1、 编写组 组长 林延中 裴智勇 主要编写人员 刘川琦 朱腾蛟 江嘉杰 邱嘉娜 中国企业邮箱安全性研究报告 由广东盈世科技计算机有限公司与奇安信集团联合为您提供,本联合报告的编撰获得了 Coremail邮件安全人工智能实验室、Coremail 邮件安全大数据中心以及奇安信行业安全研究中心相关专家的悉心指导和宝贵建议,在此表示感谢。主要观点 不论是从企业邮箱注册域名数、活跃用户数、还是邮件收发量等方面来看,国内企业级电子邮箱应用市场,都呈现出持续、稳定发展的态势。尽管垃圾邮件、钓鱼邮件的总量也有小幅增长,但带毒邮件数量��������已经呈现出逐年下降的趋势。这主要得益于邮件安全技术,特别是邮件反病毒技术的持续进
2、步。邮箱盗号问题仍然十分严重。2023 年,全国被盗企业邮箱账户多达 1022.2 万个,占全年活跃企业邮箱账号总量的 5.38%。由被盗企业邮箱账号发出的垃圾邮件多达 871.7 亿封。特别值得关注的是,邮箱盗号问题已经成为商业机密泄露、商业邮件诈骗等高危安全风险事件频发的重要诱因。同时,由“盗号”+“同域钓鱼”的攻击方式,也已经成为钓鱼邮件攻击的流行手段。来自全球的邮件安全威胁仍然十分严峻。美国仍然是国内垃圾邮件、钓鱼邮件和带�����毒邮件最大的海外发送源。同时,自 2022 年以来,俄罗斯、乌克兰也成为头部的恶意邮件发送源头。这在一定程度上表明,俄乌冲突的持续,也使两国的网络安全形势持续恶化,从
3、而被攻击者钻了空子。邮件钓鱼已经被普遍应用于网络安全实战攻防演习,是仅次于微信钓鱼的第二大演习社工手法,目标覆盖率达 22.6%。特别的,攻击队编写的钓鱼邮件水准通常远超一般黑产团伙:不仅邮件内容逻辑严谨、极具吸引力、极具迷惑性,而且攻击脚本还有可能使用多种免杀对抗技术和多重伪装技术。没有经过有针对性的安全意识培训,普通员工很难识破。新型邮件攻击技术的应用给邮件安全工作带来了严峻的挑战:基于 AI 技术的深度邮件伪造,�����不仅使得跨国邮件攻击更容易,也使攻击样本更加多样化、更具迷惑性;基于恶意二维码、加密压缩包的攻击方式使得邮件中的恶意链接、恶意附件更加难以识别;基于动态 IP 池的账号爆破方式,
4、也使很多传统的防爆破技术失效。“盗号”+“同域钓鱼”也使得域内通信不再可信。基于人工智能大模型的新一代邮件安全技术目前已经进入实战阶段,并已初步展现出显著优于传统邮件安全技术的识别能力和分析能力,或将成为未来邮件安全问题“破局”的关������键。摘 要 截止 2023 年底,国内注册的企业邮箱独立域名约为 528 万个,活跃的国内企业邮箱用户规模约为 1.9 亿。2023 年,全国企业邮箱用户共收发各类电子邮件约 7798.5 亿封。其中,正常邮件占比45.8%、普通垃圾邮件 40.5%、钓鱼邮件 7.4%、带毒邮件 5.8%、谣言邮件 0.24%,色情、赌博等违法信息推广邮件约 0.18%。从正常邮件
5、的发送量上来看,工业制造类企业全年发送的邮件数量最多,约为全国邮件发送总量的 18.6%,排名第一;交通运输占比 16.7%,排名第二;其次是媒体占比为 15�������.2%;教育培训、IT 信息技术、互联网等也都是邮件发送量较多的行业。从域名归属来看,国内企业邮箱收到的所有垃圾邮件、钓鱼邮件和带毒邮件,美国都是最大的海外发送源。同时,自 2022 年以来,俄罗斯、乌克兰也成为头部的恶意邮件发送源头。2023 年下��半年,由于某些中文邮件黑产团伙的突然活跃,导致国内企业邮箱收到的钓鱼邮件数量同比大幅增长 35.5%。年度最为流行的三种钓鱼邮件类型分别是身份验证/备案(36.1%)、补贴/退税(30.9%)
6、和�������升级/扩容(17.4%),三者之和占到了所有钓鱼邮件总量的 84.4%。2023 年,国内电子邮箱账号被盗规模高达 1022.2 万个,占全年活跃邮箱账号总量的5.38%;暴力破解是邮箱盗号最主要的手段,占到 2023 年邮箱异常登录行为检出总量的53.1%;由被盗号的电子邮箱发出的垃圾邮件,占到国内企业邮箱收到的所有垃圾邮件总量的 27.6%。从攻击技术与攻击方式来看,邮件安全问题呈现出以下几点主要趋势:AI 技术已被广泛用于恶意邮件的深度伪造;动态 IP 池已被广泛应用于邮箱爆破;邮箱盗号加同域钓鱼成流行攻击组合;带 logo 的恶意二维码、加密压缩的带毒附件均已成为逃脱安全检查首先攻击
7、方式。邮件钓鱼被普遍应用于实战攻防演习,是演习过程中仅次于微信钓鱼的第二大社工渠������道。想要更好的应对网络安全实战攻防演习,应当做好邮件安全意识教育工作。关键词:关键词:企业邮箱、垃圾邮件、钓鱼邮件、带毒邮件、加密压缩、同域钓鱼、动态 IP、暴力破解、账号安全 3 目 录 研究背景.1 第一章 电子邮箱应用形势.2 一、电子邮箱的使用规模.2 二、电子邮箱用户行业分布.3 三、电子邮件的地域分布.5 第二章 垃圾邮件形势分析.6 一、垃圾邮件的规模.6 二、垃圾邮件发送源.6 三、垃圾邮件受害者.�����7 第三章 钓鱼邮件形势分析.9 一、钓鱼邮件的规模.9 二、钓鱼邮件发送源.9 三、钓鱼邮件受害者.
8、11 四、钓鱼邮件的类型.11 ������第四章 带毒邮件形势分析.22 一、带毒邮件的规模.22 二、带毒邮件发送源.22 三、带毒邮件受害者.23 四、带毒邮件的类型.24 第五章 电子邮箱账号安全.25 一、邮箱盗号的规模.25 二、暴力破解的形势.25 三、邮箱盗号的影响.26 第六章 邮件攻击典型案例.27 一、仿冒国家部委发布虚假劳动补贴邮件.27 二、冒充合作伙伴伪造发票商务邮件诈骗.29 三、动态 IP 池爆破员工邮箱钓鱼重要客户.30�������� 四、某金融企业遭遇撒网式钓鱼邮件攻击.32 五、钓鱼邮件通知入群触发的群聊剧本杀.34 六、攻击队冒充 HR 给发送的加密带毒邮件.35 4 第七章 邮
9、件风险趋势分析.39 一、AI 用于邮件深伪使跨国攻击更难识别.39 二、动态 IP 池使邮箱爆破产业链更加完善.40 三、邮箱盗号加同域钓鱼成流行攻击组合.42 四、加标二维码成欺诈邮件攻击流行招式.42 五、加密压缩成带毒邮件反查杀首选方式.43 六、邮件钓鱼被普遍应用于实战攻防演习.43 附件 1 CACTER 邮件安全网关产������品介绍.45 附录 2 CAC2.0 防暴卫士产品简介.49 附件 3 奇安信网神邮件威胁检测系统.52 附录 4 奇安信观星实验室.55 1 研究背景 在中国当前网络空间形势下,社交网络日益发达,电子邮件发展至今已有几十年历������史,但仍是最重要的现代互联网应用之一。从
10、个人生活到�����工作场景的使用,邮件都在现阶段人们的生活中扮演着不可或缺的角色。近年来中国企业信息化办公程度逐年升高,更是大大促进了企业邮箱的使用,同时也使企业邮箱系统成为黑客入侵机构内部网络的首选入口。针对邮件系统在使用时存在的问题,奇安信行业安全研究中心联合 Coremail 邮件安全人工智能实验室、CACTER 邮件安全研究团队,自 2016 年起合作编撰中国企业邮箱安全性研究报告,截至今年已连续发布九年。报告数据主要来自 Coremail 与奇安信集团联合监测,报告内容以电子邮箱的使用、�����垃圾邮件、钓鱼邮件、带毒邮件为主体,从规模、发送源、受害者及典型案例等方面分析中国企业邮箱安全性。本报告结
11、合了 Coremail、CACTER 邮件安全与奇安信集团��������多年在企业邮箱领域的丰富实践经验及研究经验,相关研究成果具有很强的代表性。希望此份报告能够对各个行业、单位,开展以邮件防护为基础,增强完善整体网络安全建设,提供�������一定参考。2 第一章 电子邮箱应用形势 一、电子邮箱的使用规模 根据 Coremail 邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测,同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估,截止 2023年底,国内注册的企业邮箱独立域名约为 528 万个,相比 2022 年的 537 万个减少了 1.7%。活跃的国内企业邮箱用户规模约为 1.9 亿
12、,与 2023 年用户规模相比增长约 5.6%。2017 年至2023 年国内企业级电子邮箱独立域名与活跃用户规模变化趋势如下图所示:从电子邮箱的使用情况来看,2023 年,全国企业级邮箱用户共收发各类电子邮件约7798.5 亿封,相比 2022 年增长了 1.8%。平均每天收发电子邮件约 21.4 亿封。其中,正常邮件占比约为 45.8%,普通垃圾邮件占比为40.5%、钓鱼邮件7.4��������%、带毒邮件 5.8%、谣言邮件 0.24%,色情、赌博等违法信息推广邮件约 0.18%。与 2022�������� 年相 3 比:钓鱼邮件占比增长了 1.3 个百分点;病毒邮件、谣言类邮件、色情赌博类邮件的占比均有明显下降;
