1、 2019 中国企业邮箱安全性 研究报告 2020 年 1 月 13 日 编写组 组长 林延中 裴智勇 主要编写人员 刘川琦 胡怀亮 潘庆峰 王贺亮 闫秘 朱南皓 杨芸 潘文辉 2019 中国企业邮箱安全性研究报告由论客科技（广州）有限公司与奇安信集团联合为您提供，本联合报告的编撰获得了论客科技CAC 反垃圾邮件中心、论客科技产品实验室以及奇安信集团行业安全研究中心相关专家的悉心指导和宝贵建议，在此表示感谢。 主要观点 办公生产自动化的不断提升， 不但没有降低电子邮件的重要性， 反而显著的提升了企业邮箱的使用范围和使用率。2019 年，全国企业邮箱活跃用户数量达 1.4 亿个，同比增长7.7%

2、；全年累计收发正常电子邮件 2454.1 亿封，同比增长 25.4%；人均每天发送电子邮件 4.8 封，同比增长了 0.7 封。此外，调研还显示，超过 50%的大中型企业会将邮箱账号与办公系统/业务系统进行绑定，并通过企业邮箱发布重大决定。邮件安全问题已经成为企业的核心安全问题之一。 国内企业邮箱遭到恶意网络攻击急剧增加， 这也成为全球范围内针对政企机构的网络攻击活动日益猖獗的一个缩影。统计显示，2019 年，国内企业邮箱用户收到的带毒邮件数量翻倍，达 424.3 亿封，其中，97%来自境外；同时，收到钓鱼邮件的数量也增长约7 成，达 344.3 亿封，约 88%来自境外。 企业邮箱的安全管理

3、问题仍然非常突出。 调研显示， 即便是在大中型企业中，仍有 30%以上的企业存在个人邮箱和企业邮箱混用，或完全使用个人邮箱进行办公活动的情况。进一步调研显示，在这些大中型企业中，也往往没有邮件系统运维管理的责任主体，没有明确的邮件安全管理规定。国内政企机构的邮件安全管理隐患普遍存在，让人担忧。 摘 要 根据 Coremail 论客与奇安信行业安全研究中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估，截止 2019 年底，国内注册的企业邮箱独立域名约为 520 万个，相比 2018 年增长 1.96%。活跃的国内企业邮箱用户规模约为 1.4 亿，相比 2

4、018 年用户规模增长了 7.7%。 仅就正常邮件而言，统计显示，全国企业邮箱用户在 2019 年共收发正常电子邮件约2454.1 亿封， 比 2018 年增长 25.4%，平均每天发送正常电子邮件约 6.7 亿封，人均每天发送电子邮件约 4.8 封。相比 2018 年人均每天发送 4.1 封邮件，增长了 0.7 封。 对中国政企机构独立邮箱域名的抽样分析显示， 从域名注册量来看， 工业制造类企业注册的邮箱域名最多， 占比为 29.5%， 其次是交通运输行业占比 10.7%， 外资机构占比 9.6%；还有 IT 信息技术占比 6.7%，互联网企业占比 6.6%，金融行业占比 6.1%等，这些都

5、属于电子邮箱使用独立域名较多的行业。 2019 年，国内企业邮箱服务器设在北京的最多，占比为 21.3%；武汉排第二，占比为16.2%；上海排名第三，占比 13.9%。而在 2017 年的相关统计中，国内有半数以上的企业邮箱服务器是设在杭州市的。 这表明， 针对政企机构的邮箱服务正在从局部地区高度集中，向全国各地分散开来。 2019 年， 全国企业邮箱用户共收到各类垃圾邮件约占企业级用户邮件收发总量的 47.2%，是企业级用户正常邮件数量的 1.2 倍。相比 2018 年下降了 17.9%。 2019 年，全国企业邮箱用户共收到各类钓鱼邮件约 344.3 亿封，相比 2018 年收到各类钓鱼邮

6、件的 204.3 亿封增长了 68.5%。 2019 年， 全国企业级用户共收到约 424.3 亿封带毒邮件， 相比 2018 年增加了 108.36%。越来越多的带毒邮件正在被发送给企业邮箱。 关键词：关键词：企业邮箱、垃圾邮件、带毒邮件、钓鱼邮件 目 录 研究背景 . 1 第一章 电子邮箱的使用与规模 . 2 一、 电子邮箱的使用规模 . 2 二、 电子邮箱用户行业分布 . 3 三、 电子邮件的地域分布 . 4 第二章 垃圾邮件 . 5 一、 垃圾邮件的规模 . 5 二、 垃圾邮件发送源 . 5 三、 垃圾邮件受害者 . 6 第三章 钓鱼邮件 . 8 一、 钓鱼邮件的规模 . 8 二、 钓

7、鱼邮件发送源 . 8 三、 钓鱼邮件受害者 . 9 四、 钓鱼邮件调研结果 . 10 第四章 带毒邮件 . 12 一、 带毒邮件的规模 . 12 二、 带毒邮件发送源 . 12 三、 带毒邮件受害者 . 12 第五章 大中型企业邮箱安全使用与管理. 14 一、 邮箱系统的建设与使用 . 14 二、 邮件安全意识与管理 . 15 第六章 邮件攻击监测与响应典型案例 . 18 一、 应急响应典型案例 . 18 二、 大数据安全监测典型案例 . 20 附录 1 2019 年全球十大电子邮件安全事件 . 22 一、 意大利汽车行业遭遇带毒邮件攻击 . 22 二、 医疗行业邮件欺诈攻击两年增 5 倍 .

