学、北京大学、人民银行、建设银行、交通银行、华润集团、南方电网、美的集团等。CACTER

邮件安全网关介绍CACTER

邮件安全网关，基于自主研发的神经网络平台

NERVE2.0

深度学习能力，全面检测并拦截各类恶意邮件，包括垃圾邮件、钓鱼邮件、病毒邮件及

BEC

诈骗邮件；反垃圾准确率高达

99.8%，误判率低于

0.02%。支持

Coremail，Exchange，Microsoft

365，网易企业邮箱，安宁，139，Winmail，Eyou，Mdeamon，Postfix，IceWarp

等几乎一切收费或开源邮件系统。产品优势1

恶意邮件精准隔离CACTER

邮件安全网关融合了多项自主研发的世界领先级反垃圾邮件技术，并使用国内外知名反病毒引擎，对进入网关的邮件进行多维分析，确保钓鱼邮件、病毒邮件、垃圾邮件被隔离到网关，保障邮件系统不受恶意邮件威胁。2

检测能力实时更新18CACTER

邮件安全网关拥有全国最大的邮件安全数据中心，基于数亿恶意邮件样本，通过部署百万探针邮箱搜集恶意邮件数据，实时更新邮件检测引擎规则，为客户提供最新邮件防护。3

恶意链接保护使用

CACTER

邮件网关后，管理员可开启恶意链接保护功能，对投往邮件系统的每一封邮件的链接进行保护。首次过滤+二次检测防护，事前拦截、事中提醒、事后追溯结合，为邮件系统的邮件安全保驾护航。4