2024年Q2企业邮箱安全报告-2024.07-22正式版

2024年第二季度企业邮箱安全性研究报告一、2024年垃圾邮件概况分析................................................................................................1（一）国内企业邮箱垃圾邮件增长态势明显，境外源大比重加剧挑战...........................1（二）境外垃圾邮件攻击激增：美国及欧洲国家成主要威胁源........................................2（三）垃圾邮件分析：教育行业为主要攻击目标.................................................3二、2024年钓鱼邮件攻击动态................................................................................................3（一）境外钓鱼邮件激增与隐蔽的境内攻击源....................................................................3（二）国际邮件安全环境复杂严峻，北京为国内主要风险源............................................4（三）钓鱼攻击分析：教育与企业为攻击热点.....................................................5三、2024年垃圾钓鱼邮件案例................................................................................................7（一）垃圾邮件：教育培训为主攻手段...................................................................7（二）钓鱼邮件：官方伪装通知依然是主流...........................................................7（三）垃圾钓鱼邮件典型案例样本..................................................................................8四、2024年暴力破解宏观态势..............................................................................................（一）暴力破解虽减，防护意识需持续强化......................................................................11（二）暴力破解风暴眼：企业与教育行业成主战场..........................................................12五、钓鱼邮件溯源案例分析..........................................................................................................13（一）“高温季节福利”溯源分析报告..............................................................................13（二）“密码到期”溯源分析报告......................................................................................141邮件安全人工智能实验室介绍.......................................................................................172CACTER邮件安全网关产品介绍..................................................................................18林延中主要编写人员刘磊江嘉杰伍伟彬黄楚斯《2024年第二季度企业邮箱安全报告》是由广东盈世计算机科技有限公司与北京中睿天下信息技术有限公司携手呈现。