2022年Q2垃圾郵件宏觀态勢
根據CAC郵件安全大資料中心(以下簡稱 CAC中心)顯示,全國企業郵箱使用者在2022第二季度年共收發正常郵件6.37億,占比45.7%。
普通垃圾郵件收發量高達6.72億,占比48.2%,而色情賭博類郵件、謠言反動類郵件、釣魚郵件數量分别為1137.4萬,3413.0萬,3949.0萬。盡管占比較小,但社會危害性大,從業人員仍需重點關注。
圖1:2022 Q2 CAC 識别郵件類型分布
根據CAC中心統計,2022 Q2全國企業郵箱使用者共收發各類垃圾郵件7.73億封,環比上升14.50%,同比上升16.55%。
圖2:2021 Q2--2022 Q2 CAC 識别垃圾郵件數量
CAC中心監測到垃圾郵件的發送者遍布全球。來自境内境外發送的垃圾郵件數量差距較小。其中,來自境外的垃圾郵件占企業使用者收到的垃圾郵件的50.13%,向全球發送了3.88億封垃圾郵件,
圖3:2021 Q2--2022 Q2 CAC 識别垃圾郵件來源統計
2022年Q2釣魚郵件宏觀态勢
2022年第二季度的釣魚郵件數量環比下降34.87%。盡管釣魚郵件數量有所下降,但本季度中使用附件進行攻擊的釣魚郵件及誘導使用者手機掃碼進入釣魚網站等手法演變出了更多更複雜的攻擊組合,尤其是引導使用者掃碼進入詐騙網站成為犯罪分子的新寵,這些變化都令安全從業人員面臨艱巨的考驗。
圖4:2021 Q2 -2022 Q2 CAC 識别釣魚郵件數量
圖5:2021 Q2 -2022 Q2 CAC 識别釣魚來源統計
根據Coremail郵件安全攻防專家劉骞分析“大量的釣魚郵件來源似乎以境外為主。而根據目前使用者回報的釣魚郵件樣本來看,雖然發件來源是境外,但釣魚郵件中的文本、行文規範均符合國内的中文使用習慣,且釣魚網站也都以仿冒境内網站為主,由此說明部分攻擊的真實來源應是境内,隻不過攻擊者使用了境外伺服器做為跳闆,最終導緻釣魚郵件的境外來源數量遠高于境内。”
2022年Q2釣魚攻擊IP歸屬地分析
從釣魚攻擊IP發送源分析,整個Q2季度,來自美國的攻擊IP來源始終保持排名第一,合計攻擊次數高達190.7萬,是排名第二——南韓的1.32倍。
圖6:Q2,2022 境外釣魚郵件攻擊來源Top10 國家
對比上期2022年Q1季報的國内釣魚郵件來源歸屬地能夠發現,Q1國内的主要釣魚來源是浙江,現在Q2轉變為湖北(詳見下圖),說明攻擊者在使用IP池輪詢的方式進行攻擊,這也提醒廣大安全從業人員,滞後性地添加IP黑名單很難起到理想的效果。
圖7:Q2,2022 CAC識别 釣魚攻擊來源IP歸屬地 TOP 10(境内)
2022年Q2企業郵箱暴力破解宏觀分析
根據CAC郵件安全大資料中心監測,2022年Q2季度,Coremail共攔截了93億4855萬次暴力破解攻擊。在郵箱系統盜号問題上,暴力破解是目前的突出難題。
圖8:2022 Q2 CAC 攔截 全域遭受暴力破解攻擊次數
對比2022年Q2暴力破解IP來源的歸屬地,來自境内的暴力破解次數遠高于境外,正好與釣魚郵件來源相反。
圖9:2022 Q2 暴力破解 IP來源 Top10歸屬地(境外)
圖10:2022 Q2 暴力破解IP來源 Top10歸屬地(境内)
主要原因為:目前黑産進行暴力破解的主要手法為通過動态IP代理長時間持續對smtp端口進行爆破,目前黑産動态代理IP池集中于安徽省和江蘇省
圖11:2022 Q2 CAC 識别暴力破解攻擊次數TOP100 域名行業分類
圖12:2022 Q2 CAC 識别 高危賬号 TOP100域名行業分類
高危賬号主要集中在教育行業和企業。