13、正常邮件和普通垃圾邮件的占比变化不大。仅就正常邮件而言,统计显示,全国企业邮箱用户在 2023 年共收发正常电子邮件约3571.7 亿封,比 2022 年增长 2.7%,平均每天发送正常电子邮件约 9.8 亿封,人均每天发送电子邮件约 ���5.2 封。不同于个人邮箱,企业邮箱的主要用途是办公。因此,同一机构内部邮件互发往往会比较频繁。抽样统计显示,2023 年������企业用户发送的电子邮件中,约 34.6%为机构内部邮件,22.7%为外部邮件,42.7%为内外通发邮件(收件人既有机构内部,也有机构外部)。二、电子邮箱用户行业分布 对中国政企机构独立邮箱域名的抽样分析显示,从域名注册量来看,工业制造类企业注
14、册的邮箱域名最多,占比为 30.6%,其次是交通运输行业占比 11.4%,外资机构占比 8.5%;还有互联网企业占比 7.7%,IT 信息技术占比 7.3%,金融行业占比 6.0%等,这些都属于电子邮箱使用独立域名较多的行业。4 如果从正常邮件的发送量上来看,工业制造和交��������通运输行业发送的邮件数量最多。工业制造类企业������全年发送的邮件数量,约为全国邮件发送总量的 18.6%,排名第一;交通运输占比 16.7%,排名第二;其次是媒体占比为 15.2%;教育培训、IT 信息技术、互联网等也都是邮件发送量较多的行业。具体占比如下图所示:对比独立邮箱域名注册量和邮件发送量,可以看出,就单个政企机构而言,媒体
15、、教育培训与医疗卫生等行业对邮件办公的依赖度最高。特别的,本次报告对.edu(教育)、.org(组织机构)和.gov(政府)三个域名的邮箱使用情况进行了分������析。其中, 邮箱域名在全国占比为 0.10%, 的邮箱域名占比约为 0.09%, 邮箱域名占比为 0.05%。而从正常邮件发送量上来看, 邮箱占2.84%, 邮箱占 0.77%, 邮箱占 0.19%。5 三、电子邮件的地域分布 统计显示,2023 年全国企业邮箱用户收发的邮件以境内收发为主。国内收发占 74.9%;海外收发 25.1%。从服务器的所在地来看,2023 年,国内企业邮箱服务器设在北京的数量排名第一,占比为 18.7%;上海排第二
16、,占比为 16.7%;杭州排名第三,占比 8.8%。6 第二章 垃圾邮件形势分析 第三章 垃圾邮件的规模 根据 Coremail 邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估,2023 年,全国企业邮箱用户共收到各类普通垃圾邮件 3158.4 亿封,约占企业级用户邮件收发总量的 40.5%,是企业级用户正常邮件数量的 88.4%。�����从最近三年的情况来看,普通垃圾邮件的收发量增速略低于正常邮件的收发量增速,其他恶意邮件的收发量持续下降。具体分布如下图所示:一、垃圾邮件发送源 从发送者邮箱域名归属情况来看,2023 年,全国企业邮箱收到的垃圾邮件中,来自国内的垃圾邮件最多,占总数的
17、38.6%,来自美国的垃圾邮件次之,占总量约 20.4%,第三是俄罗���������斯,约占 7.2%。下表给出了按照垃圾邮件数量统计的,历年垃圾邮件发送源国别归属排行 Top5。值得关注的是:从 2022 年开始,乌克兰和英国,超过了越南和印度,跻身垃圾邮件发送源的 Top5。而随着战争的持续,来自俄乌两国的垃圾邮件占比持续提升。这也在某种程度上说明,两国正在遭到越来越多的网络安全威胁。表 1 历年垃圾邮件发送源国别归属排行 Top5(按照垃圾邮件数量统计)2021 年 2022 年 2023 年 排名 国家 占比 国家 占比 国家 占比 1 中国 47.8%中国 41.9%中国 38.6%2 美国 18.
18、1%美国 19.4%美国 20.4%3 俄罗斯 6.3%俄罗斯 6.7%俄罗斯 7.2%4 越南 2.2%英国 1.9%乌克�������兰 3.7%5 印度 1.8%乌克兰 1.9%英国 2.8%其他 23.7%其他 28.�������3%其他 27.1%7 仅就国内情况来看,从发送者的域名归属地来看,来自江苏 的垃圾邮件发送者最多,占国内垃圾邮件发送总量的 14.2%,其次为北京,占比 13.9%,浙江排第三,占比 7.4%。下图给出了国内垃圾邮件发送源域名归属省份 Top10 及其垃圾邮件发送量占比情况。对发送垃圾邮件的邮箱域名进行抽样行业分析显示,2023 年,国内垃圾邮件发送源中工业制造行业占比最高,为 6.
19、8%;其次为教育培训,占比 6.4%;互联网企业排名第三,占比 5.5%。下图给出了国内垃圾邮件发送源行业分布。二、垃圾邮件受害者 从收到垃圾邮件的受害者服务器所在地来看,2023 年北京用户收到的垃圾邮件最多,共收到了占比高达全国 18.1%的垃圾邮件;其次为广东,收到了全国 15.0%的垃圾邮件;上海排名第三,收到了全国 12.6%的垃圾邮件。下图给出了国内企业邮箱用户中垃圾邮件受害者的省级行政区分布 Top10����。8 国内垃圾邮件受害者所在行业也比较集中,排名前十的行业收到的垃圾邮件数量,占垃圾邮件总数的 73.5%。其中,工业制造行业��������排名第一,约占垃圾邮件总数的 21.7%;教育培训排名
20、第二,约占 13.2%;排名第三的行业为交通运输,占 11.6%。具体 Top10 行业排名如下图所示。9 第四章 钓鱼邮件形势分析 一、钓鱼邮件的规模 在本章内容中,钓鱼邮件是指含有恶意欺诈信息的邮件,包括 OA 钓鱼邮件、鱼叉邮件、钓鲸邮件、CEO 仿冒邮件和其他各类钓鱼欺诈邮件,但不包括带毒邮件、非法邮件等。其中,鱼叉邮件是指针对特定目标投递特定主�������题及内容的欺诈电子邮件。相比一般的钓鱼邮件,鱼叉邮件往往更具迷惑性,同时也可能具有更加隐秘的攻击目的。而钓鲸邮件则是指那些专门针对企业高管或重要部门进行的鱼叉邮件攻击。而 CEO 仿冒邮件则是指冒充企业高管对公司员工����或某些部门进行的鱼叉邮件攻击
21、。根据 Coremail 邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估,2023 年,全国企业邮箱用户共收到各类钓鱼邮件约 577.1 亿封,相比 2022 年收到各类钓鱼邮件的 425.9 亿封增加了 35.5%。网络钓鱼攻击事件逐年增加,钓鱼邮件数量在 2021 年短暂抑制后,持续迅猛增长。钓鱼邮件作为网络攻击最常用的手段,可以说是自电子邮件诞生以来一直存在的安全威胁。2023 年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的 7.4%,平均每天约�������有 1.6 亿封钓鱼邮件被发出和接收。换种说法,即平均每个企 业邮箱用户每月会收到约 25 封钓鱼邮件。特别值得
22、一提的是,监测发现:自 2023 年下半年开始,出现了大量利用云服务平台投递钓��������鱼邮件的案例。二、钓鱼邮件发送源 根据 Coremail������ 邮件安全人工智能实验室与奇安信行业安全研究中心联合监测,钓鱼邮件的发送者遍布全球,其中,来自中国的钓鱼邮件最多,占国内企业用户收到钓鱼邮件总量的 48.4%;其次是美国,约占 12.4%;俄罗斯排名第三,约占 7.9%。下表给出了按照钓鱼邮件数量统计的,历年钓鱼邮件发送源国别归属排行 Top5。10 表 2 历年钓鱼邮件发送源国别归属排行 Top5(按照钓鱼邮件数量统计)2021 年 2022 年 2023 年 排名 国家 占比 国家 占比 国家 占比 1 美
23、国 41.0%美国 31.5%中国 48.4%2 中国 11.7%中国 18.4%美国 12.4%3 新加坡 5.3%俄罗斯 3.3%俄罗斯 7.9%4 印度 3.0%英国 3.1%乌克兰 2.7%5 加拿大 2.9%罗马尼亚 2.9%西班牙 1.8%其他 36.1%其他 40.8%其他 26.8%可以看出,2023 年,来自国内发送源的钓鱼邮件数量占比猛增,超过美国排名第一。具体来看,以下几个因素是导致这一情况�������出现的主要原因:1.大量新的中文邮件黑产团伙出现。从 2023 年第三季度开始,有大量专门针对中文用户的钓鱼邮件黑产团伙开始变得异常,从而导致来自国内的钓鱼邮件数量占比快速增长。2.云
24、服务平台被用来发送钓鱼邮件。发送源是国内的钓鱼邮件,特别是来自江苏等地的钓鱼邮件,有相当一部分是利用了某些云服务厂商平台的监管漏洞,大量注册邮箱来发送钓鱼邮件。3.部分高信誉域名邮箱账号被盗取。监控发现,存在部分国内高信誉域名邮箱账号(数量百万级/账号)被到之后,被用来大量发送钓鱼邮件的情况。4.临近年终时,又有大量冒充年终奖的钓鱼邮件攻击出现。上述多�������种因素,最终也导致 2023 全年钓鱼�����邮件数量有一个明显的增长。导致来自国内的钓鱼邮件数量达到钓鱼邮件总量的 48.4%。从国内钓鱼邮件发送源的服务器所在地来看,江苏发送的钓鱼邮件最多,有 16.6%的钓鱼邮件来自江苏的邮箱;另有约 13.1%的