我们特别感谢Coremail邮件安全人工智能实验室和中睿天下邮件安全响应中心的专家们，他们对本报告的编写提供了专业的指导和宝贵的建议。Coremail邮件安全人工智能实验室（EmailSecurityLab，简称实验室”）是在Coremail的广泛应用场景、丰富大数据资源和顶尖科技人才的支持下成立的。实验室致力于在电子邮件安全防护领域实现技术的创新应用，包括自然语言处理、计算机视觉和大语言模型等前沿技术。通过这些技术，我们旨在提升电子邮件的安全性，为企业提供更加可靠的保障。一、2024年Q2垃圾邮件概况分析（一）国内企业邮箱垃圾邮件增长态势明显，境外源大比重加剧挑战根据Coremail邮件安全人工智能实验室数据显示，2024年第二季度，国内企业邮箱用户共收到9.1亿封垃圾邮件，总量无论是环比（上升24.9%）还是同比（上升40.6%），呈大幅度增长态势，其中接近70%的垃圾邮件来自境外，进一步加剧了防护的难度与复杂图12023Q2-2024Q2境内外垃圾邮件攻击趋势图22024年企业邮箱邮件类型分布在2024年第二季度企业邮箱用户收到的邮件构成中，正常邮件以46.78%的占比（共1计7.99亿封）主导了邮件流量，然而，不容忽视的是，垃圾邮件的侵扰依然严重，其数量高达7.62亿封，占据了总邮件量的44.59%。各单位组织仍需要继续加强对垃圾邮件、钓鱼邮件和诈骗邮件的防范措施。（二）境外垃圾邮件攻击激增：美国及欧洲国家成主要威胁源在2024年第二季度中，美国依旧是境外垃圾邮件的主要来源国，其次是乌克兰与马来西亚，为新的垃圾邮件攻击源，可能是境外垃圾邮件发送者，改变了攻击策略，选择了不同的邮件发送源或发件人地址，我们仍需加快提升国内网络防护能力。图32024年第二季度全球垃圾邮件攻击源10在国内范围内，垃圾邮件攻击也几乎无处不在，尤其在经济繁荣的区域更为突出。具体来说，北京市（约2448.3万封）、上海市（约万封）、浙江省（约887.8万封）和广东省（855.5万封），属于人口密集区和经济中心，信息技术基础设施方面较为发达，为大规模的垃圾邮件攻击提供了便利条件。图4年国内十大垃圾邮件攻击源头省份2（三）垃圾邮件分析：教育行业为主要攻击目标经实验室分析发送&接收垃圾邮件的域名，不难发现，教育行业仍然是垃圾邮件的主要攻击目标，接收量达3.32亿封。邮件是教育科研项目、教学数据、师生信息等敏感信息的承载体，教育行业的邮件安全更加不容忽视。图52024年TOP100域名发送&接收垃圾邮件数量行业分布面对教育领域持续增长的垃圾邮件困扰，提出以下建议给各位邮件系统管理员：1.设置有效的邮件过滤和防护机制：学校和教育机构应使用针对垃圾邮件的有效过滤和防护技术，如使用邮件安全网关，及时拦截和清除垃圾邮件，减少对教育行业的干扰和危2.开展反钓鱼培训：提高师生的网络安全防范意识，通过定期的模拟练习，教会他们如何识别并防御垃圾邮件和诈骗链接。3.强化信息与账号防护：普及并推广个人信息加密及强密码使用的重要性，防止信息泄露成为钓鱼邮件攻击的跳板。4.推动高校安全合作：鼓励高等学府间的威胁情报共享，及时交流最新的邮件安全策略和防御技巧，共同提高校园网络的安全防护水平。二、2024年钓鱼邮件攻击动态（一）境外钓鱼邮件激增与隐蔽的境内攻击源在频发的网络安全攻击事件中，钓鱼攻击往往是黑客们的首选。2024年以来，钓鱼邮3件数量持续增长，第二季度企业邮箱用户收到的钓鱼邮件数量达1.43亿，威胁态势依旧严峻，其中境外发送源达56.23%，然而据实验室此前分析，虽然发件来源是境外，但钓鱼邮件中的文本、行文规范均符合国内的中文使用习惯，且钓鱼网站也都以仿冒境内网站为主，由此说明部分攻击的真实来源应是境内，只不过攻击者使用了境外服务器做为跳板，最终导致钓鱼邮件的境外来源数量远高于境内。图62023Q2-2024Q2境内外钓鱼邮件攻击趋势（二）国际邮件安全环境复杂严峻，北京为国内主要风险源近年来，随着互联网的快速扩张与全球化进程的加速，邮件安全议题日益凸显其重要性。我国正面临境外钓鱼攻击的不断攀升，数据揭示美国作为钓鱼邮件的主要发源地，其攻击比例较俄罗斯高出显著的60.7%。图72024境外钓鱼邮件攻击来源Top104从国内的钓鱼邮件攻击态势来看，第二季度国内各地的钓鱼邮件攻击均有上升的趋势，其中北京为钓鱼邮件的主要来源，发出钓鱼邮件攻击次数达到286.5万次。此外香港跃居前三，成为了活跃来源，让黑客团体更易进行网络钓鱼活动。