其中的主要原因是:在外暴露的攻擊面廣、安全整改措施難推進、賬号管控未能形成标準體系
2022年Q2典型釣魚案例
【補貼】主題釣魚郵件以域内互發攻擊為主
Q1,CAC郵件安全大資料中心&中睿天下郵件安全響應中心監測到一批來自黑産組織的釣魚郵件,主題為【工資補貼通知】【《2022财務補貼聲明》】等,該組織通過誘導受害者輸入敏感資訊進行實時詐騙,中睿天下該郵件進行了深度溯源,郵件正文是工資補貼通知,在正文中放置了一張二維碼圖檔,誘導收件人掃描正文中二維碼。郵件附件的内容和郵件正文一樣,并未攜帶病毒和可執行檔案。
而在Q2,如圖所示,此類補貼詐騙釣魚郵件依舊活躍。
攻擊手法轉變為先盜号,使用被盜賬号僞裝為公司“财務部”“人事部”等公司内部相關人員,向域内大量傳播詐騙郵件,利用域内郵箱的高信用度躲避反垃圾反釣魚檢測、騙取“同僚”的信任。主題也發展為【XX月份補貼發放通知】【XXX+補貼】【XXX集團财務部-關于釋出最新補貼通知】。此詐騙郵件在5月份甚至導緻了某門戶郵箱網站員工受騙,引發了廣泛讨論。
圖13:Q1 工資詐騙類釣魚郵件
圖14:Q2 工資詐騙類釣魚郵件
Coremail已對攔截政策進行優化,同時将此類郵件的相關特征更新到雲端特征庫。目前CAC中心已實作對相似特征的有效攔截。
在全行業的圍剿下,黑産團夥狡猾地轉變了釣魚思路,釣魚郵件類型從正文展現變為附件型釣魚,将詐騙内容變為将内容存放至pdf、word、txt或其他加密附件中,以逃避企業郵箱廠商的反垃圾檢查或郵件網關攔截。
冒充Coremail郵件系統的釣魚郵件
冒充Coremail郵件系統登入的釣魚網站
冒充Coremail企業郵箱登入的釣魚網站
Coremail郵件系統是自主研發的大型企業郵件系統,是中國第一套中文郵件系統,目前在中國大陸地區擁有超過10億終端使用者。
由于市場占有率極大,Coremail長期以來一直是各大黑産團夥的攻擊重點,仿冒Coremail郵件系統登入頁面以騙取使用者的賬号密碼的釣魚網站層出不窮,盡管Coremail一直積極配合國家網警對此類釣魚網站進行打擊封禁,但仍有大量犯罪分子仿冒Coremail進行釣魚。
此類釣魚郵件通過高相似度冒充、仿造企業的郵件格式,包括了公司資訊、落款等。由于高仿的樣式,此類釣魚郵件通過正文内容十分難以識别,收件人需仔細确認發信人位址;在不小心點進了釣魚連結後,也需反複确認網址連結是否正确。此外,如果此類釣魚郵件出現在公司内部郵箱中,很可能是由于已有公司員工中招,攻擊者利用該員工賬号在公司内部發送釣魚郵件,如果發件人不屬于公司人力資源或财務部門,也基本可以判斷為釣魚郵件。
BEC商業電子郵件詐騙案例
據統計IC3網際網路犯罪報告的新研究表明,BEC攻擊占網絡犯罪造成的所有損失的近35%,使其連續七年成為最危險的威脅。
BEC攻擊防禦
在過去半年,Coremail安全産品CAC進階威脅防護功能月内就監測到18個商業詐騙案例,涉及16個客戶,即時檢測到在進行中的BEC攻擊,使客戶免受損失。
通常BEC 攻擊可以被分為九種類型,主要是根據攻擊者采用的欺詐請求方式進行分類。例如冒充供應商,員工或客戶進行發信釣魚,BEC通常伴随着多種攻擊手法混合,包括域名僞造,接管被盜帳戶等。
以下是Q2,CAC發現的詐騙案例,其中攻擊者就采用了域名模拟的手段(見下圖)
BEC域名僞造攻擊方法
對于此類BEC郵件,CAC異常安全系統在檢測過程中發現具有潛在攻擊可能的相似域名後,會即時發送相關告警資訊至管理者客戶,并公開危險賬号資訊以阻止向錯誤賬戶付款的發生。
對應的防禦手法還包括:域名仿冒檢測、域名資訊分析、郵件内容分析。