2022年Q2垃圾郵件宏觀態勢

根據CAC郵件安全大資料中心（以下簡稱 CAC中心）顯示，全國企業郵箱使用者在2022第二季度年共收發正常郵件6.37億，佔比45.7%。

普通垃圾郵件收發量高達6.72億，佔比48.2%，比如釣魚郵件數量為1137.4萬，儘管佔比較小，但社會危害性大，從業人員仍需重點關注。

圖1：2022 Q2 CAC 識別郵件型別分佈

根據CAC中心統計，2022 Q2全國企業郵箱使用者共收發各類垃圾郵件7.73億封，環比上升14.50%，同比上升16.55%。

圖2：2021 Q2--2022 Q2 CAC 識別垃圾郵件數量

CAC中心監測到垃圾郵件的傳送者遍佈全球。來自境內境外傳送的垃圾郵件數量差距較小。其中，來自境外的垃圾郵件佔企業使用者收到的垃圾郵件的50.13%，向全球傳送了3.88億封垃圾郵件，

圖3：2021 Q2--2022 Q2 CAC 識別垃圾郵件來源統計

2022年Q2釣魚郵件宏觀態勢

2022年第二季度的釣魚郵件數量環比下降34.87%。儘管釣魚郵件數量有所下降，但本季度中使用附件進行攻擊的釣魚郵件及誘導使用者手機掃碼進入釣魚網站等手法演變出了更多更復雜的攻擊組合，尤其是引導使用者掃碼進入詐騙網站成為犯罪分子的新寵，這些變化都令安全從業人員面臨艱鉅的考驗。

圖4：2021 Q2 -2022 Q2 CAC 識別釣魚郵件數量

圖5：2021 Q2 -2022 Q2 CAC 識別釣魚來源統計

根據Coremail郵件安全攻防專家劉騫分析“大量的釣魚郵件來源似乎以境外為主。而根據目前使用者反饋的釣魚郵件樣本來看，雖然發件來源是境外，但釣魚郵件中的文字、行文規範均符合國內的中文使用習慣，且釣魚網站也都以仿冒境內網站為主，由此說明部分攻擊的真實來源應是境內，只不過攻擊者使用了境外伺服器做為跳板，最終導致釣魚郵件的境外來源數量遠高於境內。”

2022年Q2釣魚攻擊IP歸屬地分析

從釣魚攻擊IP傳送源分析，整個Q2季度，來自美國的攻擊IP來源始終保持排名第一，合計攻擊次數高達190.7萬，是排名第二——韓國的1.32倍。

圖6：Q2,2022 境外釣魚郵件攻擊來源Top10 國家

對比上期2022年Q1季報的國內釣魚郵件來源歸屬地能夠發現，Q1國內的主要釣魚來源是浙江，現在Q2轉變為湖北（詳見下圖），說明攻擊者在使用IP池輪詢的方式進行攻擊，這也提醒廣大安全從業人員，滯後性地新增IP黑名單很難起到理想的效果。

圖7：Q2,2022 CAC識別釣魚攻擊來源IP歸屬地 TOP 10(境內)

2022年Q2企業郵箱暴力破解宏觀分析

根據CAC郵件安全大資料中心監測，2022年Q2季度，Coremail共攔截了93億4855萬次暴力破解攻擊。在郵箱系統盜號問題上，暴力破解是目前的突出難題。

圖8：2022 Q2 CAC 攔截全域遭受暴力破解攻擊次數

對比2022年Q2暴力破解IP來源的歸屬地，來自境內的暴力破解次數遠高於境外，正好與釣魚郵件來源相反。

圖9：2022 Q2 暴力破解 IP來源 Top10歸屬地（境外）圖10：2022 Q2 暴力破解IP來源 Top10歸屬地（境內）

主要原因為：目前黑產進行暴力破解的主要手法為透過動態IP代理長時間持續對smtp埠進行BAO PO，目前黑產動態代理IP池集中於安徽省和江蘇省

圖11：2022 Q2 CAC 識別暴力破解攻擊次數TOP100 域名行業分類圖12：2022 Q2 CAC 識別高危賬號 TOP100域名行業分類

高危賬號主要集中在教育行業和企業。
其中的主要原因是：在外暴露的攻擊面廣、安全整改措施難推進、賬號管控未能形成標準體系

2022年Q2典型釣魚案例

【補貼】主題釣魚郵件以域內互發攻擊為主

Q1，CAC郵件安全大資料中心&中睿天下郵件安全響應中心監測到一批來自黑產組織的釣魚郵件，主題為【工資補貼通知】【《2022財務補貼宣告》】等，該組織透過誘導受害者輸入敏感資訊進行實時詐騙，中睿天下該郵件進行了深度溯源，郵件正文是工資補貼通知，在正文中放置了一張二維碼圖片，誘導收件人掃描正文中二維碼。郵件附件的內容和郵件正文一樣，並未攜帶病毒和可執行檔案。