8、 22 三、 黑客为财袭击数个欧洲国家大使馆 . 22 四、 亚马逊英国上百商家遭遇邮件欺诈 . 22 五、 伪造开发票邮件欺骗多家国内企业 . 22 六、 赛门铁克邮件安全云服务宕机 10 小时 . 23 七、 前雅虎工程师监守自盗偷窥客户邮件 . 23 八、 美高等法院系统被用来传播钓鱼邮件 . 23 九、 窃密寄生虫危害北上广等地众多企业 . 23 十、 ELASTICSEARCH 泄露 27 亿邮件数据 . 24 附录 2 垃圾邮件主题内容分析 . 25 一、 广告 . 25 二、 色情 . 29 三、 赌博 . 29 附件 3 COREMAIL CAC 反垃圾云产品介绍 . 34 附

9、件 4 奇安信网神邮件威胁检测系统 . 36 1 研究背景 在中国当前网络空间形势下，社交网络日益发达，电子邮件发展至今已有几十年历史，但仍是最重要的现代互联网应用之一。 从个人生活到工作场景的使用， 邮件都在现阶段人们的生活中扮演者不可或缺的角色。 近年来中国企业信息化办公程度逐年升高， 更是大大促进了企业邮箱的使用，同时也使企业邮箱系统成为黑客入侵机构内部网络的首选入口。 针对邮件系统在使用时存在的问题，奇安信行业安全研究中心联合 Coremail 论客，自2016 年起合作编撰中国企业邮箱安全性研究报告 ，截至今年已连续发布三年。报告数据主要来自 Coremail 论客与奇安信集团联合监

10、测，报告内容以电子邮箱的使用、垃圾邮件、钓鱼邮件、带毒邮件为主体，从规模、发送源、受害者及典型案例等方面分析中国企业邮箱安全性。 本次报告特增加了调研部分内容， 针对邮件系统使用情况对 119 家大中型企业邮箱用户进行了调查（注：10%的企业邮箱用户超过 50000 点，85%超过 1000 点） 。其中，接受调查的企业中，金融、IT 信息技术、政府机构事业单位行业居多，其中金融行业客户占 17.7%；IT 信息技术客户 16.8%；政府机构事业单位客户 15.1%。此外，接受调研的企业还包含有互联网、通信等行业。 本报告结合了 Coremail 论客与奇安信集团多年在企业邮箱领域的丰富实践经

11、验及研究经验，相关研究成果具有很强的代表性。希望此份报告能够对各个行业、单位，开展以邮件防护为基础，增强完善整体网络安全建设，提供一定参考。 2 第一章 电子邮箱的使用与规模 一、 电子邮箱的使用规模 根据 Coremail 论客与奇安信行业安全研究中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估，截止 2019 年底，国内注册的企业邮箱独立域名约为 520 万个，相比 2018 年增长 1.96%。活跃的国内企业邮箱用户规模约为 1.4 亿，相比 2018 年用户规模增长了 7.7%。 从电子邮箱的使用情况来看， 2019 年， 全国企业邮箱用户共收

12、发各类电子邮件约 6448.1亿封，相比 2018 年企业及电子邮箱用户收发邮件数量增长 4.8%。平均每天收发电子邮件约17.7 亿封。 其中， 正常邮件占比约为38.1%， 普通垃圾邮件占比为 47.2%、 钓鱼邮件 5.3%、病毒邮件 6.6%、谣言邮件 1.7%，色情、赌博等违法信息推广邮件约 1.1%。也就是说，2019 年，在邮件系统收发的邮件中，仅有近 4 成为正常邮件，垃圾邮件及其他各类非法、恶意邮件等非正常邮件的数量，是正常邮件数量的 1.6 倍左右。 仅就正常邮件而言，统计显示，全国企业邮箱用户在 2019 年共收发正常电子邮件约2454.1 亿封， 比 2018 年增长

13、25.4%，平均每天发送正常电子邮件约 6.7 亿封，人均每天发送电子邮件约 4.8 封。相比 2018 年人均每天发送 4.1 封邮件，增长了 0.7 封。企业信息化办公程度的逐年提高，很大程度上促进了员工企业邮箱的使用。同时，随着国际化趋势，企业组织间交流合作逐步增多，对于跨国交流而言，相比于其他通讯软件，电子邮件更为通用。 不同于个人邮箱，企业邮箱的主要用途是办公。因此，同一机构内部邮件互发往往会比较频繁。抽样统计显示，企业用户发送的电子邮件中，约 34.3%为机构内部邮件，23.6%为外部邮件，42.1%为内外通发邮件（收件人既有机构内部，也有机构外部） 。 3 二、 电子邮箱用户行业