25、钓鱼邮件来自四川;约 ������11.2%的钓鱼邮件来自北京。国内钓鱼邮件发送源发送钓鱼邮件数量 Top10 省级行政区分布如下图所示:11 三、钓鱼邮件受害者 从收到钓鱼邮件的受害者服务器所在地来看,北京用户收到的钓鱼邮件最多,有 29.2%的钓鱼邮件被发送至北京的企业邮箱用户;另有约 16.7%的钓鱼邮件被发送给广东用户;约13.2%的钓鱼邮件被发送给上海用户。2023 年国内钓鱼邮件受害者数量 Top10 省级行政区分布如�������下图所示:国内钓鱼邮件受害者所在行业也比较集中,排名前十的行业收到的钓鱼邮件数量,占钓鱼邮件总数的 73.0%。其中,工业制造行业排名第一,约占钓鱼邮件总数的 23.5%;交通运
26、输排名第二,约占 12.0%;�����排名第三的行业为教育培训,占 11.0%。具体 Top10 行业排名如下图所示。四、钓鱼邮件的类型 从具体内容来看,2023 年流行的钓鱼邮件主要有 8 种类型,分别是:身份验证/备案、12 补贴/退税������、升级/扩容、仿冒官网、虚假发票、虚假快递、系统退信、在线填单。其中,身份验证/备案类钓鱼邮件数量最多,占比约为 36.1%;其次是补贴/退税类钓鱼邮件,占比约为 30.9%;升级/扩容类钓鱼邮件排第三,占比约为 17.4%。Top3 之和占到了所有钓鱼邮件总量的 84.4%。具体分布,详见下图。下面将对 2023 年流行的钓鱼邮件类型做详细说明并举例。1.身份验证
27、/备案 这是一类专门诱骗受害者在虚假的钓鱼网站上,进行身份验证或身份备案的钓鱼邮件,目的是盗取受害者的账号、口令和个人信息。此类邮件诱骗受害者的理由多种多样,最为常见的是以保�������护邮件系统安全性为由要求用户进行身份验证/备案,具体理由包括但不限于离职员工邮箱管理、账号密码重置、异常登录通知等。下面几图是此类钓鱼邮件的真实案例。13 2.补贴/退税 这是一类专门冒充国家有关部门或公司人力资源部门,打着给员工发�������放补贴、办理退税等借口,诱骗企业员工登录钓鱼网站,以骗取受害人个人信息的钓鱼邮件。下面几图是此类钓鱼邮件的真实案例。14 3.升级/扩容 这是一类专门以系统升级或系统扩容等理由,诱骗受害者在钓鱼
28、网站上登录,从而盗取受害者账号、口令等信息的钓鱼邮件。下面几图是此类钓鱼邮件的真实案例。15 4.仿冒官网 这是一类专门冒充某些大型网络平台进行商业推广活动的钓鱼邮件。如冒充“LinkedIn”发布求职信息,冒充“中国制造网”发布商品询价信息等。只不过,邮件中提供的网址链接并非是真实������的网站平台,而是攻击者仿冒的钓鱼网站。受害者一旦按照提示登录或注册,就会导致个人信息被窃取。下面是一个攻击者仿冒国际知名招聘平台领英发出的钓鱼邮件。受害者只要点击邮件中的链接,就会������跳转到一个仿冒领英的钓鱼网站,再通过引导受害者进行注册、登录等操作,骗取受害者的个人信息。16 下图是浏览器打开仿冒领英的钓鱼网站页面截
29、图。17 5.虚假发票 这是一类专门通过发送虚假发票信息,诱骗受害者下载电子发票,从而盗取受害者个人信息和公司财务信息的钓鱼邮件。其中,还有部分此类邮件诱导受害下载的所谓电子发票,����实际上是木马、病毒等恶意程序。需要说明是,由于电子发票目前在生活、工作中的应用非常广泛,所以不论是单位或个人,收到电子发票相关的邮件,一般都不会感到意外,下载发票或点开附件都是常事。但如果总是习惯性的忽视正常发票邮件中可能夹杂的钓鱼邮件,就有可能给个人或企业造成重大的损失。下面几图是此类钓鱼邮件的真实案例。18 6.虚假快递 这是一类专门冒充快递公司,以结算、包裹等名义发出的钓鱼邮件。此类邮件或者是夹带恶意附件,或者
30、是通过钓鱼网站链接盗取受害者个人信息。下面两图分别是仿冒顺丰快递和美国邮政(USPS)发送的两封钓鱼邮件。19 7.系统退信/邮件阻断 这是一类非常特殊的钓鱼邮件。攻击者将含有恶意链接的钓鱼邮件,伪装成由邮件服务器自动发送的邮件异常通知或退信通知,诱导受害者点击钓鱼链接以获取被阻断、拦截或退信的电子邮件,从而盗取受害者的账号、口令和个人信息。下面几图是此类钓鱼邮件的真����实案例。�����8.在线填单 这是一类专门冒充公司内部职能部门,向员工发送通知信息,诱骗员工在钓鱼网站上填写账号、口令和个人信息等敏感信息的钓鱼邮件。例如,下面这封邮件就是攻击者冒充人力资源部,以绩效评定为诱饵,诱骗员工在线填单的钓鱼邮件
31、。20 9.其他诈骗邮件 除了上述最为典型的 8 种钓鱼邮件外,2023 年,还有其他很多不同类型的诈骗邮件出现。不过由于整体数量不大,这里不再做详细分类������,只是把一些典型案例做个举例。下图是声称有你的不雅视频,准备对你进行敲诈勒索�������的钓鱼邮件。21 下图是一封冒充国际有人向你求助的钓鱼邮件。下图是冒充律师事务所,发送虚假律师函件的钓鱼邮件。22 第五章 带毒邮件形势分析 一、带毒邮件的规模 根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心联合监测评估,2023年,全国企业级用户共收到约 452.3 亿封带毒邮件,相比 2022 年收到的 520.9 亿封带毒邮件相比,同比减少了
32、 13.2%。2023 年企业级用户收到的带毒邮件量约占用户收发邮件总量的5.8%。平均每天约有 1.2 亿封带毒邮件被发出和接收。二、带毒邮件发送源 Coremail 邮件安全人工智能实验室与奇安信行业安全研究中心对带毒邮件的发送源头进行了分析。据统计,带毒邮件的发送者多集中于北美洲与欧亚。其中,来自美国的带毒邮件最多占全球带毒邮件的 23.7%;匈牙利排名第二,占 18.5%;俄罗斯排名第三,占 7.0%。最近三年针对国内企业级用户发送带毒邮件的发送源全球分布及占比情况如下表所示。表 3 历年带毒邮件发送源国别归属排行 Top5(按照带毒邮件数量统计)20������21 年 2022 年 2023
33、年 排名 国家 占比������ 国家 占比 国家 占比 1 美国 36.8%美国 22.4%美国 23.7%2 中国 20.8%保加利亚������� 10.9%匈牙利 18.5%3 加拿大 4.7%中国 9.3%俄罗斯 7.0%4 荷兰 4.3%匈牙利 3.8%德国 3.7%5 德国 4.1%俄罗斯 3.2%中国 3.1%其他 29.3%其他 50.4%其他 44.0%对比过去三年的情况可以发现,美国始终是全球最大的带毒邮件发源地。而中国服务商对于带毒邮件的治理则有显著成效,带毒邮件发送量从 2021 年的占比 20.8%,连续大幅下 23 降至 2023 年的 3.1%。这也表明,在邮件反病毒领域,国内各大邮件服
34、务商已取得重大进展。三、带毒邮件受害者 从收到带毒邮件的受害者服务器所在地来看,2023 年北京用户收到的带毒邮件最多,全国占比高达 37.0%的垃圾邮件;其次为广东,全国占比 15.2%;上海排名第三,全国占比13.8%。下图给出了国内企业邮箱用户中带毒邮件受害者的省级行政区分布 Top10。国内带毒邮件受害者所在行业也比较集中,排名前十的行业收到的带毒邮件数量,占带毒邮件总数的 72.5%。其中,��������工业制造行业排名第一,约占带毒邮件总数的 21����.0%;交通运输排名第二,约占 12.7%;排名第三的行业为教育培训,占 12.5%。具体 Top10 行业排名如下图所示。24 四、带毒邮件的类型
35、通过对带毒邮件附件文件的后缀分析发现,.rar 和.zip 两种压缩格式最为常见,占比分别为 36.0%和 14.3������%。.xls、.gz 和.7z 分列第三到第五位。在排名 Top5 的后缀名中,4 个都是压缩文件格式。由此可见,压缩包是邮件攻击者最喜欢使用的病毒隐藏方式。不过,随着邮件反病毒技术的日益成熟,一般的压缩技术已经不能阻碍邮件反病毒引擎的查杀。25 第六章 电子邮箱账号安全 一、邮箱盗号的规模 盗号,是电子邮箱账号安全的主要问题。根据 Coremail 邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测显示:2023 年,国内电子邮箱账号被盗规模高达 1022.2万个,占全年
36、活跃邮箱账号总量的 5.38%。从过去几年的总体情况来看,邮箱盗号问题仍在持续加剧:2023 年国内企业邮箱账号被盗总量是 2019 年的近 2.2 倍;被盗账号数量在当年活跃邮箱账号中的占比也从 3.35%猛增到 5.38%。邮箱账号安全管理问题亟待加强。二、暴力破解的形势 暴力破解是邮箱盗号最主要的手段,占到2023年邮箱异常登录行为������检出总量的53.1%。26 从历年趋势来看,尽管暴力破解活动在所有异常登录行为中的占比逐年下降,从 2019年的 57.8%逐步下降至 2023 年的 53.1%,但占比仍始终保持在 50%以上。这也就意味着:“防爆破”目前仍然是电子邮箱账号安全的最大威胁。严
