2024年Q3企业邮箱安全报告

2024年第三季度企业邮箱安全性研究报告一、2024年Q3垃圾邮件概况分析 （一）Q3国内企业邮箱垃圾邮件达8.53亿封，63.67%来自境外 （二）境外垃圾邮件攻击激增：捷克跃居榜首 2（三）TOP100垃圾邮件分析：教育行业依旧为主要接收对象 3二、2024年Q3钓鱼邮件攻击动态 3（一）企业邮箱面临多样化网络钓鱼威胁 3（二）江西省攻击源数据飙升，全球面临钓鱼威胁攻击 4（三）TOP100钓鱼攻击分析：教育与企业为攻击热点 5三、2024年Q3垃圾钓鱼邮件案例 6（一）垃圾邮件TOP10：教育培训为主攻手段 6（二）钓鱼邮件TOP10：邮件系统通知为主流 6（三）Q3垃圾钓鱼邮件典型案例样本 7四、2024年Q3暴力破解宏观态势 （一）暴力破解：攻击频次增加，破解成功率却逆势下降 10（二）教育行业仍是邮件暴力破解主要目标 五、中睿天下：钓鱼邮件溯源案例分析 （一）“邮件账户修复通知”溯源分析报告 附录1邮件安全人工智能实验室介绍 附录2CACTER邮件安全网关产品介绍 组长主要编写人员《2024年第三季度企业邮箱安全报告》是由广东盈世计算机人工智能实验室和中睿天下邮件安全响应中心的专家们，Coremail邮件安全人工智能实验室（EmailSecurityAILab，简称“AI实验室”）是在Coremail的广泛应用场景、丰富大数据资源和顶尖科技人才的支持下成立的。AI实验室致力于在电子邮件安全防护领域实现AI技术的创新应用，包括自然语言处理、计算机视觉和大语言模型等前沿技术。通过这些技术，我们旨在提升电子邮件的安全性，为企业1一、2024年Q3垃圾邮件概况分析（一）Q3国内企业邮箱垃圾邮件达8.53亿封，63.67%来自境外根据Coremail邮件安全人工智能实验室数据显示，2024年第三季度垃圾邮件总量环比第二季度有少量下降，但比去年同期仍上涨22.3%，境外垃圾邮件的威胁仍在上升，与此境内垃圾邮件比例环比下降，这可能意味着国内对垃圾邮件的打击力度有所增强，或者攻击者策略有所转变。在邮件安全领域，我们正面临着一个不断演变的威胁环境。尽管近年来垃圾邮件的数量持续攀升，邮件安全服务提供商已经部署了包括机器学习和人工智能在内的多种先进策略，以提高邮件的筛选和过滤效率。然而，垃圾邮件发送者也在不断地调整和升级他们的攻击手段，以绕过传统的邮件安全防护措施。图12023年Q2-2024年Q3境内外垃圾邮件攻击趋势图22024年Q3企业邮箱邮件类型分布2随着垃圾邮件的持续蔓延，邮件安全风险日益复杂化，涵盖了钓鱼欺诈、广告、各类诈骗手段、恶意软件等多重威胁。在2024年第三季度，企业邮箱用户接收到的邮件中，正常邮件占据了绝大部分流量，达到8.72亿封（占比50.63%而整体垃圾邮件数量则高达6.73亿封，占总邮件量的39.03%。为了有效防范垃圾邮件及网络欺诈攻击，企业必须加强持续监控、及时更新防护策略，并重视用户教育，以提升整体邮件安全防护能力。（二）境外垃圾邮件攻击激增：捷克跃居榜首第三季度境外攻击源数据显示，捷克较第二季度跃居榜首，从第二季度370万封飙升至1423.6万封，其次是美国、俄罗斯，成为了垃圾邮件攻击的主导力量，对我国构成了较大的网络威胁。图32024年Q3全球垃圾邮件攻击源TOP10国家在国内，垃圾邮件攻击的分布呈现出明显的地域特征，特别是在经济发展较为活跃的地区。