14、分布 对中国政企机构独立邮箱域名的抽样分析显示， 从域名注册量来看， 工业制造类企业注册的邮箱域名最多，占比为 29.5%，其次是交通运输行业占比 10.7%，外资机构占比 9.6%；还有 IT 信息技术占比 6.7%，互联网企业占比 6.6%，金融行业占比 6.1%等，这些都属于电子邮箱使用独立域名较多的行业。 如果从正常邮件的发送量上来看， 教育培训和工业制造行业发送的邮件数量最多， 教育培训找 16.0%，排名第一；工业制造占比 15.8%，排名第二；其次是媒体占比为 14.1%，交通运输行业占比 11.0%；还有 IT 信息技术占比 5.5%，科研机构、互联网、金融行业等也都是邮件发送

15、量较多的行业。具体占比如下图所示： 对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，教育培训，媒体、科研机构、医疗卫生等行业对邮件办公的依赖度最高。 特别的，本次报告对.edu（教育） 、.org（组织机构）和.gov（政府）三个域名的邮箱使 4 用情况进行了分析。其中， 邮箱域名在全国占比为 0.15%， 的邮箱域名占比约为 0.15%， 邮箱域名占比为 0.08%。而从正常邮件发送量上来看， 邮箱占4.55%， 邮箱占 0.19%， 邮箱占 0.48%。 三、 电子邮件的地域分布 统计显示，全国企业邮箱用户收发的邮件以境内收发为主。国内收发占 65.6%；海外收发 34.

16、4%。 从服务器的所在地来看，2019 年，国内企业邮箱服务器设在北京的数量排名第一，占比为 21.3%；武汉排第二，占比为 16.2%；上海排名第三，占比 13.9%。值得注意的是，在2017 年的相关统计中，国内有半数以上的企业邮箱服务器是设在杭州市的。这表明，针对政企机构的邮箱服务正在从局部地区高度集中， 向全国各地分散开来。 这也是全国各地信息化建设水平普遍显著提升的必然结果。 5 第二章 垃圾邮件 一、 垃圾邮件的规模 根据 Coremail 论客与奇安信行业安全研究中心的联合监测评估，2019 年，全国企业邮箱用户共收到各类垃圾邮件约占企业级用户邮件收发总量的 47.2%， 是企业

17、级用户正常邮件数量的 1.2 倍。相比 2018 年下降了 17.9%。 二、 垃圾邮件发送源 Coremail 论客与奇安信行业安全研究中心对垃圾邮件的发送源头进行了分析。据统计，因盗号导致发送垃圾邮件（正常用户邮箱帐号被盗后，被黑客用来发送垃圾邮件）占所有垃圾邮件总量的 21.9%。 从发送者邮箱域名归属情况来看，来自国内的垃圾邮件最多，占总数的 49.3%，来自美国的垃圾邮件次之，占总量约 14.0%，第三是越南，约占 8.7%。具体占比如下图所示： 与 2017 年垃圾邮件发送源邮箱域名归属地分布情况对比，来自境外的垃圾邮件占比由近 7 成减少至 5 成左右，2019 年，更多的垃圾邮

18、件来自境内。 仅就国内情况来看，根据发送者的域名归属地来看，来自北京的垃圾邮件发送者最多，占国内垃圾邮件发送总量的 32.0%，其次为广东省，占 14.8%，江苏省，占 9.4%。下图给出了国内垃圾邮件发送源域名归属省份 TOP10 及其垃圾邮件发送量占比情况。 6 对发送垃圾邮件的邮箱域名进行抽样行业分析显示， 工业制造行业占比最高， 为 10.4%；其次为互联网企业，占比 6.0%；教育培训排名第三，占比 5.3%。下图给出了国内垃圾邮件发送源行业分布。 三、 垃圾邮件受害者 从收到垃圾邮件的受害者服务器所在地来看， 北京用户收到的垃圾邮件最多， 共收到了占比高达全国 28.6%的垃圾邮件

19、；其次为浙江省，收到了全国 10.7%的垃圾邮件；广东省排名第三，收到了全国 10.3%的垃圾邮件。下图给出了国内企业邮箱用户中垃圾邮件受害者的省级行政分布 TOP10。 7 8 第三章 钓鱼邮件 一、 钓鱼邮件的规模 在本章内容中， 钓鱼邮件是指含有恶意欺诈信息的邮件， 包括 OA 钓鱼邮件、 鱼叉邮件、钓鲸邮件、CEO 仿冒邮件和其他各类钓鱼欺诈邮件，但不包括带毒邮件、非法邮件等。 其中， 鱼叉邮件是指针对特定目标投递特定主题及内容的欺诈电子邮件。 相比一般的钓鱼邮件，鱼叉邮件往往更具迷惑性，同时也可能具有更加隐秘的攻击目的。而钓鲸邮件则是指那些专门针对企业高管或重要部门进行的鱼叉邮件攻击

