2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

CACTER發表於2022-04-27

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

Q1安全季報 更多精彩內容,完整版報告下載地址:

2022年Q1垃圾郵件巨集觀態勢

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

僅就正常郵件而言,統計顯示,全國企業郵箱使用者在2022第一季度年 共收發正常郵件僅佔6億2785萬,佔比48.17%。普通垃圾郵件佔比44.82%,嚴重影響郵件交流。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

根據CAC郵件安全大資料中心評估, 2022 Q1全國企業郵箱使用者共收到各類垃圾郵件6.75億封,相比2021年Q4季度環比下降11.5%,但對比去年Q1同比增長17.28%。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

根據Coremail監測,垃圾郵件的傳送者遍佈全球。其中,來自境外的垃圾郵件佔企業使用者收到的垃圾郵件的55.74%,向全球傳送了3.76億封垃圾郵件;境內傳送佔比44.2%,向全球傳送了2.99億封垃圾郵件。

2022年Q1釣魚郵件巨集觀態勢

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬


2022年第一季度的釣魚郵件數量環比增長10.74%。2021年至今,釣魚郵件傳送數量持續增長,相較 去年同期增長甚至高達81.31%,釣魚郵件攻擊已成為目前郵件系統的主要威脅之一。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

第一季度的釣魚郵件傳送源81.68%來自境外,高達4952.5萬。境內傳送僅佔比18.32%,只傳送了1110.6萬封釣魚郵件。

釣魚攻擊IP歸屬地分析

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬


2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬





2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬


從釣魚攻擊IP傳送源分析,整個Q1季度, 來自美國的攻擊IP來源始終保持排名第一,合計攻擊次數高達408萬。其餘區域排名存在波動,總體而言,越來越多的釣魚郵件正在被髮送給企業郵箱。

2022年Q1企業使用者收到的釣魚郵件量約佔使用者收發郵件總量的4.65%。平均每天約有67萬封釣魚郵件被髮出和接收。

暴力破解IP歸屬地分析

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

目前全球網路環境錯綜複雜,企業郵箱面對的威脅同等嚴峻,原通過“反垃圾郵件”進行單一的郵件安全保護,已經難以應對。

為此,Coremail新增監測“郵箱賬號暴力破解監測與防護,加強對賬號安全的保護,根據大資料中心監測,2022年Q1季度,境外暴力破解IP主要來源於美國,俄羅斯以及印度。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

IP來自國內的暴力破解次數持續上漲, 3月環比增幅高達157%,3月主要集中地區是江蘇,安徽,福建和江西。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

工資補貼型釣魚郵件溯源

概述

Q1 CAC郵件安全大資料中心&中睿天下郵件安全響應中心監測到一批來自黑產組織的釣魚郵件,主題為【工資補貼】該組織通過誘導受害者輸入敏感資訊進行實時詐騙,中睿天下該郵件進行了深度溯源,該黑產團伙的分析報告如下。

1.1郵件詳情

該封郵件正文是工資補貼通知,在正文中放置了一張二維碼圖片,誘導收件人掃描正文中二維碼。郵件附件的內容和郵件正文一樣,並未攜帶病毒和可執行檔案。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-郵件正文

黑產釣魚手法分析

攻擊者通過在正文和附件放置惡意二維碼,誘導收件人掃描二維碼,收件人掃描該二維碼後會跳轉到仿冒銀聯的頁面,該頁面誘導使用者輸入個人資訊及銀行卡資訊,所以該網站主要為獲取使用者姓名、身份證號、手機號和銀行卡號等資訊。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-釣魚頁面 2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-釣魚頁面


通過檢視釣魚頁面的前端JS發現該頁面呼叫api介面,域名為api.klh****.***,查詢api域名解析IP47.5*.*.***。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-API介面


對此域名進行埠掃描,發現開啟8888埠,訪問該埠為發現寶塔登入皮膚,由此可得出此釣魚為寶塔統一部署,從正面滲透進入寶塔難度極高。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-寶塔皮膚


對IP47.5*.*.***反查域名發現關聯200多個域名,因為運用了cname,真實繫結在此IP上的域名只有api.klh***.***和new.****.***。登入此域名發現為該黑產組織的總後臺。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-旁站查詢 2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-繫結域名查詢

黑產網站功能分析

通過總控後臺可以發現有眾多的分管後臺,同時由總控後臺可以編輯分管後臺的域名跳轉、續期、受害人提取等操作方式。因此可以判斷這是一個實行分銷制的黑產團伙。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-總控後臺


使用者功能處顯示所有受害者的姓名、銀行卡號、身份證號、手機號、支付密碼、IP地址\地區、線上狀態、使用裝置、操作記錄和新增時間等資訊。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-受害者詳情


提示跳轉處是釣魚網站收集受害者資訊頁面跳轉的規則設定。通過此頁面可以控制受害者的網頁跳轉階段,以及網頁的彈窗提示。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬 2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-訪問IP


黑產管理後臺同時可配置釣魚頁面和釣魚模板正文選擇,可以用來針對不同的受害者定向編輯模版。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬圖-釣魚後臺系統配置


4.1 黑產組織架構

通過對黑產業務的摸排,還原出黑產團隊的組織架構。由主團伙負責開發和維護建站模版,使用寶塔統一部署。在找到分銷的下線之後,為下線部署一個管理後臺,然後將一個隨機生成的域名繫結到釣魚伺服器上。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

圖-黑產架構1

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

圖-黑產架構2


相似黑產郵件預警

通過對黑產後臺的摸排,同時還掌握了一批未經利用的郵件釣魚模版。

可用於提醒員工一但收到的類似的簡訊或者域名請不要輸入任何的敏感資訊。

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

圖1-ETC模板

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬

圖2-新ETC模板

2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69999973/viewspace-2889063/,如需轉載,請註明出處,否則將追究法律責任。

相關文章