2024第二季度企业邮箱安全性研究报告

2024年第二季度企业邮箱安全性研究报告TOC\o"1-2"\h\z\u一、2024年Q2垃圾邮件概况分析 1（一）国内企业邮箱垃圾邮件增长态势明显，境外源大比重加剧挑战 1（二）境外垃圾邮件攻击激增：美国及欧洲国家成主要威胁源 2（三）TOP100垃圾邮件分析：教育行业为主要攻击目标 3二、2024年Q2钓鱼邮件攻击动态 3（一）境外钓鱼邮件激增与隐蔽的境内攻击源 3（二）国际邮件安全环境复杂严峻，北京为国内主要风险源 4（三）TOP100钓鱼攻击分析：教育与企业为攻击热点 5三、2024年Q2垃圾钓鱼邮件案例 7（一）垃圾邮件TOP10：教育培训为主攻手段 7（二）钓鱼邮件TOP10：官方伪装通知依然是主流 7（三）Q2垃圾钓鱼邮件典型案例样本 8四、2024年Q2暴力破解宏观态势 11（一）暴力破解虽减，防护意识需持续强化 11（二）暴力破解风暴眼：企业与教育行业成主战场 12五、钓鱼邮件溯源案例分析 13（一）“高温季节福利”溯源分析报告 13（二）“密码到期”溯源分析报告 14附录1 邮件安全人工智能实验室介绍 17附录2 CACTER邮件安全网关产品介绍 18组长主要编写人员刘磊 江嘉杰 伍伟彬 黄楚斯《2024Coremail邮件安全人工智能实验室和中睿天下邮件安全响应中心的专家们，他们对本报告的编写提供了专业的指导和宝贵的建议。Coremail邮件安全人工智能实验室（EmailSecurityAILab，简称“AI实验室”）是在Coremail的广泛应用场景、丰富大数据资源和顶尖科技人才的支持下成立的。AI实验室致力于在电子邮件安全防护领域实现AI技术的创新应用，包括自然语言处理、计算机视觉和大语言模型等前沿技术。通过这些技术，我们旨在提升电子邮件的安全性，为企业提供更加可靠的保障。一、2024Q2垃圾邮件概况分析（一）国内企业邮箱垃圾邮件增长态势明显，境外源大比重加剧挑战Coremail邮件安全人工智能实验室数据显示，2024年第二季度，国内企业邮箱用9.1亿封垃圾邮件，总量无论是环比（24.9%）还是同比（40.6%），呈大幅度增长态势，其中接近70%的垃圾邮件来自境外，进一步加剧了防护的难度与复杂性。图12023Q2-2024Q2境内外垃圾邮件攻击趋势图22024年Q2企业邮箱邮件类型分布在2024年第二季度企业邮箱用户收到的邮件构成中，正常邮件以46.78%的占比（共计7.99亿封）主导了邮件流量，然而，不容忽视的是，垃圾邮件的侵扰依然严重，其数量高达7.62亿封，占据了总邮件量的44.59%。各单位组织仍需要继续加强对垃圾邮件、钓鱼邮件和诈骗邮件的防范措施。（二）境外垃圾邮件攻击激增：美国及欧洲国家成主要威胁源2024年第二季度中，美国依旧是境外垃圾邮件的主要来源国，其次是乌克兰与马来西亚，为新的垃圾邮件攻击源，可能是境外垃圾邮件发送者，改变了攻击策略，选择了不同的邮件发送源或发件人地址，我们仍需加快提升国内网络防护能力。图32024年第二季度全球垃圾邮件攻击源TOP10国家在国内范围内，垃圾邮件攻击也几乎无处不在，尤其在经济繁荣的区域更为突出。具体来说，北京市（2448.3万封）、上海市（1103.3万封）、浙江省（887.8万封）和广东省（855.5万封），属于人口密集区和经济中心，信息技术基础设施方面较为发达，为大规模的垃圾邮件攻击提供了便利条件。图42024年Q2国内十大垃圾邮件攻击源头省份（三）TOP100垃圾邮件分析：教育行业为主要攻击目标AITOP100发送&接收垃圾邮件的域名，不难发现，教育行业仍然是垃3.32亿封。邮件是教育科研项目、教学数据、师生信息等敏感信息的承载体，教育行业的邮件安全更加不容忽视。图52024年Q2TOP100域名发送&接收垃圾邮件数量行业分布面对教育领域持续增长的垃圾邮件困扰，提出以下建议给各位邮件系统管理员：设置有效的邮件过滤和防护机制：学校和教育机构应使用针对垃圾邮件的有效过滤和防护技术，如使用邮件安全网关，及时拦截和清除垃圾邮件，减少对教育行业的干扰和危害。开展反钓鱼培训：提高师生的网络安全防范意识，通过定期的模拟练习，教会他们如何识别并防御垃圾邮件和诈骗链接。强化信息与账号防护：普及并推广个人信息加密及强密码使用的重要性，防止信息泄露成为钓鱼邮件攻击的跳板。