20、。 在本报告中， 我们将钓鲸邮件和一般的鱼叉邮件区别开来进行统计分析。而 CEO 仿冒邮件则是指冒充企业高管对公司员工或某些部门进行的鱼叉邮件攻击。 根据 Coremail 论客与奇安信行业安全研究中心的联合监测评估，2019 年，全国企业邮箱用户共收到各类钓鱼邮件约 344.3 亿封，相比 2018 年收到各类钓鱼邮件的 204.3 亿封增长了 68.5%。 2019 年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的5.3%，平均每天约有 0.9 亿封钓鱼邮件被发出和接收。 二、 钓鱼邮件发送源 根据Coremail论客与奇安信行业安全研究中心联合监测， 钓鱼邮件的发送者遍布

21、全球，其中，来自美国的钓鱼邮件最多，占国内企业用户收到的钓鱼邮件的 26.5%；其次是中国，约占 12.1%；法国排名第三，约占 11.6%。针对国内企业级用户发送垃圾邮件最多的十个国家及其发送钓鱼邮件数量的占比情况如下图所示。 就国内来看，钓鱼邮件的发送者多集中于经济发达地区，其中，来自北京的钓鱼邮件最多， 占国内企业用户发送钓鱼邮件总数的 27.6%； 其次是上海， 约占 20.7%； 江苏排名第三，约占 16.8%。针对国内企业级用户发送钓鱼邮件最多的十个省份占比情况如下图所示。 9 三、 钓鱼邮件受害者 从收到钓鱼邮件的受害者服务器所在地来看，北京收到的钓鱼邮件最多，有 29.3%的钓

22、鱼邮件被发送至北京的企业邮箱用户； 另有约 15.9%的钓鱼邮件被发送给广东用户； 约 8.6%的钓鱼邮件被发送给上海用户。国内钓鱼邮件受害者数量 TOP10 省级行政区分布如下图所示： 国内钓鱼邮件受害者所在行业也比较集中， 排名前十的行业收到的钓鱼邮件数量， 占钓鱼邮件总数的 70.5%。其中，工业制造行业排名第一，约占钓鱼邮件总数的 28.1%；交通运输排名第二，约占 11.7%；排名第三的行业为 IT 信息技术，占 5.8%。具体 TOP10 行业排名如下所示。 10 四、 钓鱼邮件调研结果 2019 年 11 月，Coremail 论客与奇安信行业安全研究中心对 119 家大中型企业

23、进行了一次联合调研。调研显示，41.2%的企业收到过鱼叉邮件（针对性很强的欺诈邮件） ，40.3%的企业收到过 OA 钓鱼（诱导用户输入账号密码的欺诈邮件） ，17.6%的企业收到过 CEO 仿冒（冒充单位高管的欺诈邮件） ，16.8%的企业收到过钓鲸邮件（针对单位高管的欺诈邮件） 。具体分布如下图所示。 在所有被调查的企业中，几乎所有企业都收到过钓鱼邮件，且大部分带有恶意附件。其中， 39.5%的企业收到的恶意邮件附件含有一般木马病毒， 28.6%的企业表示收到过附件带有勒索病毒的钓鱼邮件，有 26.9%的企业表示收到过附件带有蠕虫病毒的钓鱼邮件。具体分布如下图所示。 11 12 第四章 带

24、毒邮件 一、 带毒邮件的规模 根据 Coremail 论客与奇安信行业安全研究中心联合监测评估，2019 年，全国企业级用户共收到约 424.3 亿封带毒邮件， 相比 2018 年收到的 203.7 亿封带毒邮件相比， 同比增长了108.36%。越来越多的带毒邮件正在被发送给企业邮箱。2019 年企业级用户收到的带毒邮件量约占用户收发邮件总量的 6.6%。平均每天约有 1.2 亿封带毒邮件被发出和接收。 二、 带毒邮件发送源 Coremail 论客与奇安信行业安全研究中心对带毒邮件的发送源头进行了分析。据统计，带毒邮件的发送者多集中于北美洲与欧洲。 其中， 来自美国的带毒邮件最多占全球带毒邮件

25、的 38.9%；荷兰排名第二，占 14.4%；法国排名第三，占 8.9%。针对国内企业级用户发送带毒邮件最多的十个国家及其发送带毒邮件数量的占比情况如下图所示。 三、 带毒邮件受害者 从收到带毒邮件的受害者所在地来看，北京收到的带毒邮件最多，有 40.1%的带毒邮件被发送至北京的企业邮箱用户；另有约 13.4%的带毒邮件被发送给广东用户；约 7.3%的带毒邮件被发送给上海用户。国内带毒邮件受害者数量 TOP10 省级行政区分布如下图所示： 13 14 第五章 大中型企业邮箱安全使用与管理 本章主要针对邮件系统使用情况对 119 家大中型企业邮箱用户进行了调查（注：10%的企业邮箱用户超过 50