具体来看，北京市、上海市、广东省和浙江省作为人口密集和经济活动集中的区域，其信息技术基础设施相对先进，这为垃圾邮件的大规模传播提供了可乘之机。具体数据显示，北京市遭受的垃圾邮件攻击量约为2643.1万封，上海市约为1310.6万封，广东省约为1004万封，浙江省则为915.1万封。图42024年Q3国内十大垃圾邮件攻击源头省份3（三）TOP100垃圾邮件分析：教育行业依旧为主要接收对象经过AI实验室对TOP100垃圾邮件发送与接收域名的深入分析，教育行业依旧是垃圾邮件的主要接收对象，推断可能是邮箱地址的规律性及学术交流的开放性，导致邮箱地址更容易暴露在公共环境中，被垃圾邮件发送者收集并投递。面对教育领域持续增长的垃圾邮件困扰，Coremail邮件安全专家建议各位邮件系统管理员部署高效的邮件安全网关，及时拦截和清除垃圾邮件；开展反钓鱼培训，提高师生的网络安全防范意识，强化信息与账号防护。图52024年Q3TOP100域名发送&接收垃圾邮件数量行业分布二、2024年Q3钓鱼邮件攻击动态（一）企业邮箱面临多样化网络钓鱼威胁自2024年以来钓鱼邮件的数量不断攀升，第三季度企业邮箱用户遭遇的钓鱼邮件数量高达1.74亿封，这表明钓鱼攻击愈发猖獗。这种增长趋势反映了黑客对钓鱼攻击的依赖程度在增加，可能是因为其能够以相对较低的成本获得较高的回报，例如获取企业敏感信息、用户账号密码等。其中，来自境外的钓鱼邮件占比高达55.77%，这显示出钓鱼攻击的国际化特征。境外来源的钓鱼邮件更难追踪和防范，涉及到不同国家的法律和网络监管环境，这些境外攻击者可能利用不同国家之间的信息不对称和网络安全防护水平的差异来发动攻击，这可能导4致企业和用户在防范钓鱼邮件方面需要投入更多的资源和精力。图62023年Q3-2024年Q3境内外钓鱼邮件攻击趋势（二）江西省攻击源数据飙升，全球面临钓鱼威胁攻击从钓鱼攻击IP攻击源分析，来自美国的攻击IP来源依旧保持第一，达到469.6万；而韩国、土耳其等亚洲国家，俄罗斯、匈牙利、捷克等欧洲国家，这些国家在钓鱼邮件攻击源中也占据重要位置，这反映了钓鱼攻击在全球范围内具有一定的地域集中性，网络环境可能被钓鱼攻击者所利用，尤其跨国企业和国际机构需加强安全防御。图72024年Q3境外钓鱼邮件攻击来源Top10国家从钓鱼邮件的发送源TOP10服务器所在省份来看，广东省以451.2万封钓鱼邮件居首，而江西省的攻击源数据飙升尤为值得关注。从第二季度的64.6万封（排行第八）上升到第三季度的较高位次（排行第二这可能暗示江西省在第三季度出现了某些新的因素促使钓鱼邮件发送源增多。这也反映了网络犯罪行为的动态性和复杂性，攻击者可能会5根据不同地区的网络环境、安全防范措施的强弱等因素，灵活选择或转移其攻击源头，也要求网络安全防范措施必须具有针对性和动态适应性。图82024年Q3国内钓鱼邮件攻击来源Top10省份（三）TOP100钓鱼攻击分析：教育与企业为攻击热Q3作为开学季，教育行业接收钓鱼邮件数量高达7699万，远超其他行业，在教育环境中，师生之间、学校与家长之间存在着高度的信任关系。攻击者可能利用这种信任，例如伪装成学校的管理人员发送关于学费缴纳、课程安排变更等邮件。教育行业需要加强邮件安全防护措施，包括实施更严格的邮件过滤和反钓鱼技术。而企业发送及接收钓鱼邮件较为活跃，由于其数据的高价值性，钓鱼攻击的威胁持续存在，攻击者常常利用企业内部权力关系和工作流程的社会工程学攻击，让企业员工在不经意间打开这些钓鱼邮件，导致信息泄露或遭受经济损失。