37、格禁止弱口令,采取有效的防爆破措施,对于电子邮件系统来说非常重要。三、邮箱盗号的影响 邮箱盗号问题带来的一个直接影响,就是垃圾邮件、钓鱼邮件、带毒邮件数量的增加。统计显示,自 2020 年以来,利用被盗号的邮箱发送垃圾邮件的活动就一直非常活跃。2022年高峰时期,由被盗号的电����子邮箱发出的垃圾邮件,曾一度占到国内企业邮箱收到的所有垃圾邮件的 31.6%。2023 年虽然比例有所下降,但占比也高达 27.6%,共计约 871.7 亿封。除此之外,邮箱账号被盗,还会引发商业机密泄露、商业邮件诈骗等风险发生。2023 年最新相关案例将在“第六章 邮件攻���击典型案例”中进行介绍。27 第七章 邮件攻击典型
38、案例 本章主要介绍 2023 年,各种流行的邮件攻击典型案例,并结合案例实际情况,给出鉴别相关邮件真伪的方法及安全建议。一、仿冒国家部委发布虚假劳动补贴邮件 2023 年 2 月,某单位职员小孙的工作邮箱收到一封名为最新个人通知的邮件,发件人签名为“財務部”,主要内容为“关于 2023 年个人劳动(补贴)申领通知”,并提示“过期将作废”。邮件附有一份名为“重要通知.docx”的附件。看到“过期将作废”的提示,小孙不疑有他,赶紧打开邮件,看到如下正文内容。文中宣称,扫描文件中的二维码,可以申请到 1000 元以上的劳动补贴。扫描附件中的二维码之后,小孙开始����“申领”所谓的“劳动补贴”,并按页面要求
39、填写 28 了包括姓名、身份证、手机号、卡内余额等个人信������息;最后小孙还根据收到的短信,在页面上填写了一个短信验证码;随后,他便看到页面提示:“系统认证中,请勿刷新页面”。紧接着,小孙就�������收到了银行发来的 4000 元转账通知短信。此时,小孙才确认,自己上当了。事实上,这种打着劳动补贴名义实施的钓鱼邮件诈骗活动,自 2021 年起就一直处于持续流行状态。邮件内容大多是打着人力资源部或财政部的名义发放“劳动补贴”,只不过扫码之后的钓鱼网站页面有多种不同变化而已,但大多都会套取身份信息和银行卡信息。骗子们在获得关键信息后,就会开始盗刷网银,并诱骗受害者在钓鱼页面上填写验证码,从而完成盗刷转账活动。此类
40、诈骗手法之所以会绕过很多邮件安全防护系统,主要是因为攻击者将诈骗信息进行了多层隐藏:攻击者没有将恶意网址以链接的形式直接写在正文中,而是将恶意网址以二维码的形式藏在了邮件的附件中。而邮件附件本身也不带毒,所以,除非邮件安全防护系统打开附件,并识别附件中的二维码后,才有可能判断出邮件的附件中含有恶意信息。不过,此类钓鱼邮件也是由明显的特征的,只要掌握识别方法,还是可���以通过“肉眼”轻松识破的。以下几点可以参考。鉴别方法鉴别方法 1.任何国家部委机关都不可能直接给普通的个人邮箱发送邮件。所以,来自任何国家机关的“广告式”邮件一定都是诈骗。2.如果真是国家有关部门发出的正式邮件,发�������件人的邮箱后缀一版都
41、是“.gov”,而不可能是任何其他后缀。3.以 Word 文��������档、压缩包为附件,也是比较明显的恶意特征。政企机构给员工发邮件,附件一般都是 PDF 格式。4.陌生人发来的邮件中包含二维码也是明显的恶意特征。如果是真正的公益信息或需要向公众广而告之政务的信息,不论是通过短信还是邮件,一般都会直接给出短信链接,收件人直接点开就可以了,很方便。而采用扫码的方式,二维码还藏在附件 29 当中,显然要麻烦一些,只有当攻击者想要隐藏链接防范安全系统识别时,才会采用这种方式。下面三图分别是冒充公司人力资源部发放“工资津贴”、“个税申报”的钓鱼邮件,以及冒充财政部发出的夏季高温补贴邮件。同样是要求扫码申请,相关
42、套路大同小异。二、冒充合作伙伴伪造发票商务邮件诈骗 2023 年 11 月下旬,某知名外贸公司财务人员收到一封来自境外合作伙伴的邮件,说明有一张发票即将于 11 月 29 日到期的,希望该外贸公司能尽快付款。30 该邮件有两个附件,一个附件是即将到期发票的电子版,一个附件是关于收款账号的变更说明。由于该外贸公司与该合作伙伴已有多年合作,发件人也与该财务人员有过多次的历史邮�����件往来,业务沟通均很正常。于是,该财务人员没有怀疑,便开始走财务付款流程,准备向邮件中指定的新的收款账户支付款项�����。在该公司财务人员收到此封邮件的当天,Coremail 邮件安全人工智能实验室在对企业邮件流进行常规监测时,发现这
43、封邮件实际上是一封精心伪造的钓鱼邮件,其主要危险特征包括:发票即将过期、收款账号变更、发件人邮箱无企业注册等。于是,实验室立即向该外贸公司网络安全部门发出风险提示,及时阻止了此次风险交易。进一步追踪调查发现:实际上,攻击者是一个长期从事钓鱼邮件攻击的黑产团伙。该团伙早在数月之前,便已经成功盗取了该外贸企业合作伙伴的多个员工邮箱,并结合历史邮件内容,精心编写了十余封�������仿冒业务邮件,并通过一个域名与合法邮箱域名极其相似的邮箱(合法域名为 cooc*,黑产团伙注册的域名为 coooc*)与该外贸企业持续沟通,以此获取对方信任。钓鱼邮件中的发票完全是精心伪造的假发票,所谓“即将过期”的托词,也只是为了不
44、给目标财务人员更多的���思考时间,从而增加诈骗成功的概率。鉴别方法鉴别方法 对于此类商业邮件诈骗(简称 BEC 诈骗),一般可以通过以下方式进行鉴别:1.信息核实。当收到收款方式变更邮件时,一定要通过电话、短信等多渠道进行核实。2.账号验证。对公支付,绝������不能转账给个人银行账号。即便是对公账号,也要确认账号和收款企业之间的关系。3.发票鉴伪。不论收到纸质发票还是电子发票,都应当通过国家税务总局官网“发票查验”功能对发票进行真伪验证。4.邮箱后缀。应仔细比对邮箱后缀以确保发件人邮箱并非仿冒。但需要说明是,即便邮箱是完全合法的,也仍然需要做前面三条验证,因为不能排除攻击者会首先盗取合法邮箱账号,再用盗取
45、的邮箱发动攻击的可能性。三、动态 IP 池爆破员工邮箱钓鱼重要客户 2023 年 11 月,某制造业企业员工 ������Emily 接到海外客户电话,向其核实一封电子邮件的真实性,因为客户认为,该邮件所给出的链接不像是该公司的官网网址。Emily 查看自己的邮箱,并未发现客户所说的邮件。但从客户提供的截图来看,邮件确实是从她的邮箱发出的。Emily 立即向公司网络安全部门报告。网络安全部门通过邮件安全日志审计发现,攻击者早在此前 3 天,就已经成功异地登录了 Emily 的邮箱。有明显迹象表明:攻击者是在仔细研究该公司相关业务及邮件通信习惯后,才使用 Emily 的邮箱给客户发送了一封精心伪装的钓鱼邮件
��������46、。不仅如此,攻击者还冒充公司某内部职能部门,给十余位同事发送了其他内容的钓鱼邮件,已经有多位同事点开了钓鱼链接,多个相关账号已被异地异常登录。被盗邮箱中包含公司多份商业机密数据文件,疑似已被泄露。攻击者在使用 Emily 的邮箱发送多封钓鱼邮件后,又及时将本地和云端的发件箱中的钓鱼邮件删除,从而延缓了 Emily 发现邮箱被盗用的时间。这也是为何 Emily 没有在发件箱 31 中找到客户所述邮件的原因。该公司网络安全部门立即采取了紧急措施来控制损失,包括强制所有员工重置密码,启用双因子认证,并对内���部网络进行了彻底的安全排查。这一事件虽然暂未给公司带来直接的经济损失,但已有重要商业机密被窃取,
47、同时也失去了重要客户的信任。那么,Emily 的邮箱是如何被盗的呢?调查显示,Emily 的邮箱密码并非流行弱口令,但密码复杂度不高,理论上是可以进行暴力破解的。而该公司邮箱也设置了一些基础的防暴破措施,如限制了短时间内同一 IP 的登录次数。但是,邮件安全系统日志显示,自 202��������3 年 10 月初,攻击者就一直在尝试对 Emily 的邮箱进行暴力破解。只不过,这个黑产团伙拥有一个庞大的动态 IP 池(疑似僵尸网络),可以在全球范围内动态更换 IP 地址,仅日志系统记录的用于爆破 Emily 邮箱账号的 IP 地址就有 1 万多个。黑产团伙还设计了一个自动化脚本,利用 IP 池对 Emily
48�������������、的邮箱账号进行暴力破解,持续更换 IP 对 smtp 端口进行登录尝试。为了避免触发邮箱服务的安全警报,他们对每个 IP 地址的尝试次数进行了限制,并确保每次尝试之间有一定的时间间隔。经过数周的不懈尝试,这个黑产团伙最终于事发前三天完成爆破,登录成功。下图是系统记录的攻击者的爆破记录,其中标红的就是爆破成功的记录。事实上,发生在 Emily 身上的事件并非个例。动态 IP 池的存在让黑产团伙能够在全球范围内针对各行各业进行网络攻击,从盗取个人信息到暴力破解邮箱账号,无所不用其极。而传统的基于 IP 频率限制的安全策略已经不够用了。攻击者可以通过不断更换 IP 地址来规避这种限制,使得这种防御措