26、000 点，85%超过 1000 点） 。所有结论来自调研样本。 一、 邮箱系统的建设与使用 作为重要的办公工具，电子邮箱往往会被很多企业用于发送重大决定。本次调研显示，在所有接受调研的机构中，28.6%的机构要求必须通过发送全员邮件的方式公布重大决定，21.8%的机构从不通过此种方式公布公司的重大决定。但绝大多数调研者认为，邮件确实是最可靠最合适的发布方式。具体分布如下图所示。 将企业邮箱使用与办公环境紧密结合， 更能有效的提升企业邮箱安全管理。 为了加强企业邮箱的使用，一些机构会将邮箱账号与办公系统/业务系统绑定。如：OA 系统会使用邮箱作为账号。根据调查，54.6%的机构会将邮箱账号与办

27、公系统/业务系统绑定，而 41.2%的企业会倾向于将二者分离，不进行绑定。 15 如果选择将办公系统与邮箱绑定，则企业可以更好的管理，同时员工使用更方便。但为了保证其安全性，企业需要严格提升其账号的安全系数。若没有绑定，企业也要加强管理，增强员工的安全意识，避免使用同一套账号密码。针对这种情况，企业可以选择在办公系统/业务系统登录时，增加二次验证，同时兼顾管理和安全。 二、 邮件安全意识与管理 要求员工使用统一的办公邮箱， 并强化安全管理是企业安全建设重要组成部分， 也是衡量一个企业安全建设水平的基本标准。本次调研显示，69.7%的大中型企业强制要求员工使用统一的办公邮箱。16%的企业中员工私

28、人邮箱使用率小于办公邮箱使用率。特别值得警惕的是， 我们调研的企业邮箱用户均在 1000 点以上， 甚至有 10%的企业邮箱用户超过五万点。但这些大型企业中仍有 9.3%的企业无统一办公邮箱，管理混乱。因此可推断，在众多中小企业中，邮箱管理混乱更是企业面临的严重安全问题。 通过安全意识管理可以更好的实现邮件安全管理， 良好的安全意识可以让员工理解和执行相关安全管理规章制度。制定和出台明确的邮箱使用规范，有助于提升企业员工安全“用邮” 意识。 通过本次调查， 我们发现， 有 62.2%的企业在邮箱安全使用方面规定明确、 细致。如：严禁使用私人邮箱、严禁使用办公邮箱注册第三方账号等；有 23.4%

29、的公司规定明确、不细致。还有 14.4%的公司没有明确要求。具体分布如下图所示。 16 邮件安全意识管理是机构网络安全风险管理的一部分， 拥有明确的规定更能够系统性的提升企业员工网络安全意识，降低机构因邮件安全意识不足而引发安全事故的风险。 从被攻击情况来看，17.6%的公司明确经历过数据泄露事件，此类事件多由于邮箱被攻击而导致员工个人账号密码泄露或公司机密文件/数据库等信息泄露。 从邮件管理的主体来看，45.4%的企业由公司 IT 部门全权管理其邮件系统；18.5%的企业选择由专业邮件服务商进行管理， 同时公司也会设置管理部门， 5.9%的企业选择托管给专业的邮件公司进行管理。剩余 30.3

30、%的企业无管理责任主体。具体情况如下图所示： 17 18 第六章 邮件攻击监测与响应典型案例 一、 应急响应典型案例 本节基于奇安信安服团队处理的应急响应事件，整理的典型案例。 （一）（一）某国有企业邮箱系统遭受攻击某国有企业邮箱系统遭受攻击 2019 年 11 月 8 日，某大型国有企业信息化中心陆续接到员工反馈，收到管理员账号发送的疑似 OA 钓鱼邮件。 根据员工反馈的截图显示， 邮件发送方为公司内部管理员以集团信息管理部名义向全员发送的 “集团通知！ ” 邮件， 要求全员点击邮件中地址进行备案。该 “邮箱升级审核系统”要求员工输入用户名、登录地址、邮箱密码等信息。经评估，本次钓鱼邮件泄露

31、信息疑似为包括集团领导在内的 200 名员工邮箱、 联系方式及公司组织架构， 以及十余名员工邮箱内的全部邮件内容。 该机构在安服人员建议下， 启动备份邮件系统， 向全员发送安全提醒， 并更改邮箱密码，并将该管理员用户加入黑名单进行拦截。进一步分析发现，由于管理员使用弱口令，攻击者早在 11 月 5 日便获得了管理员权限，至 11 月 8 日才利用管理员账号发送钓鱼邮件。期间三天，攻击者是否进行了其他操作还需要进一步调查。 19 （二）（二）某制造企业因钓鱼邮件损失某制造企业因钓鱼邮件损失 2 20 0 万美元万美元 2019 年 7 月，某大型制造企业向安全机构求助，该企业在向客户发送收款通知