因而企业更需注重提高员工的安全意识，通过定期的安全培训和模拟钓鱼攻击演练，帮助员工识别和防范钓鱼邮件。图92024年Q3TOP100域名发送&接收钓鱼邮件数量行业分布6三、2024年Q3垃圾钓鱼邮件案例（一）垃圾邮件TOP10：教育培训为主攻手段第三季度的垃圾邮件数据揭示了当前邮件诈骗和垃圾邮件发送者采用的主要策略。以下为主题排名前十的垃圾邮件，以及其各自的邮件数量：123456789（二）钓鱼邮件TOP10：邮件系统通知为主流钓鱼邮件常伪装为邮件系统通知或员工津贴，这增加了账户被劫和数据泄露的风险。1234567897（三）Q3垃圾钓鱼邮件典型案例样本图102024年Q3垃圾钓鱼邮件案例1图112024年Q3垃圾钓鱼邮件案例2图122024年Q3垃圾钓鱼邮件案例38图132024年Q3垃圾钓鱼邮件案例4图142024年Q3垃圾钓鱼邮件案例5图152024年Q3垃圾钓鱼邮件案例6图162024年Q3垃圾钓鱼邮件案例79图172024年Q3垃圾钓鱼邮件案例8图182024年Q3垃圾钓鱼邮件案例9图192024年Q3垃圾钓鱼邮件案例10四、2024年Q3暴力破解宏观态势（一）暴力破解：攻击频次增加，破解成功率却逆势下降根据AI实验室监测，2024年第三季度，全国企业级用户遭受超过33亿次暴力破解，而成功次数仅474.1万，推测可能是Q3处于HW、网络安全宣传周中，结合网络安全主管单位做了比较大力度的通报，推动各企业对弱口令做了自查和整改，防护机制加强、人员安全意识提升，导致破解成功率有所下滑。图202023年Q1-2024年Q3全域暴力破解攻击趋势图212023年Q1-2024年Q3全域暴力破解成功趋势随着网络技术的普及和商业竞争的加剧，邮件暴力破解的频率在不断增加。攻击者越来越意识到企业和个人邮箱中可能包含的高价值信息，如商业机密、客户资料、财务数据等，因此不断加大攻击力度。单纯的暴力破解攻击成功率有限，因此攻击者越来越多地结合社会工程学手段。例如，先通过发送看似合法的钓鱼邮件，诱导用户点击链接或下载附件，在用户设备上植入恶意软件，获取用户的部分登录信息或降低系统安全防护能力，再进行暴力破解。常见的钓鱼邮件可能伪装成来自银行、知名企业或政府机构的通知，内容极具迷惑性，增加了用户上当的概率。（二）教育行业仍是邮件暴力破解主要目标据数据显示，Q3的TOP100域名中，无论是高危账号还是被暴力攻击次数均为教育行业受到的威胁最大，这可能与教育行业账号数量众多、密码安全性较弱等因素有关。而企业也是暴力破解的主要对象，显示出攻击者倾向于针对数据价值高和安全防护较弱的行尤其是我国双一流高校，长期面临着严重的邮件威胁，黑产团伙妄图通过钓鱼邮件、盗号等手段获取高校机密性科研材料，或对师生进行钱财诈骗。因此，再次建议各大高校教育安全从业人员，尽快进行安全措施推进整改，对账号形成标准管理体系，同时对师生定期进行反钓鱼演练提升反诈骗安全意识。图222024年Q3识别高危账号及暴力破解攻击次数TOP100域名行业分布五、中睿天下：钓鱼邮件溯源案例分析（一）“邮件账户修复通知”溯源分析报告邮件主题为《NOTICETODELETE!Forixxxx@:》，邮件正文中含有钓鱼超链接，目的为诱导用户输入账密信息。当用户输入个人账密信息后，会将其发送至“https://raxxxxxxx.xx/wx-ixxxxx/xxx.xxp”，并通过邮件将受害者信息发送至“hxxxxxxxxx@”。