coremail3研究背景 1第一章電子郵箱應(yīng)用形勢 2一、電子郵箱的使用規(guī)模 2二、電子郵箱用戶行業(yè)分布 3三、電子郵件的地域分布 5 6一、垃圾郵件的規(guī)模 6二、垃圾郵件發(fā)送源 6三、垃圾郵件受害者 7 9一、釣魚郵件的規(guī)模 9二、釣魚郵件發(fā)送源 9三、釣魚郵件受害者 四、釣魚郵件的類型 一、帶毒郵件的規(guī)模 22二、帶毒郵件發(fā)送源 22三、帶毒郵件受害者 23四、帶毒郵件的類型 24 一、郵箱盜號的規(guī)模 25二、暴力破解的形勢 25三、郵箱盜號的影響 26 一、仿冒國家部委發(fā)布虛假勞動補貼郵件 27二、冒充合作伙伴偽造發(fā)票商務(wù)郵件詐騙 29三、動態(tài)IP池爆破員工郵箱釣魚重要客戶 30四、某金融企業(yè)遭遇撒網(wǎng)式釣魚郵件攻擊 32五、釣魚郵件通知入群觸發(fā)的群聊劇本殺 34六、攻擊隊冒充HR給發(fā)送的加密帶毒郵件 35coremail4第七章郵件風(fēng)險趨勢分析 39一、AI用于郵件深偽使跨國攻擊更難識別 39二、動態(tài)IP池使郵箱爆破產(chǎn)業(yè)鏈更加完善 40三、郵箱盜號加同域釣魚成流行攻擊組合 42四、加標(biāo)二維碼成欺詐郵件攻擊流行招式 42五、加密壓縮成帶毒郵件反查殺首選方式 43六、郵件釣魚被普遍應(yīng)用于實戰(zhàn)攻防演習(xí) 43 附錄2CAC2.0防暴衛(wèi)士產(chǎn)品簡介 49附件3奇安信網(wǎng)神郵件威脅檢測系統(tǒng) 52附錄4奇安信觀星實驗室 55coremail1研究背景了企業(yè)郵箱的使用，同時也使企業(yè)郵箱系統(tǒng)成為黑客入侵機構(gòu)內(nèi)部網(wǎng)絡(luò)的首選入口。人工智能實驗室、CACTER郵件安全研究團隊，自2016年起合作編撰《中國企業(yè)郵coremail2第一章電子郵箱應(yīng)用形勢從電子郵箱的使用情況來看，2023年，全國企業(yè)級郵箱用戶共收發(fā)各類電子郵件約coremail3僅就正常郵件而言，統(tǒng)計顯示，全國企業(yè)郵箱用戶在2023年共收發(fā)正常電子郵件約3571.7億封，比2022年增長2.7%，平均每天發(fā)送正常電子郵件約9.8億封，人均每天發(fā)送較頻繁。抽樣統(tǒng)計顯示，2023年企業(yè)用戶發(fā)送的電子郵件中，約34.22.7%為外部郵件，42.7%為內(nèi)外通發(fā)郵件（收件人既有機構(gòu)內(nèi)部，也有機構(gòu)外部）。coremail4為0.09%，.郵箱域名占比為0.05%。而從正常郵件發(fā)送量上來看，.郵箱占5從服務(wù)器的所在地來看，2023年，國內(nèi)企業(yè)郵箱服務(wù)器設(shè)在北京的數(shù)量排名第一coremail6第二章垃圾郵件形勢分析2023年，全國企業(yè)郵箱用戶共收到各類普通垃圾郵件3158.4億封，約占企業(yè)級用戶郵件收從發(fā)送者郵箱域名歸屬情況來看，2023年，全國企業(yè)郵箱收到的垃圾郵件中，來自國內(nèi)的垃圾郵件最多，占總數(shù)的38.6%，來自美國的垃圾郵件次之，占總量約20.4%，第三是郵件發(fā)送源的Top5。而隨著戰(zhàn)爭的持續(xù)，來自俄烏某種程度上說明，兩國正在遭到越來越多的網(wǎng)絡(luò)安全威脅。