32、时，被客户告知已经按要求付款完毕，并向该企业提供了当时的付款记录、邮件记录。而该企业相关人员表示从未发送过该邮件，也无此邮件记录，且收款账号并不属于该公司，可能是诈骗账号。 后经应急响应人员鉴定， 攻击者早已入侵企业邮件服务器， 且已经长期潜伏在企业内网，及企业邮箱系统，几乎完全控制了企业财务人员及业务人员邮箱，并利用相关员工邮箱，通过篡改收款人账号信息，发送虚假的“收款邮件” 。为防止被发现，攻击者又在财务人员账号中删去了虚假的“收款邮件” ，抹去记录，从而使财务人员未能及时发现账号被盗及被人盗发邮件的情况。此次事件导致该公司直接损失 20 万美元。 进一步调查显示， 造成此次损失的主要原因

33、有二， 首先， 该公司管理员账号存在弱密码；其次，公司邮箱系统设计上存在安全漏洞。应急后该企业在安服人员的建议下，要求全员更新账号密码，并弃用了原有邮箱系统，更换了专业的企业邮箱服务商。 20 二、 大数据安全监测典型案例 （一）（一）银钩：针对国内网银用户的钓鱼攻击活动银钩：针对国内网银用户的钓鱼攻击活动 2019 年 6 月，奇安信威胁情报中心红雨滴安全研究团队捕获了一封钓鱼邮件，邮件附件为 eml 文件： “中華電信 108 年 05 月電子發票通知函_發票號碼：NJ06424209.eml” 。 从邮件内容可见， 攻击者为了引诱受害者打开附件文档， 故意将邮件中的兑奖方式标红， 21

34、使受害者有打开电子发票查看信息的欲望。 而该附件使用了 CVE-2018-11882 漏洞；通过奇安信多维度数据的关联分析，确认本波攻击的受害者主要集中在我国东南沿海一带，受害者一般为外贸商人，且经常使用网银。 从历史监测信息来看，此轮袭击主要发生在 2019 年的 4-5 月间，其背后的黑产团伙对于武器部署、 运用的经验非常丰富。 该团伙攻击的最终目的是窃取电信和经商用户的银行账号及其中的财产。 （二）（二）EmotetEmotet 银行木马攻击利用技术分析银行木马攻击利用技术分析 2019 年 9 月 23 日奇安信病毒响应中心发布了 Emotet 威胁预警。 经长期追踪，奇安信病毒响应中

35、心发现多个带有恶意宏代码的 Emotet 鱼叉攻击邮件，邮件通过诱导用户点击邮件中的启用宏从而执行宏代码，利用 PowerShell 下载并执行下阶段攻击载荷， 从而实施攻击。 具体攻击模块功能包括 OutLook 数据窃取以及横向渗透模块。 样本执行流程如下： 22 附录 1 2019 年全球十大电子邮件安全事件 一、 意大利汽车行业遭遇带毒邮件攻击 2019 年 1 月，Cybaze-Yoroi ZLab 的研究人员对一款针对意大利汽车行业的间谍恶意软件进行了分析。 该恶意软件是通过钓鱼电子邮件传播的， 攻击者试图伪装成巴西一家知名商业律师事务所的高级合伙人Veirano Advogado

36、s，给受害者发送钓鱼邮件。 邮件附件为一个 PowerPoint 外接程序文件（.ppa 文件），包含能够自动运行的 VBA 宏代码。一旦程序被执行，RAT 便会立即与其命令和控制服务器进行连接，发送有关受害者计算机上的信息。 二、 医疗行业邮件欺诈攻击两年增 5 倍 2019 年 2 月， Proofpoint 分析了 2017 年和 2018 年针对 450 多家医疗机构的电子邮件欺诈攻击。分析显示: 2018 年第四季度，针对特定医疗机构的邮件欺诈攻击量平均为 96 起。这比 2017 年第一季度增长了 473%！这意味着犯罪分子的目标是医疗机构内更多业务部门的工作人员. 三、 黑客为财

37、袭击数个欧洲国家大使馆 2019 年 4 月，网络安全公司 Check Point 发表的一份报告称，疑似俄罗斯黑客连续攻击了数个欧洲大使馆，其中包括欧洲驻意大利、圭亚那、尼泊尔、利比里亚、百慕大、黎巴嫩和肯尼亚的大使馆。 黑客向这些大使馆发送伪装成美国国务院文档的恶意电子邮件， 邮件中附有包含宏的 Microsoft Excel 表单。 一旦打开这些宏， 黑客就通过远程访问服务 TeamViewer完全控制了被感染的系统。 研究人员表示，此次袭击可能出于“金钱动机”，因为攻击目标中有几人为大使馆财务办公室的官员。 四、 亚马逊英国上百商家遭遇邮件欺诈 2019 年 5 月，据外媒报道，最新披

38、露的法庭文件显示：去年 11 月亚马逊要求英国一位法官批准搜查巴克莱银行以及万事达卡旗下 Prepay Technologies 公司的相关账户信息。 亚马逊公司宣称， 自己正在受到大规模的欺诈邮件攻击， 身份不明的黑客在去年六个月内闯入了大约 100 个亚马逊卖家账户，从英国亚马逊卖家账户上窃取资金。 亚马逊发言人对媒体表示， 欺诈者可能通过网络钓鱼邮件瞄准了卖家， 试图窃取密码和其他数据。财经媒体 Business Insider 预计，近 100 个商家被盗窃的资金规模至少有几十万美元。 五、 伪造开发票邮件欺骗多家国内企业 2019 年 5 月，国内多家安全厂商相继捕获到一批针对政府和