（1）正文分析邮件正文中的内容主要是诱导收件人点击超链接，输入账密信息。（2）链接分析当用户输入信息并点击next后，账密信息会发送至“https://rxxxxxxxx.xx/wx-ixxxxx/xxx.xxp”。如下图所示：对钓鱼页面进行渗透测试，发现https://raxxxxxxx.xx/file目录存在目录遍历漏洞，在文件中发现钓鱼页面源码及受害者信息。通过分析钓鱼页面源码，发现攻击者用于接收受害者信息的电子邮箱地址为“hxxxxxxx@”并将受害者信息写入至同目录下的result.txt文件。附录1邮件安全人工智能实验室介绍Coremail邮件安全人工智能实验室（EmailSecurityAILab依托于Coremail丰富的应用场景、海量大数据与一流科技人才，专注于将自然语言处理、计算机视觉、大型语言模型等AI智能技术应用于电子邮件安全防护领域的创新突破。目前邮件安全人工智能实验室已在反垃圾领域取得可喜成果，形成了反垃圾算法智能优化闭环：基于AI技术实现邮件样本智能收集、识别、入库、反馈、自学习训练、最终提升算法模型能力，不断优化中央引擎、保持反垃圾品质稳步提升。附录2CACTER邮件安全网关产品介绍CACTER邮件安全是由Coremail孵化的独立品牌，隶属于广东盈世计算机科技有限公作为国内邮件领域的头部企业，凭借25年的深入研发和技术沉淀，CACTER致力于提供一站式邮件安全解决方案。产品涵盖邮件安全网关、邮件数据防泄露EDLP、安全管理中心SMC2、安全海外中继、CAC2.0反钓鱼防盗号、重保服务、反钓鱼演练等。CACTER的核心技术依托自研国产反垃圾引擎和国内头部企业级邮件安全大数据中心，拥有多项发明专利与软件著作权，与中国科学院成立邮件安全AI实验室，并与清华大学、奇安信、网易等国内权威机构持续开展前沿研究与合作，为客户提供从建立安全意识到数据保护的多层次邮件安全防护，为各领域提供更加安全、高效、自主可控的邮件安全解决方案。客户涵盖国务院新闻办公室、国家科技部、国家财政部、中科院、清华大学、北京大学、人民银行、建设银行、交通银行、华润集团、南方电网、美的集团等。CACTER邮件安全网关，基于自主研发的神经网络平台NERVE2.0深度学习能力，全面检测并拦截各类恶意邮件，包括垃圾邮件、钓鱼邮件、病毒邮件及BEC诈骗邮件；反垃圾准确率高达99.8%，误判率低于0.02%。支持Coremail，Exchange，Microsoft365，网易企业邮箱，安宁，139，Winmail，Eyou，Mdeamon，Postfix，IceWarp等几乎一切收费或开源邮件系统。产品优势1.恶意邮件精准隔离CACTER邮件安全网关融合了多项自主研发的世界领先级反垃圾邮件技术，并使用国内外知名反病毒引擎，对进入网关的邮件进行多维分析，确保钓鱼邮件、病毒邮件、垃圾邮件被隔离到网关，保障邮件系统不受恶意邮件威胁。2.检测能力实时更新CACTER邮件安全网关拥有全国头部企业级邮件安全数据中心，基于数亿恶意邮件样本，通过部署百万探针邮箱搜集恶意邮件数据，实时更新邮件检测引擎规则，为客户提供最新邮件防护。3.恶意链接保护使用CACTER邮件网关后，管理员可开启恶意链接保护功能，对投往邮件系统的每一封邮件的链接进行保护。首次过滤+二次检测防护，事前拦截、事中提醒、事后追溯结合，为邮件系统的邮件安全保驾护航。4.加密附件检测病毒查杀：Coremail与多家反病毒厂商合作，对邮件的附件进行多重查杀，同时，病