2024年Q4企业邮箱安全报告

2024年第四季度企业邮箱安全性研究报告一、2024年Q4垃圾邮件概况分析 （一）Q4国内企业邮箱垃圾邮件达8.22亿封，58.73%来自境外 （二）美国境外“霸榜”，国内经济活跃区受袭 2（三）TOP100垃圾邮件分析：教育行业仍是垃圾邮件的“重灾区” 3二、2024年Q4钓鱼邮件攻击动态 4（一）2.1亿封激增，境内外威胁并存 4（二）境外多国上榜，境内香港居首 4（三）TOP100钓鱼攻击分析：教育与企业为攻击热点 5三、2024年Q4垃圾钓鱼邮件案例 6（一）垃圾邮件TOP10：账务交易提醒为主攻手段 6（二）钓鱼邮件TOP10：邮件系统通知升级为主流 6（三）Q4垃圾钓鱼邮件典型案例样本 7四、2024年Q4暴力破解宏观态势 （一）暴力破解：破解成功次数降低 （二）教育行业高危占比高，企业被攻击比例大幅上升 11五、基于盗号测试信的黑产攻击分析 （一）黑产盗号攻击综述 （二）黑产盗号使用的口令 （二）黑产盗取账号使用的工具 （四）黑产盗取账号使用的IP分布 （五）结论 附录1邮件安全人工智能实验室介绍 附录2CACTER邮件安全网关产品介绍 组长主要编写人员《2024年第四季度企业邮箱安全报告》是由广东盈世计算机人工智能实验室和中睿天下邮件安全响应中心的专家们，Coremail邮件安全人工智能实验室（EmailSecurityAILab，简称“AI实验室”）是在Coremail的广泛应用场景、丰富大数据资源和顶尖科技人才的支持下成立的。AI实验室致力于在电子邮件安全防护领域实现AI技术的创新应用，包括自然语言处理、计算机视觉和大语言模型等前沿技术。通过这些技术，我们旨在提升电子邮件的安全性，为企业1一、2024年Q4垃圾邮件概况分析（一）Q4国内企业邮箱垃圾邮件达8.22亿封，58.73%来自境外根据Coremail实验室数据表明，2024年Q4垃圾邮件总量环比Q3微降，同比去年涨15%。境外垃圾邮件威胁在增加，境内垃圾邮件占比环比降低，这或是因国内打击力度加大，也可能是攻击者策略调整。邮件安全领域的威胁形势始终在变。近年来垃圾邮件数量持续上升，邮件安全服务商运用机器学习、AI等先进策略，提升邮件筛选和过滤效率。但垃圾邮件发送者也在持续更新攻击手段，试图绕过传统防护。图12023年Q4-2024年Q4境内外垃圾邮件攻击趋势图22024年Q4企业邮箱邮件类型分布2随着垃圾邮件的持续蔓延，邮件安全风险日益复杂化，涵盖了钓鱼欺诈、广告、各类诈骗手段、恶意软件等多重威胁。在2024年第四季度，企业邮箱用户接收的正常邮件仅约8.94亿封（占比52.08%非正常邮件仍旧占据较大分量，而整体垃圾邮件数量则高达6.04亿封，占总邮件量的35.21%。为了有效防范垃圾邮件及网络欺诈攻击，企业必须加强持续监控、及时更新防护策略，并重视用户教育，以提升整体邮件安全防护能力。（二）美国境外“霸榜”，国内经济活跃区受袭第四季度境外攻击源数据显示，美国断层第一，高达1756万封，而其后的捷克、俄罗斯、法国不足其22%，这可能是钓鱼邮件的发信IP更加分散了，黑产使用了更多的IP地址来发送钓鱼邮件，有较大的随机性。图32024年Q4全球垃圾邮件攻击源TOP10国家国内垃圾邮件攻击分布存在明显地域特征，经济活跃地区首当其冲。北京、香港、上海、广东等地，人口密集、经济活动频繁，信息技术基础设施先进，这为垃圾邮件广泛传播创造了条件。攻击者借此更高效发送垃圾邮件，威胁当地网络安全与用户体验。具体数据显示，来自北京的垃圾邮件攻击量约为2844万封，香港约为1443.5万封，上海约为1187.6万封，广东省则为1179.5万封。