39、企业的钓鱼邮件攻击。攻击者伪造某快递公司客服发送邮件，声称邮件提供的是电子发票。但用户点击后，用户并没有下载到 PDF 或 JPG 格式的电子发票。实际上，攻击者是通过伪造的带毒邮件附件和链接 23 将目标人诱骗到假冒快递公司的钓鱼网站，骗取企业账户密码。据其追踪系统监测，此类攻击手法已累计影响企业邮箱近万个。 六、 赛门铁克邮件安全云服务宕机 10 小时 2019 年 6 月，赛门铁克表示，不明人员破解了其邮件过滤云服务，导致北美和欧洲、中东及非洲 (EMEA) 地区的邮件服务速度放缓或无法使用。能够使用服务的用户可能遇到积压邮件一起到达收件箱的情况。该事件使赛门铁克邮件安全云服务宕机超过

40、10 小时。 七、 前雅虎工程师监守自盗偷窥客户邮件 2019 年 10 月，据媒体披露，雅虎前邮件服务的可靠性工程师 Ruiz，私自访问了大约6000 个雅虎电子邮件帐户，目的是偷窥其中的色情图片和视频。这些帐户主要属于年轻女子， 包括私人朋友和同事。 Ruiz 的不法行为最终被发现并报告给美国执法部门。 这名前工程师 2019 年 4 月被正式起诉。法庭上，Ruiz 对计算机入侵罪名供认不讳；根据这项罪名，他将面临最高五年的监禁和最高 25 万美元的罚款。 八、 美高等法院系统被用来传播钓鱼邮件 2019 年 10 月，美国得克萨斯州一名男子 Oriyomi Sadiq Aloba 因入侵

41、洛杉矶高等法院（LASC）计算机系统，并使用其服务器传送大约 200 万个垃圾邮件而被判入狱 145 个月，赔偿 47,479 美元。 2017 年 7 月， Aloba 先是通过钓鱼邮件控制了一名 LASC 员工的电子邮件帐户， 之后又使用该账户对数千名其他的 LASC 员工帐户发动钓鱼邮件攻击。邮件的内容一份的伪造通知， 要求员工向公司发送自己的用户凭据。 这使得 Aloba 收集到了数百名高等法院雇员的电子邮件帐号和密码。随后，他又使用这些被盗的邮箱帐号发送了超过 200 万封钓鱼邮件，其中还有冒充美国运通（American Express）和富国银行（Wells Fargo）等公司的邮

42、件。 此外，Aloba 的行为严重破坏了 LASC 的管理，包括使数百名员工“下岗”至少几个小时，甚至可能几天。 九、 窃密寄生虫危害北上广等地众多企业 2019 年 11 月，国内某安全厂商检测到以窃取机密为目的的大量钓鱼邮件攻击，主要危害我国外贸行业、制造业及互联网行业。攻击者搜集大量待攻击目标企业邮箱，然后批量发送伪装成 “采购订单” 的钓鱼邮件， 邮件附件为带毒压缩文件。 若企业用户误解压执行附件，会导致多个“窃密寄生虫” （Parasite Stealer）木马被下载安装，之后这些木马会盗取多个浏览器记录的登录信息、Outlook 邮箱密码及其他机密信息上传到指定服务器。 根据该厂商

43、监测数据显示，受 Parasite Stealer（窃密寄生虫）木马影响的地区分布特征明显，主要集中在东南沿海地区，其中又以广东、北京和上海最为严重。这些地区也是我国外贸企业和互联网企业相对密集的省市。 24 十、 Elasticsearch 泄露 27 亿邮件数据 2019 年 12 月 4 日， SecurityDiscovery 网站的网络威胁情报总监鲍勃 迪亚琴科 （Bob Diachenko）发文称：“我们发现了一个 Elasticsearch 数据库泄露，包括了 27 亿个电子邮件地址， 其中 10 亿个密码都是以简单的明文存储的。 其中大多数被盗的邮件域名是来自中国的邮件提供商，

44、 腾讯、 新浪、 搜狐和网易等都在内， 发现了包括 ， ， ， 和 等域名。另外，雅虎、Gmail 以及一些俄罗斯的邮件域名也受到了影响。” 据了解，这次数据泄露的 Elasticsearch 服务器属于美国的一个托管服务中心。2019 年 12 月 9 日，在 Diachenko 发布数据库存储安全报告之后，该托管服务中心关闭了 Elasticsearch 服务器，但是其至少对外开放了一周的时间，并且允许任何人在无密码的情况下访问。 25 附录 2 垃圾邮件主题内容分析 本附录给出的垃圾邮件分类及案例， 来自奇安信网神邮件威胁检测系统的智能识别与捕获。其中，不包括带毒邮件和钓鱼邮件。 垃圾邮