推动高校安全合作：鼓励高等学府间的威胁情报共享，及时交流最新的邮件安全策略和防御技巧，共同提高校园网络的安全防护水平。二、2024Q2钓鱼邮件攻击动态（一）境外钓鱼邮件激增与隐蔽的境内攻击源在频发的网络安全攻击事件中，钓鱼攻击往往是黑客们的首选。2024年以来，钓鱼邮件数量持续增长，第二季度企业邮箱用户收到的钓鱼邮件数量达1.43亿，威胁态势依旧严峻，其中境外发送源达56.23，然而据AI实验室此前分析，虽然发件来源是境外，但钓鱼邮件中的文本、行文规范均符合国内的中文使用习惯，且钓鱼网站也都以仿冒境内网站为主，由此说明部分攻击的真实来源应是境内，只不过攻击者使用了境外服务器做为跳板，最终导致钓鱼邮件的境外来源数量远高于境内。图62023Q2-2024Q2境内外钓鱼邮件攻击趋势（二）国际邮件安全环境复杂严峻，北京为国内主要风险源近年来，随着互联网的快速扩张与全球化进程的加速，邮件安全议题日益凸显其重要性。我国正面临境外钓鱼攻击的不断攀升，数据揭示美国作为钓鱼邮件的主要发源地，其攻击比例较俄罗斯高出显著的60.7。图72024Q2境外钓鱼邮件攻击来源Top10国家从国内的钓鱼邮件攻击态势来看，第二季度国内各地的钓鱼邮件攻击均有上升的趋势，其中北京为钓鱼邮件的主要来源，发出钓鱼邮件攻击次数达到286.5万次。此外香港跃居前三，成为了活跃来源，让黑客团体更易进行网络钓鱼活动。图82024Q2国内钓鱼邮件攻击来源Top10省份（三）TOP100钓鱼攻击分析：教育与企业为攻击热点Q2&TOP100在行业比较集中，收到的钓鱼邮件数量排名TOP100域名的行业中，教育排名第一，约占钓鱼邮件总数的60（3914.1万封）；企业排名第二，约占26（1713.4万封）；排名第三的行业为IT互联网，占5（329.1封）。图92024Q2TOP100域名发送&接收钓鱼邮件数量行业分布大规模邮件通讯所涉及的大量高价值信息和账号资产，以及员工和用户端安全意识和培训水平参差不齐的现状，导致企业和教育类机构成为网络攻击的重要目标。攻击者可以运用社会工程学手段，通过伪装成相关角色（例如老师、合作伙伴、客户或上级主管）的身份，针对性地向特定用户发送钓鱼邮件，从而提高攻击的成功率。三、2024Q2垃圾钓鱼邮件案例（一）垃圾邮件TOP10：教育培训为主攻手段2024Q22024Q2热门垃圾邮件TOP10序号垃圾邮件主题邮件数（封）1【火热招生中】2024年人力资源管理师2562.3万2re:我是陈*飞，为企业提供礼品采购的企业1080.5万3re:鼓励客户比价的企业礼品采购服务！1076.9万42024年最全课程汇总（增：线上证书课，包括中级经济师，HRBP证书……）1014.9万5大客户开发与维护策略技巧588.7万6成交的秘密——高业绩顾问式销售技巧539.6万7中层经理管理能力提升419.9万8为了您自身的安全，我强烈建议您阅读这封电子邮件。367.2万9【火热招生中】2024年中级经济师（人力资源）346.2万10SalesNotification315.9万（二）钓鱼邮件TOP10：官方伪装通知依然是主流钓鱼邮件常伪装为系统通知或发票诈骗，这增加了账户被劫和数据泄露的风险。2024Q2热门钓鱼邮件TOP10序号钓鱼邮件主题邮件数（封）1关于邮件系统的通知393.4万2为了您自身的安全，我强烈建议您阅读这封电子邮件。151.7万3お支払い金額のお知らせ103.1万4【电子发票】您收到一张新的电子发票[发票号码:980750**]92.2万5邮件管理系统91.6万6邮件管理系统通知87.5万7ご利用明細更新のお知らせ81.6万8《薪酬津贴登记发放须知》81.4万9待办申报表80.2万10校内邮件管理79.2万7（三）Q2垃圾钓鱼邮件典型案例样本1、补贴诈骗通知类持续威胁102024Q21112024Q22122024Q232、各类冒充电子发票、诱导下载恶意软件图132024Q2垃圾钓鱼邮件案例43、冒充律师函、税务检查等图142024Q2垃圾钓鱼邮件案例54、冒充订单或询盘信息图152024Q2垃圾钓鱼邮件案例6图162024Q2垃圾钓鱼邮件案例75、系统账号密码登录类钓鱼图172024Q2垃圾钓鱼邮件案例86、比特币勒索诈骗邮件图182024Q2垃圾钓鱼邮件案例9四、2024Q2暴力破解宏观态势（一）暴力破解虽减，防护意识需持续强化在邮箱系统面临的盗号挑战中，暴力破解作为一种普遍且难以轻易忽视的攻击手段，其持续存在主要归因于两大核心要素。