49、施变得无效。因此,需要从更根本的层面加强防护。鉴别方法鉴别方法 想要全面杜绝基于动态 IP 池的网络爆破,需要采用一些高级的网络安全技术,如双因子认证、弱口令检测、零信任体系等。但对于已经被盗号的邮箱发出的钓鱼邮件,还是有一定方法可以识别的。32 1.对于邮件中包含的网址链接,一定要认真核对,以确保网址是合法的。2�������.公司职能部门发送的邮件,通常都是大面积群发的,如果只是有少数几个收件人,就应当更加谨慎的甄别邮件的真实性,最好向相关部门负责人进行核实。3.如果邮件链接要求输入账号登录或输入个人信息,应核实页面网址是否为 https 开头。如若不是,则极为可能是钓鱼邮件。4.如果邮件内容涉及财务账
50、号变更、交易支付等敏感内容,最好通过电话、社������交软件等邮����件之外的方式向对方核实信息的真实性、有效性。四、某金融企业遭遇撒网式钓鱼邮件攻击 2023 年 3 月末,某知名投资公司业务经理李先生先后收到两封看似是来自邮件服务商和公司网络安全部门发出的邮件,标题是“紧急:邮箱安全备案更新通知”。邮件内容称,由于最近公司内部系统升级,所有员工必须重新进行邮箱安全备案,以确保账户的安全性。邮件还附带了一个链接,指引员工前往相关页面更新自己的信息。由于邮件看起来非常正式,且本单位确实经常发布各种信息安全相关要求,所以李经理没有多加思考,便点击了链接,并按照页面提示输入了自己的邮箱账号和密码。然而,不久后,李
51、经理就发现自己无法登录邮箱,如下图所示。而且一些重要客户开始询问为什么会收到奇怪的投资建议邮件。33 原来,李经理先前收到的邮件是一起精心策划的撒网式钓鱼攻击。所谓“撒网式”,是指攻击者发起的大规模的、无特定目标的钓鱼攻击。与李经理同时������遭到攻击的,还有本单位很多同事及不少行业同仁。攻击者巧妙的利用了金融行业网络安全部门具有很大“权威性”的特点,冒充网络安全部门,精心伪造了看似官方的通知邮件,引诱员工点击恶意链����接并泄露自己的登录凭证。一旦获取了这些凭证,攻击者便可以轻易访问李经理的邮箱,窃取敏感的投资信息,并冒充他向客户发送虚假信息。由于李经理是公司里的资深投资顾问,负责管理重要客户的投资组合。
52、李经理的邮箱中有大量与客户交流的敏感信息。因此他的邮箱账号被盗,导致大量金融敏感信息和客户数据�������被泄露。经过紧急调查,该投资公司的网络安全部门也发现了这起钓鱼攻击事件,并采取了措施来控制损失。该事件也�����给李经理的职业生涯带来了不可挽回的影响。公司随后进一步加强了内部的网络安全培训,提醒员工在处理任何要求输入账户信息的邮件时,必须格外小心,最好直接联系 IT 或网络安全部门进行验证。在 2023 年,撒网式钓鱼邮件仍旧是一种普遍的网络威胁,尤其是那些旨在盗取账号信息的邮件。这类邮件的手法通常很简单却异常有效:它们通过制造紧迫感或使用正式的措辞,比如声称用户的“邮箱账号即将到期”或需要进行“邮箱账号备
53、案”,来引诱用户点击链接。这些链接通常指向钓鱼网站,旨在骗取访问者的登录信息。一旦用户在这些钓鱼网站上输入了他们的邮箱账号和密码,这些敏感信息就会落入攻击者手中。随后,攻击者可以利用这些信息进行一系列恶意活动,比如发送更多的钓鱼邮件、盗取财务信息,甚至是身份盗窃。34 这种类型的钓鱼攻击之所以如此普遍,是因为它们能够以极低的成本覆盖大量潜在的受害者。此外,即便是对邮件安全有基本认识的用户,在面对设计巧妙的钓鱼邮件时,也可能会在不经意间落入陷阱。鉴别方法鉴别方法 企业防范邮箱盗号最好的方法还是部署双因子认证。�������不过,对于撒网式钓鱼邮件,也还是可以通过一些安全意识提升来进行防范的。1.邮件中的“紧急
54、通知”大多有假 政企机构 IT 部门或网络安全部门发布的通知,通常都会给员工留出充分的操作时间。标明“紧急”的邮件,往往都是别有用心的。如果 IT 部门或网络安全部门确实需要发布紧急信息,且必须限时完成的,一般都会通过多种渠道进行宣传,不会只通过邮件来做“重要且紧急”的通知。2.备案、升级等都是钓鱼话术 但凡使用邮箱备案、安全升级、邮箱搬家、幽灵账号(长期无人使用的账号)清理等借口,要求用户通过指定链接进行登录的,全部都是钓鱼邮件。正常情况下,IT 部门或网络安全部门������只会要求员工正常登录自己的邮箱系统后再进行安全操作或升级操作。3.http 网址不能进�����行安全登录 如果邮件中给出的网址链接不是
55、https 的,而是 http������� 的,同时还要求用户输入账号密码或敏感个人信息的,一定是钓鱼网站。因为登录信息和个人敏感信息,是一定要进行加密传输的,必须使用 https,而 http 型网址不能加密。另外,https 的网址通常都需要更加严格的安全认证才能获取,黑产团伙一般无法获得。五、钓鱼邮件通知入群触发的群聊剧本杀 2023 年 12 月,某知名科技公司的财务主管张女士收到了一封据称是来自于人力资源部门的邮件。邮件内容是通知她加入一个新成立的工作 QQ�������� 群,以便于未来的工作沟通。邮件中附有一个 QQ 群号,并强调所有高层管理人员都已经在此群内。下面是邮件及邮件附件内容截图。35 出于对工作
56、的责任心,张女士没有多加思考,便加入了该 QQ 群。群里确实有几个看起来是公司高层的账号,包括 CEO 和部门经理。这些账号不时地发布一些工作相关的通知和指示,看起来一切都很正常。几天后,群内发布了一条紧急消息,声称公司需要立即向一个新的供应商支付一笔款项以确保项目的顺利进行,而且这项操作需要保密,以避免竞争对手的干扰。消息指出,由于IT 部门的邮箱系统正在维护,因此通过这个群直接通知财务部门������处理此事。由于群内有多位“领导”同时确认了这一消息的紧急性和真实性,张女士感到有些压力。考虑到项目的重要性,她决定遵从指示,将款项转账到提供的账户中。然而,当张女士在几天后与公司 CEO 见面时,却惊讶地
57、发现 CEO 对这笔款项一无所知。经过进一步的调查,公司意识到这是一起精心策划的������加群诈骗案件。攻击者通过仿冒公司高层的 QQ 账号,在群内制造了一个完美的骗局。由于张女士未能�����识别这一诈骗行为,导致公司损失了一大笔资金。加群邮件诈骗是一个近两年来出现的较为特殊的诈骗模式,攻击者首先盗取内部员工邮箱,再仿冒公司内部组织发布通知,诱使财务人员加入特定的即时通讯群组(如 QQ 群),并在群内通过假冒公司高层领导的账号发布虚假指令,最终诱导员工进行非法转账的网络诈骗手段。攻击者在群内通过伪装成日常工作讨论的剧本建立信任,然后趁机发出转账请求,从而达到盗取公司资金的目的。这种诈骗手段的危害在于其高度的伪装
58、性和对内部员工信任机制的滥用,给组织的财务安全带来严重威胁。鉴别方法鉴别方法 加群邮件诈骗虽然设计精巧,但通过有效的安全意识培训,也是完全可以避免的。1.企业内部沟通,应当使用企业级社交软件。应教育员工不得通过个人社交软件沟通内部工作。QQ、微信等常用个人社交软件,应当被严格排除在内部工作沟通之外。2.财务人员属于网络攻击高危人群,应接受更加有针对性的网络安全意识培训。3.对于通过非正常渠道下发的任何财务信息,一定要通过其他可信渠�����道向“消息发布者”或主管领导进行二次确认。4.“紧急”、“保密”等提示信息都是网络诈骗活动中经常出现的高频词汇,目的是不给诈骗目标以充分思考的时间和求证核实的渠道。越
59、是见到这些词汇,越是应当冷静和理智的应对。六、攻击队冒充 HR 给发送的加密带毒邮件 2023 年 7 月,在一次大规模网络安全实战攻防演习活动中,某大型企业在邮件服务商 36 和网络安全团队的合作下,截获了一封来自攻击队的、主题为“部分技术人员涨薪通知”的带毒邮件。邮件以员工最关心的薪酬通知为话题,引诱用户打开带毒附件。该企业随即启动了������内部安全审计,发现已有部分员工下载并打开了该邮件的附件。网络安全部门随即将已经中招的设备做了封禁处理。下图为邮件正文内容截图。邮件的附件为一个加密压缩包。表面上看,将压缩包加密的目的似乎是所谓的“保密”,但实际上,攻击�����者这样做的目的,是为了为防止邮件安全网关对
60、邮件附件进行反病毒查杀。尽管目前世面上的绝大多数邮件安全网关都已经具备对常用文档、常见压缩格式文件的病毒查杀能力。但攻击者将压缩包加密,就大大增加了反病毒引擎的识别难度。安全技术人员在隔离环境下将加密压缩包进行解压测试,得到一个名为“员工工资变动申请表.doc”的快捷方式文件和一个隐藏文件夹,快捷方式的图标为 Word。由于 Windows 系统默认不显示快捷方式文件(lnk 文件)的后缀,所以从普通用户的角度看,解压后的文件似乎是一个常见的 Word 文档。通过邮件查看快捷方式属性可以发现,这�������个看似 Word 文档的快捷方式,一旦运行,就会执行以下命令:37 C:WindowsSystem3