图42024年Q4国内十大垃圾邮件攻击源头省份3（三）TOP100垃圾邮件分析：教育行业仍是垃圾邮件的“重灾区”经过AI实验室对TOP100垃圾邮件发送与接收域名的深入分析，教育行业依旧是垃圾邮件的主要接收对象，从用户角度，教育行业师生众多，年龄跨度大，安全意识薄弱，易被垃圾邮件的虚假信息诱惑，点击恶意链接或下载附件，成为垃圾邮件发送者的目标。邮件管理方面，不同教育机构的水平参差不齐。一些学校或机构缺少专业管理团队，无法及时更新安全补丁，也未部署先进的垃圾邮件过滤机制，导致邮件系统易被垃圾邮件突破。商业利益因素也不容忽视。教育行业与升学、培训、学术资源紧密相关，利益巨大。不法分子为推销课程、资料或虚假学术服务，选择大量发送垃圾邮件，以获取潜在客户。此外，社交与合作需求使得师生常在社交平台、学术网站等留下邮箱，增加了邮箱暴露风险，垃圾邮件发送者便能轻易获取这些信息，精准发送垃圾邮件。以上因素相互交织，让教育行业持续处于垃圾邮件的高风险环境。垃圾邮件不仅干扰师生正常的教学与学习，还可能导致信息泄露、遭受诈骗等安全问题。因此，教育机构亟需加强邮件系统管理，提升师生网络安全意识，共同应对垃圾邮件威胁，维护教育行业网络环境的健康与安全。图52024年Q4TOP100域名发送&接收垃圾邮件数量行业分布4二、2024年Q4钓鱼邮件攻击动态（一）2.1亿封激增，境内外威胁并存2024年伊始，钓鱼邮件数量呈显著攀升态势。至第四季度，企业邮箱用户所遭遇的钓鱼邮件数量竟高达2.1亿封，这一数据直观地反映出钓鱼攻击正愈演愈烈。境外来源的钓鱼邮件占比达到54.22%，占据了钓鱼邮件的主导地位。这些境外邮件具有更强的隐蔽性和难以追踪性。由于涉及不同国家的法律和网络监管环境，攻击者常利用国家间的信息不对称和网络安全防护水平差异来发动攻击。比如一些来自境外的钓鱼邮件，会伪装成国际知名企业或机构，利用国内用户对国际品牌的信任，诱导用户点击链接或提供个人信息。图62023年Q4-2024年Q4境内外钓鱼邮件攻击趋势境内钓鱼邮件占比为45.78%，虽然占比较境外稍低，但也不容小觑。境内钓鱼邮件往往更具针对性，会结合国内的热点事件、行业动态等进行设计。例如在电商促销季，会出现大量伪装成知名电商平台的钓鱼邮件，以订单异常、退款等理由诱导用户操作。（二）境外多国上榜，境内香港居首从钓鱼攻击IP地址溯源分析，美国发出的攻击IP数量独占鳌头，多达455.1万个。俄罗斯、韩国、荷兰等国家在钓鱼邮件攻击源头里同样占据关键地位。这意味着钓鱼攻击在全球范围内存在明显的地域聚集特点，暗示网络环境可能被不法分子利用，尤其是跨国企业和国际组织，必须强化安全防护工作，规避潜在风险。5图72024年Q4境外钓鱼邮件攻击来源Top10国家从钓鱼邮件的发送源TOP10服务器所在省份来看，香港跃升榜首1199.7万；对比Q3的278.9万，增长幅度较大。可能是由于香港在Q4期间某些特定的商业活动、网络环境变化或攻击者策略调整等因素，黑产新掌握了较多的香港IP资源，导致钓鱼攻击量急剧增加。作为国际金融中心，香港本身网络连接频繁且复杂，容易被攻击者作为跳板进行跨境网络攻击，导致钓鱼邮件数量显著增加，攻击者通过伪装成银行或金融机构发送钓鱼邮件，诱导用户泄露敏感信息。图82024年Q4国内钓鱼邮件攻击来源Top10省份（三）TOP100钓鱼攻击分析：教育与企业为攻击热Q4作为开学季，教育行业接收钓鱼邮件数量高达7953.1万，远超其他行业，在教育环境中，师生之间、学校与家长之间存在着高度的信任关系。