首先，使用单因素认证（密码）的身份校验方式，为攻击者打开了潜在的入侵门户，使他们看到了通过尝试多种密码组合来窃取账户访问权限的可能性。其次是部分用户习惯性使用弱密码，无意中降低了攻击者的破解难度及攻击成本。图192022年Q4-2024年Q2全域暴力破解攻击趋势根据AI实验室监测，2024年第二季度，全国企业级用户遭受超过21.4亿次暴力破解，相比于Q1的39.1亿次暴力破解，环比降幅约为45，无差别的暴力破解攻击大幅下降。但数据显示暴力破解攻击成功次数正在回升，推测可能是攻击者优化口令字典规则，其次加大了撞库攻击比例，导致破解成功率提高，因此管理员仍需保持警惕并采取必要的防护措施。图202022年Q4-2024年Q2全域暴力破解成功趋势（二）暴力破解风暴眼：企业与教育行业成主战场在24年第二季度，全国的企业用户遭遇了高达21.4亿次的暴力破解攻击，其中成功的破解次数达到912.7万次。数据显示，高危账号和被攻击域名主要集中在教育行业和企业，面临的安全威胁尤为严重。从用户体量上看，教育行业和企业账号数确实明显高于其他行业，在外暴露的攻击面广。对非活跃账号较难把控，如教育行业，许多大学的教职员工和学生使用的是初始设置的密码，加之大量学生邮箱长期不活跃，这使得邮箱账号非常容易被盗用且难以及时发现。而在企业，由于存储有大量的商业秘密、客户资料以及财务数据，暴力破解攻击变得尤为频繁。一旦攻击者成功获取账号，他们会从广撒网式的攻击转变为更为专业、针对性的攻击，如利用这些账号广泛发送垃圾邮件或发起特定的钓鱼行动。图212024年Q2识别高危账号及暴力破解攻击次数TOP100域名行业分布面对日益专业化的邮件威胁，教育单位和各大企事业单位应从邮件系统和安全教育等层面展开防范，强化安全教育，推广双重验证的使用。在邮件服务层面，可以增设邮件安全网关增强对假冒邮件的拦截，并确保启用双因素验证及特定的客户端密码以预防账户遭受侵害；对于用户的安全教育，可进行钓鱼邮件模拟训练，提升用户的防范意识。五、钓鱼邮件溯源案例分析（一）“高温季节福利”溯源分析报告1、概述邮件主题为《高温季节福利优化方案及实施通知》，经排查该邮件存在恶意的二维码，扫描后判断访问者环境，符合移动端特征后跳转至钓鱼画面，其目的诱导用户输入银行卡及支付密码等个人敏感信息。2、邮件分析正文分析邮件诱导收件人扫描邮件中的恶意二维码，当符合移动端特征后跳转至诱导用户输入银行卡及支付密码的钓鱼页面。恶意链接为：“hxxps://”目的在于窃取收件人的银行卡信息及盗取银行卡财产。链接分析访问跳转后的钓鱼链接“hxxps:///”，并替换移动端UA头，页面显示为钓鱼页面。如下图所示：3、网站分析分析网站信息时发现域名注册人为黎**—qwxxxxxxxxx6@**黎**—lxxxxx2@**4、黑产组织画像邮件主题：《高温季节福利优化方案及实施通知》邮件内容：以企业财务部门的名义发送“津贴发放通知，线上登记审核”邮件，目的为获取受害人银行卡信息、身份证号、手机号、银行卡密码等信息。黑产组织：各类企事业单位，活动的钓鱼网站链接2个。（二）“密码到期”溯源分析报告概述邮件主题为密码到期提醒，邮件正文中存在可点击按钮“立即修改密码”，点击跳转后链接为“”，诱导用户输入邮箱账号与密码。邮件分析正文分析邮件正文中的内容主要是诱导收件人点击修改密码链接。点击后跳转链接为：“”目的在于窃取收件人的邮箱账号与密码。链接分析通过跳转链接“”，发现其并未绑定ip，如下图所示：该跳转链接目前无法访问查询此域名对应的whois注册信息通过邮箱查询存在最近解析记录，如下图所示：溯源分析根据域名whois注册信息深入跟踪（图1），获取信息如下：姓名:王* 手机:15xxxxxxx97QQ:6xxxxx31 邮箱：4附录1 邮件安全人工智能实验室介绍Coremail邮件安全人工智能实验室（EmailSecurityAILab），依托于Coremail丰富的应用场景、海量大数据与一流科技人才，专注于将自然语言处理、计算机视觉、大型语言模型等AI智能技术应用于电子邮件安全防护领域的创新突破。目前邮件安全人工智能实验室已在反垃圾领域取得可喜成