61、2cmd.exe C:WindowsSystem32cmd.exe/c._M.DOCXcopy.bat&exit 命令执行的结果就是运行隐藏文件夹中的 copy.bat 脚本。copy.bat 脚本的功能是把同文件夹下的 DS 文件拷贝到临时文件夹并重命名为 ihost.exe,并且运行。ihost.exe 是最终的恶意载荷,是一个远控木马。木马程序被调起运行后,bat 脚本将删除 DS 和 lnk 文件,以清理痕迹,同时打开一个无害的 doc 文档,以便迷惑用户。最终用户在完全不知情的情况下被植入了远控木马,攻击队可以利用远控木马持续监听用户口令以及������查看用户本地文件。实事求是的说,演习中攻击
62、队编撰的这封钓鱼邮件,水准远超一般黑产团伙:一方面,邮件内容不仅逻辑严谨、极具吸引力,而且极具迷惑性;另一方面,攻击脚本还使用了多种免杀对抗技术和多重伪装技术。具体特点如下。38 1.内容吸睛,话术逼真 邮件以涨薪为诱饵,普通员工很难不动心。“注意保密”、“解压密码”等红色提示,看起来�������更是合情合理,给了员工巨大的����心理暗示,可以成功的阻止员工向同事、IT 部门和网络安全部门进行核实或求证。2.加密压缩,免杀设计 加密压缩的方式,可以绕过大部分杀毒引擎的查杀,是一种简单有效的免杀方法。不仅如此,攻击文件之间的相互调用,还有逃逸沙箱检测的效果:病毒实际上是通过多个文件相互调用的方式实现加载的,lnk
63、、bat 文件均不带有恶意载荷,DS 文件运行前也没有后缀。通过这样的组合攻击方式,使得每个单一文件在沙箱中运行时都不会报毒。3.多重伪装,行动隐秘 攻击队对于邮箱域名、文件名称、文件图标等都进行了精心的伪装。首先,发件人邮箱的域名是攻击队新注册的,但与目标单位邮箱域名非常接近,不太容易一眼看出;第二,攻击队将 lnk 文件伪装成 doc 文件、将������ ihost.exe 伪装成系统进程;第三,攻击队给快捷方式制作了一个 Word 图标。这些伪装大大增强了攻击的隐蔽性和迷惑性。鉴别方法鉴别方法 由于网络安全实战攻防演习中的攻击队,技术能力、造假能力要比一般的黑产团伙专业得多,所以,识别和防范攻击队
64、邮件的难度也更大一些,具体可以参考以下方法:1.警惕合情但不合理的邮件内容 一般来说,薪资调整,都会有部门主管或人力主管与员工面谈,不会简单的通过一封所谓的秘密邮件来说明。这就是“合情不合理”。从历年攻防演习的实践来看,攻击队还经常使用诸如薪酬通知、安全监测工具、实名举报等借口诱骗目标人打开带毒附件甚至安装病毒软件。2.违背安全常识的操作应及时举报 例如在本案例中,将加密压缩包与解压密码通过同一邮件发出,已经违背了基本的安全常识规则,完全没有任何保密性可言�����了。如果真想对文件加密,就应当将加密压缩包和解压密码通过两个相互独立的渠道进行发送,如一个用邮�����件发,一个通过短信或社交软件发,目的是防止攻击
65、者截获邮件后直接就能解密。3.天上掉馅饼的事一定要反复斟酌 不论是发放补贴还是提升薪酬,如果没有其他可靠信息来源对此进行作证,那么这种事情都属于意外之喜,天上掉馅饼,一定要多加谨慎,反复核实。4.部署高级邮件安全工具分析附件 从企业邮件安全管理角度来看,使用如“CACTER 邮件安全网关”等高级邮件安全系统,可以对加密附件进行隔离审核与深度分析;也可以通过智能内容识别,从邮件正文智能提取解压口令,对附������件进行解压后进��������一步进行查杀。39 第八章 邮件风险趋势分析 本章将主要对 2023 年邮件安全风险的整体形势以及未来的发展变化趋势展开分析。一、AI 用于邮件深伪使跨国攻击更难识别 AI 技术已经
66、被用于改进和加强网络钓鱼攻击。有研究机构数据显示,2023 年以来,基于人工智能技术生成,经过深度伪造的恶意邮件的数量,较以往增长了 1000%。尽管用 AI生成钓鱼邮件暂时仍然不是主流攻击方式,但快速广泛流行的趋势已经非常明显。其主要优势主要表现在以下几个方面:1.邮件生成更逼真 攻击者可以使用 AI 技术,生成看似更加真实的钓鱼邮件。AI 可以分析大量的合法电子邮件,学习其风格和语法,并模仿这些特征来生成钓鱼邮件。此外,攻击者�����可以通过向 AI提出要求的方式,使此类钓鱼邮件更具欺骗性和迷惑性,例如“使邮件看起来很紧急”、“使收件人点击链接的可能性更高”、“请求对方立即汇款”等等。Cyxter
67、a 公司设立的名为 DeepPhish 的项目的一系列实验结果表明:使用 AI 生成的钓鱼邮件比传统方法生成的钓鱼邮件更具说服力,更容易欺骗受害者。借助 AI,钓鱼邮件的欺诈有效率提高了近 3000%,从 0.69%增加到 20.9%。更加让人担忧的是,攻击者完全可以使用类似 ChatGPT 这样强大的公开平台服务来生成钓鱼邮件,而且很难被平台的安全规则识别出来。因为钓鱼邮件的主要威胁来自于邮件中的链接、二维码或附件,而邮件正文的内容,则完全可以被视为正常的内容。攻击者只要向人工智能系统提出合理合法的要求,待邮件�������生成后再把恶意信息插入进去即可。2.钓鱼内容更精准 AI 可以帮助攻击者提升钓鱼攻
68、击有效性,更精确地针对特定的个人或����组织。通过分析社交媒体和其他网络资源,AI 可以更加全面、高效的收集攻击目标的相关信息,例如兴趣、工作、社会关系等,从而可以撰写出对特定目标更具说服力的钓鱼邮件。对于传统的邮件攻击者来说,对攻击对象进行情报收集是比较困难且高成本的事情,这不仅需要投入大量的时间,而且需要一定的经验和情报汇聚分析能力。但这对于人工智能系统来说,却是一件可以快速自动化完成的工作。比如,人工智能可以帮助攻击者快速的从某一次行业会议的纷繁复杂的会议材料中,挑选出目标人可能感兴趣的内容,并整合成一份极具吸引力的邮件,再冒充会议组织者向攻击目标人投递邮件,从而完成攻击。3.跨国攻击更简单
69、语言障碍,是邮件攻击核心难题之一。比如,对于国内的电子邮箱用户来说,收到一封全英文的邮件,多半是不会点开细看的,而是直接将邮件当成垃圾邮件处理掉。而想要伪造一封跨国、跨语言攻击的钓鱼邮件,通常对于攻击者的外语水平有较高的要求,如果只是使用传统的在线翻译工具就很容易被察觉到异常。但是,在高性能的大语言模型 AI 的加持下,形成一封符合目标人国家语言习惯的邮件,就不再是一件非常困难的事了,特别是在专业性 40 ������不强的领域��������,几乎很难被发现。也正因为如此,跨国邮件攻击很可能在未来几年内大幅增长,国内用户也将面临更多来自全球的邮件安全威胁,即便是被普遍认为最难学习的中文,很可能也无法再继续为我们提供有效
70、“语言障碍”保护伞。4.制作附件更容易 生成式 AI,典型的如 ChatGPT 的大语言模型(LLM)拥有海量的编程相关的知识,包括使用手册、代码示例、设计模式。泛化能力也使其具备了极其强大的程序代码生成能力�����,使用者可以通过层次化的描述需求方式构造可用的软件代码,本质上,除了极少数只可能导致破坏的恶意代码,功能代码本身很难说是善意还是恶意的,很多时候取决于软件及模块的使用目标。目前,已经有不少攻击者开始利用 AI 来增强恶意软件,使其更难被检测、更具破坏力和更具针对性。例如,AI 可以使恶意软件更具适应性,使其能够在不同的环境中有效运行。例如,�����一些恶意软件可以使用机器学习技术来识别和绕过安全措
71、施,如防火墙、入侵检测系统和沙箱。当人工智能技术可以代为编写恶意代码时,网络攻击的门槛被进一步降低。5.攻击过程自动化 综上所述,目前的 AI 技术已经可以实现钓鱼攻击整个过程的自动化:从收集目标信息、制作恶意附件到发送钓鱼邮件。利用大语言模型协助翻译和沟通,可以建立联系或操纵目标,这使攻击者可以在短时间内针对大量的跨国目标发起攻击,提高攻击的效率,增大攻击的范围。而这在以往是不可想象的。基于人工智能技术深度伪造的恶意邮件,给恶意邮件检测带来了更多的严峻������挑战。,以往,我们可以通过一些捕获的“钓鱼模板”来识别钓鱼邮件。但人工智能技术的参与,完全可以让每一封钓鱼邮件都“精美”且“不同”,不论是人、
72、机器还是系统,都很难单独从内容的角度,将这些逼真的邮件从海量的真实邮件中识别出来。不过,不论是不是 AI 生成的钓鱼邮件,对于邮件中存在�������的恶意链接、恶意附件的识别都仍然是有效的。同时,结合大数据的方法,如:对�������恶意邮件的传播路径的识别、对恶意网络资产特征的识别等手段也仍然是有效的。同时,基于大模型的方法,用 AI 打败 AI 的方法,安全机构也正在积极的展开研究。二、动态 IP 池使邮箱爆破产业链更加完善“移形换影”这一术语非常形象地描述了近年来针对邮箱账号暴力破解攻击的新趋势。攻击者通过建立庞大的 IP 池,在攻击过程中动态切换 IP 地址,从而规避了传统的基于 IP地址封禁的安全防御措施。基