攻击者可能利用这种信任，例如伪装成学校的管理人员发送关于学费缴纳、课程安排变更等邮件。教育行业需要加强邮件安全防护措施，包括实施更严格的邮件过滤和反钓鱼技术。而企业发送及接收钓鱼邮件较为活跃，由于其数据的高价值性，钓鱼攻击的威胁持续6存在，攻击者常常利用企业内部权力关系和工作流程的社会工程学攻击，让企业员工在不经意间打开这些钓鱼邮件，导致信息泄露或遭受经济损失。因而企业更需注重提高员工的安全意识，通过定期的安全培训和模拟钓鱼攻击演练，帮助员工识别和防范钓鱼邮件。图92024年Q4TOP100域名发送&接收钓鱼邮件数量行业分布三、2024年Q4垃圾钓鱼邮件案例（一）垃圾邮件TOP10：账务交易提醒为主攻手段第四季度的垃圾邮件数据揭示了当前邮件诈骗和垃圾邮件发送者采用的主要策略。以下为主题排名前十的垃圾邮件，以及其各自的邮件数量：12345test_for_525_per_test_tag_16789（二）钓鱼邮件TOP10：邮件系统通知升级为主流钓鱼邮件常伪装为邮件系统通知或员工款项津贴，这增加了账户被劫和数据泄露的风险。7123456789（三）Q4垃圾钓鱼邮件典型案例样本图102024年Q4垃圾钓鱼邮件案例1图112024年Q4垃圾钓鱼邮件案例28图122024年Q4垃圾钓鱼邮件案例3图132024年Q4垃圾钓鱼邮件案例4图142024年Q4垃圾钓鱼邮件案例59图152024年Q4垃圾钓鱼邮件案例6图162024年Q4垃圾钓鱼邮件案例7图172024年Q4垃圾钓鱼邮件案例8图182024年Q4垃圾钓鱼邮件案例9图192024年Q4垃圾钓鱼邮件案例10四、2024年Q4暴力破解宏观态势（一）暴力破解：破解成功次数降低根据AI实验室监测，2024年第四季度，全国企业级用户遭受超过42.2亿次暴力破解，整体趋势持续增长，黑产规模在不断增加，而Q4的成功次数仅528.2万，推测与2024年监管部门加强了邮箱账号被盗的通报力度相关，企业加强了账号管理，导致破解成功次数降低。图202023年Q2-2024年Q4全域暴力破解攻击趋势图212023年Q2-2024年Q4全域暴力破解成功趋势（二）教育行业高危占比高，企业被攻击比例大幅据数据显示，Q4的高危账号TOP100域名中，教育行业占比高达65%，是高危账号出现比例最高的行业。学校邮箱因其包含大量个人信息、学术数据和财务记录，而成为黑客攻击的优选目标。许多学校在安全措施上投入不足，密码管理松散，加上大量的目标账户，使得学校邮箱容易成为暴力破解和其他攻击手段的目标。黑客通过攻破邮箱账户不仅能窃取个人敏感数据，还可以利用其进行更大范围的网络攻击和社会工程学诈骗。因此，学校应加强邮件系统的安全防护措施，尤其是在密码管理、身份验证和账户监控方面，防止暴力破解和其他类型的攻击。企业在被攻击TOP100域名中占比43%，与高危账号相比，企业在被攻击的比例上大幅上升，接近教育行业。这表明企业账号不仅存在较高的风险，而且实际遭受攻击的情况也较为严重，需要加强安全防范措施。图222024年Q4识别高危账号及暴力破解攻击次数TOP100域名行业分布五、基于盗号测试信的黑产攻击分析盗号测试信是黑产在盗取邮箱账号后发送的测试性邮件，黑产在使用脚本进行批量账号破解时成功后，往往会发送一封测试信到自己的邮箱，其中大部分测试信会在标题和正文携带用户名、密码、登录地址等信息。黑产发送盗号测试信主要有两个目的，一是测试使用邮箱账号是否可以对外发信，二是在持续进行多大规模账号破解时便于收集和管理破解成功的用户信息。