45、件根据其内容一般可分为广告、色情、赌博、谣言等几大类。每一个类别之下，又可以根据具体内容分成若干子类。下面将具体给出广告、色情、赌博等几类邮件的详细分类和实例。 特别说明，本文给出的只是部分最常见的情况举例，不是全部。 一、 广告 广告类垃圾邮件是商家利用电子邮件进行的商业宣传手段， 因此 3 种类繁多， 此处仅举几种类型的案例。 （一）（一）开具发票开具发票 此类垃圾邮件的发件人在邮件内宣称提供代开普通发票和增值税发票的业务， 并能通过税务验证。 （二）（二）购物（商品推荐）购物（商品推荐） 此类垃圾邮件内容多为某地或某网站折扣活动中的商品， 或收件人曾有过消费记录的网站推荐的商品。 26

46、(b) （三）（三）培训培训/ /会议会议- -会议活动会议活动 此类垃圾邮件内容多为某公司举办的与其行业或领域相关的会议， 或为某群体举办的线下交流会。 27 （四）（四）培训培训/ /会议会议- -培训课程培训课程 此类垃圾邮件内容多为收件人曾注册的在线学习网站发来的课程推荐， 也有公司或个人开设的课程。 28 （五）（五）招聘招聘 此类垃圾邮件内容多为收件人曾注册的招聘网站或平台发来的招聘信息， 若网站或平台对后续的追踪不够持续，则会一直受到此类垃圾邮件。 （六）（六）第三方服务第三方服务- -信用评价信用评价 此类垃圾邮件内容在邮件内宣称提供国际、 国家、 行业各类标准或信用评级的认证

47、服务。 29 （七）（七）第三方服务第三方服务- -推广推广 此类垃圾邮件多为推广网站，标题常用不易阅读的文字，用以避开反垃圾邮件技术，正文部分为空或与标题相同。 二、 色情 此类垃圾邮件多包含色情的文字内容或图片，其发件人目的为推广色情网站。 三、 赌博 此类垃圾邮件多包含博彩相关的文字内容或图片，其发件人目的为推广博彩网站。 30 四、 欺诈 此类邮件发送者以电子邮件的方式勒索、骗取用户财产、账号信息，对用户的资产、信息安全造成威胁，根据其邮件内容，可分为勒索、诈骗、OA 钓鱼三类。 （一）（一）OAOA 钓鱼钓鱼 这类攻击的目的非常明确， 就是盗取企业用户的域账号信息。 邮件内容大多是通

48、知用户邮箱出现了某种问题，比如邮箱安全、未送达（接受邮件） 、邮箱容量升级、 邮箱账户关闭、邮箱账户验证、邮箱密码过期等来引导用户在钓鱼网页中泄露自己的邮箱帐号和密码。 31 （二）（二）勒索勒索 此类邮件攻击者一般会给用户发送威胁邮件， 告诉用户其私密信息已泄露或电脑资产被加密，需要向某个账户打款来避免损失等。据统计，该类邮件具有“广撒网”特征，即短时间内发送多人， 且为了增加收件几率， 其邮件收件人往往为批量产生的， 因此大多为空账号。由于此类邮件模式大多较为简单，用户很容易判断其真伪，若遇到较为严重的情况，可上报公司 IT 管理部门进行排查或寻找专业安全厂商进行鉴定。 32 （三）（三）

49、诈骗诈骗 此类邮件利用用户认知偏差， 假借赔偿、 中奖等名义诱导收件人将钱转到诈骗者个人账户上，该类垃圾邮件往往伪装成某金融组织官方邮箱或银行相关人员，以迷惑收件人。 33 34 附件 3 Coremail CAC 反垃圾云产品介绍 Coremail 论客科技（广州）有限公司是中国领先的电子邮件解决方案服务商，始创于1999 年。公司专注于电子邮件技术及服务，产品涵盖邮件系统、企业邮箱、邮件归档系统、邮件投递系统、海外加速系统、邮件安全管理系统、 反垃圾网关系统等。2000 年首发中国第一套中文邮件系统。Coremail 论客邮件系统以安全、稳定、高效，为各行业客户提供个性化的解决方案，尤其为

50、中大型企业集团化管理的邮箱需求提供整体安全解决方案。 CAC 反垃圾云产品介绍 近年来垃圾邮件发送者不断变换着邮件的发送和编写方式，使得垃圾邮件越来越多。Coremail 针对现状，部署了国内首个商业 CAC 反垃圾云（反垃圾邮件服务运营中心，即Coremail Anti-spam Center） 。 CAC 数据中心和离线处理平台对邮件相关数据进行加工处理分析， 生成预测模型并下发到在线高并发处理系统， 在线高并发处理系统对邮件样本进行实时过滤分析，大幅增强对可疑邮件的过滤判定，从而提升对用户垃圾邮件的拦截率。 CAC 采集了 7 亿用户的垃圾邮件样本，并在国内部署了过百万的探针邮箱，可以在