73、于动态 IP 池的爆破攻击,主要呈现出如下几个特点:1.产业化运作 暴力破解攻击已经不再是孤立的黑客行为,而是形成了一定规模的产业化操作。黑产团伙利用自动化工具和技术,大规模地对目标进行攻击。2.动态 IP 代理 41 为了避免被邮箱系统检测和封禁,攻击者通常会利用动态 IP 代理技术。通过不断更换IP 地址,可以持续对目标进行攻击,而不易被发现。3.限制攻击次数 为了进一步规避邮�����箱系统的检测,攻击者会限制对同一账号的攻击次数(通常一轮为十几次),来降������低被发现的风险,同时扩大攻击范围和持续性,通过较长时间(数周至数月)的持续攻击,提高总体成功率和爆破收益。这种策略虽然减慢了对单一账号的攻击速度
74、,但通过增加攻击目标的数量和持续攻击,依然能够获得较高的成功率。4.针对性攻击 攻击者会倾向于选择容易爆破的机构进行攻击,如教育行业高校。许多高校为了方便管理和用户初次登录,可能会设置一些简单的默认密码规则,例如使用姓名缩写加上身份证号的后六位作为初始密码(弱口令)。虽然这种做法在一定程度上简化了账户的初次设定和使用,但同��时也大大降低了账户的安全性。5.利用社工信息 攻击者会通过社交工程学手段收集目标的个人信息,如生日、名字等,来猜测密码,提高破解成功率。6.二次利用������� 一旦成功破解邮箱账号,攻击者不仅会窃取账号中的敏感信息,还有很大概率会利用这个账号发起更多的钓鱼攻击,或者作为跳板进一步渗透目
75、标组织的内部网络。安全建议安全建议 1.启用双因子认证 使用登录双因子认证是增强账号安全的有效手段。即使攻击者通过某种方式获得了密码,没有第二层认证(如短信验证码、密钥软件生成的动态验证码、应用推送通知等),攻击者也无法成功登录账号。2.实施客户端专用口令 为每个客户端或服务设置专用的访问口����令,即使主账号密码被破解,这些专用口令也能为账号提供额外的保护层。也就是说,当有人使用未经认证的终端设备登录邮件系统时,系统会增加专用的终端口令认证。3.强化口令策略 系统应设置更严格的口令强度审核要求,如包含大小写字母、数字及特殊字符等,同时通过系统设置的方式,强制员工定期更换口令。对于那些离职或长时间未
76、活跃的账号,应及时停用,以减少潜在的安全风险。4.利用高级安全服务 采用一些高级安全服务防范暴力破解,可以对账号的异常登录行为进行更多维度的实时安全分析和监测,即便攻击者使用动态 IP 池,也能够快速识别与发现。一旦发现异常即刻采取防御措施。42 5.基于零信任的统一身份安全认证 基于零信任的统一身份安全认证体系,可以对账号进行持续的安全认证与信任评估,并实现对账号权限的动态管控。能够及时发现各种异常登录行为,并对异常账号采取必要的安�����全措施。三、邮箱盗号加同域钓鱼成流行攻击组合 相较于外部发来的邮件,企业内部同事发来的邮件显然更容易受到信任。正是由于这个原因,越来越多的攻击者开始利用被盗取的账
77、号对企业内部的其他�������账号发起同域钓鱼。这种攻击方式有三点显著的危害:一是攻击者盗取账号后可以通过组织通讯录,获得组织内大量账号信息,进行精准群发;二是企业内部邮�������箱的高信誉度大大提升了攻击成功的概率;三是大部分企业对于同域内互发的邮件没有有效的安全检测手段。在盗号方式上,攻击者使用的方式非常多样,既包括前面提到的动态 IP 代理暴力破解,也包括撒网式钓鱼、利用社工库中已泄露的密码撞库等。近年来盗号后域内发送钓鱼邮件的影响日益恶劣。2023 年,盗号后向同域发送“补贴”类诈骗邮件,已经成为了最常见的、造成累计经济损失最大邮件攻击方式。此外,在网络安全实战攻防演习中,盗号后向同域发送病毒邮件,也已经成
78、为了攻击队最常见的攻击方式之一。针对同域钓鱼,需要从以下三个方面加强安全防护:一是加强账号安全管控,通过强制开启双因子认证、客户端专用口令、零信任等方式防止账号被盗、阻断异常登录;二是不再将域内通信视为安全通信,加强对域内互发邮件的安全管控,对病毒、钓鱼邮件进行检测和拦截;三是限制普通员工邮箱账号发送邮件的收信人数量和邮件数量,禁止非特权账号向内部核心群组、大群组群发邮件,缩小域内钓鱼的影响范围,同时对特权账号邮件进行严格审查,先审后发。四�������、加标二维码成欺诈邮件攻击流行招式 对于接受过网络安全意识教育的员工来说,肉眼识别非������官方网址、不点击陌生人发来的网络链接,都是难度不大的基本操作。对于现行绝
79、大多数的邮件安全防护系统来说,识别邮件正文中夹带的恶意网址也不太困难。相比于可疑链接,二维码往往显得“人畜无害”,很难一眼识破,再加上手机扫码已经成为很多普通人的日常习惯,这就为邮件攻击者提供了可乘之机。正是在这样的背景下,近 3 年来,邮件夹带恶意二维码的攻击方式越来越流行。二维码本身只是一种编码方式,并不能直接隐藏钓鱼邮件或其他恶意信息。但是攻击者可以将二维码嵌入到邮件正文或者附件的文件中,收件人一旦用手机扫描二维码后,就会被引导至一个伪装成合法站点的钓鱼������网站,进而套取受害人的个人信息、账户密码等,或者进一步诱导受�������害者访问其他恶意链接、下载恶意软件等。在很多情况下,攻击者还会首先通过各种方
80、法盗取一个或多个机构内部邮箱,再通过内部邮箱发送钓鱼邮件,从而降低收件人的防备心,大大邮件攻击成功率。43 此外,为了使得恶意二维码看起来更官方、更逼真,攻击者往往还会利用各类二维码生成器,在恶意二维码中间加上被仿冒机构的 Logo,甚至国徽、警徽等特殊标志。识别恶意二维码的主要方法如下:1.源头鉴别:非官方邮箱发来的邮件一律都是垃圾邮件或钓鱼邮件。本单位的邮件应当有企业邮箱后缀。政府部门发出的邮件,应当是“.gov”后缀。2.网址鉴定:扫码之后�������打开的网址,一定要是 https 开头,如果是 http 开头,十有八九是钓鱼网站。如果网址域名既不是本单位网址,也没有.gov、.org、.edu
81、等后缀,一般也都不是官方网址。3.谨慎填写:如果扫码后要求填写敏感个人信息、银行账号、甚至是验证码等信息的,一定要先向单位网络安全部门求证后再扫码。五、加密压缩成带毒邮件反查杀首选方式 相较于对病毒文件进行复杂的免杀处理,将带毒附件进行加密压缩,是一种简单易行且高效的反查杀手段,现已成为邮件攻击中最常见的、首选的反查杀手段。由于������多数反病毒引擎和沙箱并不能对加密压缩包进行解压,通过对病毒文件打包加密压缩,可以轻松绕过常规的查杀。2023 年从常规病毒邮件到攻防演练中的攻击队邮件,均发现存在大量使用加密压缩附件规避病������毒查杀的恶意邮件。针对邮件中的加密压缩附件,需要从以下三个方面加强安全防护:一是需
82、要部署功能更加全面的邮件安全网关,识别邮件正文中的解压口令,对加密附件解密后再进行病毒查杀。二是加强终端安全防护,安装 PC 段杀毒软件,在用户将附件解压至终端时,对其进行查杀。三是建议加强加密附件邮件安全管控,对收到的带有加密压缩附件的邮件进行隔离,由管理员进行审核。六、邮件钓鱼被普遍应用于实战攻防演习 早期的网络安全实战攻防演习,往往不允许使用社会工程学手法。但随着实战化能力建设的要求不断提升,绝大多数的网络安全�������实战攻防演习活动都已经放开了对各类社工钓鱼手法的限制。奇安信观星实验室数据显示:2023 年,奇安信攻击队共参加全国各类网络安全实战攻防演习 263 次,对其中 43.6%的演习目
83、标单位使用了社工钓鱼手法,对 22.6%的演习 44 目标单位使用了邮件钓鱼攻击手法。邮件钓鱼是攻防演习活动中,仅次于微信钓鱼的第二大社工手�����法。相比于黑产团伙发出的钓鱼邮件,攻防演习中攻击队所发出的钓鱼邮件,往往更具针对性,且通常不会进行大范围群发。因此,想简单的通过邮件发送频次来识别攻防演习活动中的钓鱼邮件,显然是非常困难的。我们需要使用一些更加高级、更加智能的技术方法才有可能实现对演习攻击邮件的有效拦截。想要有效防范和应对攻防演习中的邮件攻击,参演单位应当提前对内部员工进行网络安全意识教育,要求员工加强对钓鱼邮件的识别能力,遇到可疑邮件,应当及时向网络安全部门上报。45 附件 1 CACT
84、ER 邮件安全网关产品介绍 广东盈世计算机科技有限公司旗下品牌包含 Coremail 及 CACTER 邮件安全。CACTER 邮件安全是由 Coremail 孵化的独立品牌,隶������属于广东盈世计算机科技有限公司。凭借 24 年的反垃圾反钓鱼技术沉淀,��������CACTER 致力于提供一站式邮件安全解决方案。产品涵盖邮件安全网关、CAC2.0 反钓鱼防盗号、安全海外中继、邮件数据防泄露 EDLP、安全管理中心 SMC2、重保服务、反钓鱼演练等。核心技术依托自研国产反垃圾引擎和 Coremail 邮件安全大数据中心,高效识别并拦截垃圾广告、钓鱼邮件、病毒邮件、BEC 诈骗邮件等各类威胁,为企业邮件通信保驾护航
85、。客户涵盖国务院新闻办公室、国家科技部、国家财政部、中科院、清华大学、北京大学、人民银行、建设银行、交通银行、华润集团、南方电网、美的集团等。CACTER 邮件安全网关介绍 2021 年,Coremail 邮件安全事业部推�����出 CACTER 邮件安全网关,网关基于 Coremail 邮件安全大数据中心,实时拦截垃圾广����告,钓鱼邮件,病毒邮件,BEC 诈骗邮件,拦截有效率达到 99.8%,支持多种主流邮箱系统 Exchange,Microsoft 365,网易企业邮箱,Coremail,Eyou,安宁,139,Winmail,为企业邮件通信保驾护航 产品优势 独家域内安全解决方案独家域内安全解决方案