图82024国内钓鱼邮件攻击来源Top10（三）钓鱼攻击分析：教育与企业为攻击热点如图，通过钓鱼邮件发送&接收源TOP100域名行业分析，国内钓鱼邮件受害者所在行业比较集中，收到的钓鱼邮件数量排名域名的行业中，教育排名第一，约占钓鱼邮件总数的60%（3914.1万封）；企业排名第二，约占26%（1713.4万封）；排名第三的行业为互联网，占5%（329.1封）。图92024TOP100域名发送&接收钓鱼邮件数量行业分布5大规模邮件通讯所涉及的大量高价值信息和账号资产，以及员工和用户端安全意识和培训水平参差不齐的现状，导致企业和教育类机构成为网络攻击的重要目标。攻击者可以运用社会工程学手段，通过伪装成相关角色（例如老师、合作伙伴、客户或上级主管）的身份，针对性地向特定用户发送钓鱼邮件，从而提高攻击的成功率。6三、2024年垃圾钓鱼邮件案例（一）垃圾邮件：教育培训为主攻手段第二季度的垃圾邮件数据揭示了当前邮件诈骗和垃圾邮件发送者采用的主要策略。以下为主题排名前十的垃圾邮件，以及其各自的邮件数量：2024年Q2热门垃圾邮件主题榜TOP10序号垃圾邮件主题邮件数（封）1【火热招生中】2024年人力资源管理师2562.3万2re:我是陈*飞，为企业提供礼品采购的企业1080.5万3re:鼓励客户比价的企业礼品采购服务！1076.9万4年最全课程汇总（增：线上证书课，包括中级经济师，HRBP证书……）1014.9万5大客户开发与维护策略技巧588.7万6成交的秘密——高业绩顾问式销售技巧539.6万7中层经理管理能力提升419.9万8为了您自身的安全，我强烈建议您阅读这封电子邮件。367.2万9【火热招生中】2024年中级经济师（人力资源）346.2万SalesNotification315.9万（二）钓鱼邮件：官方伪装通知依然是主流钓鱼邮件常伪装为系统通知或发票诈骗，这增加了账户被劫和数据泄露的风险。2024年Q2热门钓鱼邮件主题榜TOP10序号钓鱼邮件主题邮件数（封）1关于邮件系统的通知393.4万2为了您自身的安全，我强烈建议您阅读这封电子邮件。151.7万3お支払い金額のお知らせ103.1万4【电子发票】您收到一张新的电子发票[发票号码:980750**]92.2万5邮件管理系统91.6万6邮件管理系统通知87.5万7ご利用明細更新のお知らせ81.6万8《薪酬津贴登记发放须知》81.4万9待办申报表80.2万校内邮件管理79.2万7（三）Q2垃圾钓鱼邮件典型案例样本1、补贴诈骗通知类持续威胁图102024垃圾钓鱼邮件案例1图112024垃圾钓鱼邮件案例2图122024垃圾钓鱼邮件案例382、各类冒充电子发票、诱导下载恶意软件图132024垃圾钓鱼邮件案例43、冒充律师函、税务检查等图142024垃圾钓鱼邮件案例54、冒充订单或询盘信息图152024垃圾钓鱼邮件案例69图162024垃圾钓鱼邮件案例75、系统账号密码登录类钓鱼图172024垃圾钓鱼邮件案例86、比特币勒索诈骗邮件图182024垃圾钓鱼邮件案例910四、2024年暴力破解宏观态势（一）暴力破解虽减，防护意识需持续强化在邮箱系统面临的盗号挑战中，暴力破解作为一种普遍且难以轻易忽视的攻击手段，其持续存在主要归因于两大核心要素。首先，使用单因素认证（密码）的身份校验方式，为攻击者打开了潜在的入侵门户，使他们看到了通过尝试多种密码组合来窃取账户访问权限的可能性。其次是部分用户习惯性使用弱密码，无意中降低了攻击者的破解难度及攻击成本。图192022年Q4-2024年全域暴力破解攻击趋势根据实验室监测，2024年第二季度，全国企业级用户遭受超过21.4亿次暴力破解，相比于的39.1亿次暴力破解，环比降幅约为45%，无差别的暴力破解攻击大幅下降。但数据显示暴力破解攻击成功次数正在回升，推测可能是攻击者优化口令字典规则，其次加大了撞库攻击比例，导致破解成功率提高，因此管理员仍需保持警惕并采取必要的防护措施。图202022年Q4-2024年全域暴力破解成功趋势（二）暴力破解风暴眼：企业与教育行业成主战场在24年第二季度，全国的企业用户遭遇了高达21.4亿次的暴力破解攻击，其中成功的破解次数达到912.7万次。数据显示，高危账号和被攻击域名主要集中在教育行业和企业，面临的安全威胁尤为严重。从用户体量上看，教育行业和企业账号数确实明显高于其他行业，在外暴露的攻击面广。对非活跃账号较难把控，如教育行业，许多大学的教职员工和学生使用的是初始设置的密码，加之大量学生邮箱长期不活跃，这使得邮箱账号非常容易被盗用且难以及时发现。而在企业，由于存储有大量的商业秘密、客户资料以及财务数据，暴力破解攻击变得尤为频繁。