一个典型的盗号测试信内容如下：图23典型的盗号测试信案例2024年Q4，Coremail邮件安全人工智能实验室共监测到盗号测试信12833封，涉及受害邮箱账号3746个，受害域名1048个。监测到攻击者使用的邮箱933个，黑产使用的IP6524个。下面将针对黑产的盗号测试信，从不同维度进行分析：（一）黑产盗号攻击综述Coremail邮件安全人工智能实验室经过长期在邮件安全领域与黑产攻防对抗发现，目前邮箱账号盗取已形成了专门的黑色产业，从事邮箱盗号的黑产团伙已经掌握了专业工具和大量的IP资源池，同时分工合作形成了产业链。专业从事盗号的黑产团伙会使用专用的盗号工具，这些工具有开源的也有其他黑产制作出售的。这些工具可以导入账号和字典清单，对smtp、imap、pop3端口进行自动化暴力破解。由于web登录界面不同邮箱差异较大，且通常有图形验证码等安全措施，绝大多数黑产工具不针对web界面做暴力破解。同时盗号的黑产团伙会使用动态IP代理，在暴力破解期间持续更换IP，防止被封禁。目前黑产掌握的资源池已经非常庞大。黑产团伙盗取账号成功后，不一定会自己进行进一步利用，而是可能会出售。一些黑产团伙通过运营telegram群组和黑产商城出售被盗取的账号，同时他们也会从其他黑产团伙收购账号，以赚取差价。最终从事BEC诈骗和发送钓鱼、病毒、广告邮件的黑产会购买账号并进行恶意利用。图23黑产攻击分析由于黑产盗取账号使用的工具相对稳定，因此其攻击模式具有较明显的特征。多个黑产流程工具在盗号成功后会发送测试信，一是测试使用邮箱账号是否可以对外发信，二是在持续进行多大规模账号破解时便于收集和管理破解成功的用户信息。（二）黑产盗号使用的口令2024年Q4监测到盗号测试信涉及的被盗邮箱账号共3746个，其中3156个在标题或正文中包含账号口令，590个邮件中不带有口令。针对包含口令信息的3156个样本，我们分析了被盗账号使用的口令特征。被盗账号使用的口令主要分为以下三类：123456a、qwer@1234、asd123本次研究中发现使用常见弱口令导致被盗的账号占比已经非常小。此类口令并非常见的弱口令，甚至可能符合强口令复杂度要求，但是这类口令具有特定特征，攻击者很容易构造出此类口令。例如：姓名缩写@123456、姓名全拼2024、企业英文名称888本次研究中发现此类特定规则构造的口令占比非常高，造成了严重危害。此类口令无特定规律，攻击者无法通过邮箱账号登要素来构造。因此判断用户被钓鱼泄露，或者口令在社工库中泄露。本次研究的被盗账号中，使用常见弱口令的账号有158个，仅占5%；使用特定规则口令的账号多达2310个，占比达73.2%；使用其他规则口令的账号为688个，占21.8%。图242024年Q4被盗账号统计由此可见使用特定规则的口令已经成为账号被黑产盗取的主要原因，其占比高达73.1%。Coremail邮件安全人工智能实验室进一步分析了黑产构造特定规则口令字典的方式。攻击者会根据邮箱账号进行变形，构造暴力破解的口令字典。口令构造基本结构有三种：“账号名变形”+“常用数字组合”、“账号名变形”+“@”+“常用数字组合”、“账号名变形”+“常用数字组合”+“！”1、账号名变形：包括邮箱账号名、姓名缩写、姓名缩写大写、姓名缩写首字母大写、邮箱域名。2、特殊字符：@通常在中间通常在结尾。3、常用数字组合：包括常见数字串12345、123、1234、654321和年份2025、2024、2023等。假设爆破目标账号为lihua@，则根据黑产常用的规则，将构造口令字典如下：lihua@123、lihua@123456、lihua@2024、lh@123、Lh1234、LH123456、Lh1234!