86、 CACTER 邮件安全网关基于多项自主研发的世界领先级反垃圾邮件技术,针对用户账号被����盗后,【域内互发】垃圾钓鱼邮件场景,推出独家域内安全解决方案:支持域内垃圾邮件过滤检测、域内发信行为管控和告警,确保钓鱼邮件、病毒邮件、垃圾邮件精准拦截,异常发信行为及时发现,以保障邮件系统不受恶意邮件威胁。检测能力实时更新检测能力实时更新 CACTER 邮件安全网关拥有国内头部的邮件安全数据中心,基于数亿恶意邮件样本,通过部署百万探针邮箱搜集恶意邮件数据,实时更新邮件检测引擎规则,为客户提供最新邮件防护。46 恶意链接安全防护恶意链接安全防护 使用 CACTER 邮件网关后,管理员可开启恶意链接保护功能,对
87、投往邮件系统的每一封邮件的链接进行保护。首次过滤+二次检测防护,事前拦截、事中提醒、事后追溯结合,为邮件系统的邮件安������全保驾护航。附件全方位查杀附件全方位查杀 加密附件解密检测:恶意威胁邮件多带有加密压缩附件,如泛滥的 Emotet 病毒邮件等,能够绕过反病毒检测。CACTER 邮件安全网关能够识别这类加密附件,管理员可设置直接拦截或者进行深度解密后再检测。附件文档检测:CACTER 邮件安全网关能够拆解如 PDF、Word、Excel 等常见文档类型的附件,并进行文本指纹检查,有效识别附件型的垃圾邮件。病毒查杀:Coremail 与多家反病毒厂商合作,对邮件的附件进行多重查杀,同时,病毒库支持
88、智能更新和实时升级。沙箱检测:CACTER 邮件安全网关支持云沙箱检测,可在独立、隔离的环境中自动化检测附件中的�����恶意代码、可执行文件、恶意软件,判断是否有异常网络行为、创建进程等高级威胁。高级威胁事后召回高级威胁事后召回 CACTER 邮件安全网关事后召回方案与 Coremail 邮件系统深度联动,当新型变种威胁邮件绕过反垃圾反钓鱼反病毒引擎检查,甚至是云沙箱检测,成功投递至邮件系统无法撤回时,47 企业管理员可以启用网关邮件召回功能,一键召回已经投递至邮件系统的威胁,守护邮箱系统安全最后一道防线。高可用集群部署高可用集群部署 CACTER 邮件安全网关支持多节点集群部署架构,提高系统的高可用
89、性和可靠性。灵活配置集群节点可实现邮件流量负载均衡,避免单节点过载,提高系统整体处理性能和稳定性。弹性扩容可调整网关处理邮件流量的能力,应对邮箱邮件流量激增的情况,确保服务质量。多节点冗余可实现主机故障自动切换,避免单�������点故障导致的系统中断,确保邮件安全服务的持续可用。48 CACTER 邮件安全网关客户案例 联系我们 官方网站: 服务热线:400-000-1631 微信公众号:CACTER 邮件安全 49 附录 2 CAC2.0 防暴卫士产品简介 Coremail 全新升级 CAC2.0,是一款同时具备威胁邮件识别过滤、邮箱账号异常监测与准实时告警、泄露账号威胁登录拦截,以及综合型邮件威胁情报
90、(攻击 IP、威胁 URL、钓鱼邮件主题、重保紧急情报等)的云安全服务,全面防范“邮件威胁”和“账号威胁”,拥有“事前拦截、事中告警、事后处置”的全流程能力,能够在企业邮箱管理的苛刻环境下,提供������稳定可靠的服务。CAC2.0CAC2.0 功能描述功能描述 反垃圾反钓鱼邮件监测 发信行为分析 使用多种技术,在邮件进入系统的第一阶段就进行分析 邮件内容特征检测 基于数亿级的垃圾邮件样本特征,根据邮件内容特征对邮件意图进行分析 恶意 URL 检测 邮件系统每次收信时,反垃圾系统会对入站邮件中包含�����的 URL 进行实时扫描,分析过滤包含恶意链接的邮件 附件检测 对文件进行编译,分析其包含的异常代码以及其他
91、特征,与云端恶意软特征进行比对,确定�������文件安全性。50 Coremail 防暴卫士(防盗号)拥有 Coremail 原生自建的商业邮件风险 IP 情报库,依托此情报库拦截可疑登录、侦测攻击本域的 IP。实时分析登录请求,邮箱账�������号异动监测(异地登陆、风险 IP 登录、暴力破解等)与准实时告警。可疑登录拦截 登录异常&发信异常检测 准实时告警 商业邮件风险 IP 情报库 51 综合型邮件威胁情报系统 威胁情报订阅可网罗典型威胁邮件案例,侦测本域异常行为用户,实时推送紧急安全情报,助力安全员掌握最新的典型邮件威胁与自身系统的潜在风险、为企业建设信息安全屏障提供全面的情报支撑。最新典型威胁邮件案例 关联
92、案例的本域威����胁邮件监测 异常行为用户侦测 紧急情报实时推送 支持 Coremail、Exchange、Domino、腾讯、网易各类邮件系统 52 附件 3 奇安信网神邮件威胁检测系统 奇安信网神邮件威胁检测系统是奇安信集团面向政府、企业、金融、军队等大型企事业单位推出的针对邮件场景的高级威胁检测及处置的解决方案。邮件威胁检测系统采用多种的病毒检测引擎,结合威胁情报以及 URL�������� 信誉库对邮件中的 URL 和附件进行恶意判定,并使用动态沙箱技术、邮件行为检测模型、机器学习模型发现高级威胁及定向攻击邮件。通过对海量数据建模、多维场景化对海量的邮件进行关联分析,对未知的高级威胁进行及时侦测。强大的侦测
93、技术和全面的处置手段,对电子邮件系统进行全面的安全防御。用户价值用户价值 为客户提供更高级的邮件安全防护 通过定制化沙箱分析,发现传统邮件安全产品无法侦测的附件高级威胁。通过专业的机器学习模型,发现更隐蔽的钓鱼邮件等社交工程邮件。提供更灵活的安装和部署方式 提供多种部署方式,可适应不同的用户场景和需求。可以和现有的邮件安全解决方案无缝协同工作,建造完整的应用、防护于一体的综合邮件办公系统。与现有天眼高级威胁检测方案联动,实现更全面的威胁检测和分析。看得见的投入产出比 阻止社交工程邮件,避免昂贵的事后补救措�������施。通过阻止、隔离、移除威胁、通知收件人等方式减少恶意邮件威胁。更�����炫酷的展示效果 产品支持
94、将邮件外部攻击态势在 4K 的屏幕上投屏展示,满足日常巡检需求。产品介绍产品介绍 53 威胁情报 邮件威胁检测系统结合了奇安信强大的威胁情报数据,使产品对邮件威胁的检测能力如虎添������翼。高效的沙箱分析模块 邮件威胁检测系统沙箱模块可针对文件进行深度检测,采用静态检测、漏洞利用检测、行为检测多层次手法,构建基于沙箱技术的文件深度检测分析能力。静态检测模块通过多种检测引擎互为补充增强静态检测能力。动态检测模块以硬件模拟器作为动态沙箱环境,分析过程中所有的数据获取和数据分析工作都在虚拟硬件层实现,全面分析恶意代码恶意行为,细粒度检测漏洞利用和恶意行为。基于机器学习的钓鱼邮件识别 机器学习引擎基于云端海量
95、邮件数据进行训练,通过自适应学习引擎、综合检测���������引擎及URL 增强判定引擎进行综合检测,能够在不同的企业环境下自适应学习,保持低误报的同时,准确高效的检出钓鱼 URL。丰富的邮件异常场景 54 能够通过大量�����邮件数据进行分析,深入挖掘潜在的威胁行为与线索。包括发件异常、收件异常、暴力破解、单个 IP 登录多个邮箱、异地登录等异常场景,支持全面分析仿冒邮件场景,并可根据需求自定义异常场景的检测条件。邮件多维分析功能 产品提供基于联系人之间的收发关系的多维分析模块以及基于恶意文件/URL 的传输路径的多维分析模块。通过关键信息的检索生成的邮件数据之间的多维关系网,使错综复杂的数据展现一目了然。海量数据
96、存储和检索能力 奇安信网神邮件威胁检测能够快速检索匹配邮件主题或者正文中的关键字,结合统计学相关理论,达到快速精准内容过滤和关键字分析,配套了大量的检索和分析软件以对数据做到������高效分析。联系我们联系我们 官方网站:https:/ 服务热线:95015 微信咨询:奇安信集团 55 附录 4 奇安信观星实验室 观星实验室是奇安信核心攻防技术研究团队,致力于互联网、各行业领域、政企以及关键信息基础设施的攻防技术研究。实验室不仅精通实网攻防、漏洞挖掘、应急响应与攻击溯源等传统领域,还积极开拓新的研究方向,如数据安全和云安全,旨在全面掌握网络安全的各个环节。在安全漏洞挖掘方面,观星实验室汇聚了业界顶尖的专家团队,专注于对全球范围内主流的应用软件、中间件、网络设备和 IoT 设备进行深入的漏洞分析,为实网攻击防御提供强有力的技术支持。同时,实验室也积极拓展数据安全与云安全的研究领域,运用先进的技术手段,深入挖掘云环境中的数据泄露风险,确保企业云上安全。在实网攻防演习方面,以观星实验室为核心的奇安信攻击团队,在近 3 年的时间里,参与了超过 1000 场攻防演习,攻击目标超过 5000 家,其中前三名占比达到了 80%以上。
sgpjbg002
工作日 8:30 - 17:30
报告分类