一旦攻击者成功获取账号，他们会从广撒网式的攻击转变为更为专业、针对性的攻击，如利用这些账号广泛发送垃圾邮件或发起特定的钓鱼行动。图212024年识别高危账号及暴力破解攻击次数TOP100域名行业分布12面对日益专业化的邮件威胁，教育单位和各大企事业单位应从邮件系统和安全教育等层面展开防范，强化安全教育，推广双重验证的使用。在邮件服务层面，可以增设邮件安全网关增强对假冒邮件的拦截，并确保启用双因素验证及特定的客户端密码以预防账户遭受侵害；对于用户的安全教育，可进行钓鱼邮件模拟训练，提升用户的防范意识。五、钓鱼邮件溯源案例分析（一）“高温季节福利”溯源分析报告1、概述邮件主题为《高温季节福利优化方案及实施通知》，经排查该邮件存在恶意的二维码，扫描后判断访问者环境，符合移动端特征后跳转至钓鱼画面，其目的诱导用户输入银行卡及支付密码等个人敏感信息。2、邮件分析（1）正文分析邮件诱导收件人扫描邮件中的恶意二维码，当符合移动端特征后跳转至诱导用户输入银行卡及支付密码的钓鱼页面。恶意链接为：“hxxps://”目的在于窃取收件人的银行卡信息及盗取银行卡财产。（2）链接分析访问跳转后的钓鱼链接“hxxps:///”，并替换移动端头，页面显示为钓鱼页面。如下图所示：133、网站分析分析网站信息时发现域名注册人为黎**—qwxxxxxxxxx6@**黎**—lxxxxx2@**4、黑产组织画像邮件主题：《高温季节福利优化方案及实施通知》邮件内容：以企业财务部门的名义发送“津贴发放通知，线上登记审核”邮件，目的为获取受害人银行卡信息、身份证号、手机号、银行卡密码等信息。黑产组织：各类企事业单位，活动的钓鱼网站链接2（二）“密码到期”溯源分析报告1.概述邮件主题为密码到期提醒，邮件正文中存在可点击按钮“立即修改密码”，点击跳转后链接为“”，诱导用户输入邮箱账号与密码。2.邮件分析14（1）正文分析邮件正文中的内容主要是诱导收件人点击修改密码链接。点击后跳转链接为：“”目的在于窃取收件人的邮箱账号与密码。（2）链接分析通过跳转链接“”，发现其并未绑定ip，如下图所示：该跳转链接目前无法访问查询此域名对应的注册信息15通过邮箱查询存在最近解析记录，如下图所示：3.溯源分析根据域名注册信息深入跟踪（图1），获取信息如下：姓名:王*手机:15xxxxxxx97QQ:6xxxxx31邮箱：416附录1邮件安全人工智能实验室介绍Coremail邮件安全人工智能实验室（EmailSecurityLab），依托于Coremail丰富的应用场景、海量大数据与一流科技人才，专注于将自然语言处理、计算机视觉、大型语言模型等智能技术应用于电子邮件安全防护领域的创新突破。目前邮件安全人工智能实验室已在反垃圾领域取得可喜成果，形成了反垃圾算法智能优化闭环：基于技术实现邮件样本智能收集、识别、入库、反馈、自学习训练、最终提升算法模型能力，不断优化中央引擎、保持反垃圾品质稳步提升。17附录2CACTER邮件安全网关产品介绍CACTER邮件安全是由Coremail孵化的独立品牌，隶属于广东盈世计算机科技有限公司。凭借年的反垃圾反钓鱼技术沉淀，CACTER致力于提供一站式邮件安全解决方案。产品涵盖邮件安全网关、CAC2.0反钓鱼防盗号、安全海外中继、邮件数据防泄露EDLP、安全管理中心SMC2、重保服务、反钓鱼演练等。核心技术依托自研国产反垃圾引擎和Coremail邮件安全大数据中心，高效识别并拦截垃圾广告、钓鱼邮件、病毒邮件、BEC诈骗邮件等各类威胁，为企业邮件通信保驾护航。客户涵盖国务院新闻办公室、国家科技部、国家财政部、中科院、清华大学、北京大学、人民银行、建设银行、交通银行、华润集团、南方电网、美的集团等。CACTER邮件安全网关介绍CACTER邮件安全网关，基于自主研发的神经网络平台NERVE2.0深度学习能力，全面检测并拦截各类恶意邮件，包括垃圾邮件、钓鱼邮件、病毒邮件及BEC诈骗邮件；反垃圾准确率高达99.8%，误判率低于0.02%。支持Coremail，Exchange，Microsoft365，网易企业邮箱，安宁，139，Winmail，Eyou，Mdeamon，Postfix，IceWarp等几乎一切收费或开源邮件系统。产品优势1恶意邮件精准隔离CACTER邮件安全网关融合了多项自主研发的世界领先级反垃圾邮件技术，并使用国内外知名反病毒引擎，对进入网关的邮件进行多维分析，确保钓鱼邮件、病毒邮件、垃圾邮件被隔离到网关，保障邮件系统不受恶意邮件威胁。2检测能力实时更新18CACTER邮件安全网关拥有全国最大的邮件安全数据中心，基于数亿恶意邮件样本，通过