、LH123456!、coremail@2024、Coremail123456综上，本次研究发现黑产暴力破解盗取账号的主要方式是针对账号构造特定规则的口令字典，该方式占被盗账号的73.1%。如果用户规避掉黑产常用的口令构造方式，可以大幅提升账号安全性。（二）黑产盗取账号使用的工具本次监测到的黑产使用的暴力破解工具主要包括“smtpcracker”“SMTPCracker”“MadCatsmtp-Checker”等开源工具，非开源工具主要包括“sanmaoMailCracker.exe”“SMTPTESTERALLINONE”。图252024Q4黑产使用的暴力破解工具从统计数据来看，黑产使用最为普遍的smtp暴力破解工具是sanmaoMailCracker，从盗号测试信数量统计，占比高达54.9%。该工具疑似由国内黑产从业者开发，为exe工具，2024年该工具官网已经关闭，工具停止更新，但是现有版本仍然被广泛使用。从统计数据来看，使用该工具的黑产团伙喜欢使用国内代理IP，集中于江苏、湖北、辽宁三个省。同时，使用该工具的黑产收信邮箱域名集中于和163.com。图262024年Q4使用sanmaoMailCracker工具的国内代理IP及黑产收信邮箱域名综上，使用sanmaoMailCracker.exe的黑产代理IP和收信邮箱都集中于国内，说明该工具极可能是国内邮件盗号黑产最主要的暴力破解工具。（四）黑产盗取账号使用的IP分布针对2024Q4盗号测试信使用的IP分布进行分析。其中6749次攻击记录来自国内，6084次攻击记录来自国外。来自国内的攻击分布如下：图272024Q4盗号测试信使用IP国内攻击分布来自国外的攻击分布如下：图282024Q4盗号测试信使用IP国外攻击分布综上，黑产使用的攻击的ip地址分布来看，国内和国外基本相等。国内集中于江苏、湖北辽宁三个省份，其中江苏省达45.8%，说明国内黑产IP资源呈现明显的地区聚集性。攻击IP共分布在多达2950个C段，在整个Q4平均每个C段用于发送盗号测试信仅4.35次！这说明黑产已经掌握了大量的IP池资源。同时，针对IP和C段的封禁策略针对当前的黑产资源规模已经难以奏效。黑产使用的IPC段前十及次数如下：黑产使用的IPC段前十次数11.88.10034149.85.127180.123.227180.123.55180.104.184105.163.158220.173.12349.81.29114.230.109218.91.70通过对2024年Q4黑产盗号测试信的研究，Coremail邮件安全人工智能实验室得出以下关键结论：1、目前邮箱账号盗取已形成了专门的黑色产业，盗号测试信是黑产盗取账号成功的重要标志；2、黑产暴力破解使用的口令字典，大部分通过目标邮箱账号名变形生成，其他占比达到73.2%。黑产构造口令常用的规则为：“账号名变形”+“常用数字组合”、“账号名变形”+“@”+“常用数字组合”、“账号名变形”+“常用数字组合”+“！”，用户如果规避掉这种口令规则可以大幅降低账号被暴力破解的风险。3、黑产暴力破解最常使用的工具为sanmaoSmtpCracker.exe，占54.9%。同时该工具应为国内黑产使用的最主要暴力破解工具。4、黑产暴力破解使用的IP国内和国外数量接近。黑产国内IP资源呈现明显的地区聚集性，集中于江苏、湖北辽宁三个省份，其中江苏省达45.8%。附录1邮件安全人工智能实验室介绍Coremail邮件安全人工智能实验室（EmailSecurityAILab依托于Coremail丰富的应用场景、海量大数据与