而在Q2，如圖所示，此類補貼詐騙釣魚郵件依舊活躍。

攻擊手法轉變為先盜號，使用被盜賬號偽裝為公司“財務部”“人事部”等公司內部相關人員，向域內大量傳播詐騙郵件，利用域內郵箱的高信用度躲避反垃圾反釣魚檢測、騙取“同事”的信任。主題也發展為【XX月份補貼發放通知】【XXX+補貼】【XXX集團財務部-關於釋出最新補貼通知】。此詐騙郵件在5月份甚至導致了某門戶郵箱網站員工受騙，引發了廣泛討論。

圖13:Q1 工資詐騙類釣魚郵件

圖14:Q2 工資詐騙類釣魚郵件

Coremail已對攔截策略進行最佳化，同時將此類郵件的相關特徵更新到雲端特徵庫。目前CAC中心已實現對相似特徵的有效攔截。
在全行業的圍剿下，黑產團伙狡猾地轉變了釣魚思路，釣魚郵件型別從正文展現變為附件型釣魚，將詐騙內容變為將內容存放至pdf、word、txt或其他加密附件中，以逃避企業郵箱廠商的反垃圾檢查或郵件閘道器攔截。

冒充Coremail郵件系統的釣魚郵件

冒充Coremail郵件系統登入的釣魚網站

冒充Coremail企業郵箱登入的釣魚網站

Coremail郵件系統是自主研發的大型企業郵件系統，是中國第一套中文郵件系統，目前在中國大陸地區擁有超過10億終端使用者。

由於市場佔有率極大，Coremail長期以來一直是各大黑產團伙的攻擊重點，仿冒Coremail郵件系統登入頁面以騙取使用者的賬號密碼的釣魚網站層出不窮，儘管 Coremail一直積極配合國家網警對此類釣魚網站進行打擊封禁，但仍有大量犯罪分子仿冒Coremail進行釣魚。

此類釣魚郵件透過高相似度冒充、仿造企業的郵件格式，包括了公司資訊、落款等。此類釣魚郵件透過正文內容十分難以識別，收件人需仔細確認發信人地址；在不小心點進了釣魚連結後，也需反覆確認網址連結是否正確。此外，如果此類釣魚郵件出現在公司內部郵箱中，很可能是由於已有公司員工中招，攻擊者利用該員工賬號在公司內部傳送釣魚郵件，如果發件人不屬於公司人力資源或財務部門，也基本可以判斷為釣魚郵件。

BEC商業電子郵件詐騙案例

據統計IC3網際網路犯罪報告的新研究表明，BEC攻擊佔網路犯罪造成的所有損失的近35%，使其連續七年成為最危險的威脅。

BEC攻擊防禦

在過去半年，Coremail安全產品CAC高階威脅防護功能月內就監測到18個商業詐騙案例，涉及16個客戶，即時檢測到在進行中的BEC攻擊，使客戶免受損失。

通常BEC 攻擊可以被分為九種型別，主要是根據攻擊者採用的欺詐請求方式進行分類。例如冒充供應商，員工或客戶進行發信釣魚，BEC通常伴隨著多種攻擊手法混合，包括域名偽造，接管被盜帳戶等。

以下是Q2，CAC發現的詐騙案例，其中攻擊者就採用了域名模擬的手段（見下圖）

BEC域名偽造攻擊方法

對於此類BEC郵件， CAC異常安全系統在檢測過程中發現具有潛在攻擊可能的相似域名後，會即時傳送相關告警資訊至管理員客戶，並公開危險賬號資訊以阻止向錯誤賬戶付款的發生。

對應的防禦手法還包括：域名仿冒檢測、域名資訊分析、郵件內容分析。

然而，由於BEC往往不攜帶可檢測的URL或惡意附件等釣魚特徵，因而能輕易地避開大多數成熟的安全防護技術，逃避郵箱系統的反垃圾反釣魚檢查，員工受騙後，最終給企業帶來不可挽回的巨大損失。

為了提高廣大郵箱使用者的郵件使用意識、安全防範意識和自我防護能力，Coremail郵件安全事業部也梳理了安全意識提升TIPS。從你我做起，合力打造良好的郵件安全生態環境。

攔截93億4855萬次暴力破解攻擊！Coremail&中睿天下發布2022年企業郵箱安全報告