12345coremail7僅就國內(nèi)情況來看，從發(fā)送者的域名歸屬地來看，來自江蘇的垃圾郵件發(fā)送者最多，對發(fā)送垃圾郵件的郵箱域名進行抽樣行業(yè)分析顯示，2023年，國內(nèi)垃圾郵件發(fā)送源中從收到垃圾郵件的受害者服務(wù)器所在地來看，2023年北京用戶收到的垃圾郵件最多，8圾郵件總數(shù)的73.5%。其中，工業(yè)制造行業(yè)排名第一，約占垃圾郵件總數(shù)的21.7%；教育培coremail9第四章釣魚郵件形勢分析釣鯨郵件、CEO仿冒郵件和其他各類釣魚欺詐郵件，但不包括帶毒郵件、指那些專門針對企業(yè)高管或重要部門進行的魚叉郵件攻擊業(yè)高管對公司員工或某些部門進行的魚叉郵件2023年，全國企業(yè)郵箱用戶共收到各類釣魚郵件約577.1億封，相比20郵件的425.9億封增加了35.5%。網(wǎng)絡(luò)coremail123451.大量新的中文郵件黑產(chǎn)團伙出現(xiàn)。上述多種因素，最終也導(dǎo)致2023全年釣魚郵件數(shù)量有一個明顯的增長。導(dǎo)致來從具體內(nèi)容來看，2023年流行的釣魚郵件主要有8種coremail補貼/退稅、升級/擴容、仿冒官網(wǎng)、虛假發(fā)票、份驗證/備案類釣魚郵件數(shù)量最多，占比約為見的是以保護郵件系統(tǒng)安全性為由要求用戶進行身份驗證/備案，具體理由包括但不限于離coremail下面是一個攻擊者仿冒國際知名招聘平臺領(lǐng)英發(fā)出的釣魚郵件。受害者只要點擊郵件coremailcoremailcoremail信的電子郵件，從而盜取受害者的賬號、口令和個人現(xiàn)。不過由于整體數(shù)量不大，這里不再做詳細分類，只是把一些典型案例做個coremail第五章帶毒郵件形勢分析Coremail郵件安全人工智能實驗室與奇安信行業(yè)安全研究中心對帶毒郵件的發(fā)送源頭最近三年針對國內(nèi)企業(yè)級用戶發(fā)送帶毒郵件的發(fā)送源全球分布及占比情況如下表所示。12345對于帶毒郵件的治理則有顯著成效，帶毒郵件發(fā)送量從2021coremail從收到帶毒郵件的受害者服務(wù)器所在地來看，2023年北京用戶收到的帶毒郵件最多，13.8%。下圖給出了國內(nèi)企業(yè)郵箱用戶中帶毒郵件受害者的省級行政區(qū)分布Top10。通過對帶毒郵件附件文件的后綴分析發(fā)現(xiàn)，.r郵件反病毒技術(shù)的日益成熟，一般的壓縮技術(shù)已經(jīng)不能阻礙郵件反病毒引擎第六章電子郵箱賬號安全持續(xù)加?。?023年國內(nèi)企業(yè)郵箱賬號被盜總量是2019年的近2.2coremail從歷年趨勢來看，盡管暴力破解活動在所有異常登錄行為中的占比逐年下降，從2019統(tǒng)計顯示，自2020年以來，利用被盜號的郵箱發(fā)送垃圾coremail上填寫了一個短信驗證碼；隨后，他便看到頁面提示：“系統(tǒng)認(rèn)證中，請勿刷新頁不過，此類釣魚郵件也是由明顯的特征的，只要掌握識別方法，還是可以通過“肉眼”coremail在該公司財務(wù)人員收到此封郵件的當(dāng)天，Coremail郵件安全人工智能實驗室在對企業(yè)貿(mào)公司網(wǎng)絡(luò)安全部門發(fā)出風(fēng)險提示，及時阻止了此次風(fēng)險內(nèi)容，精心編寫了十余封仿冒業(yè)務(wù)郵件，并通過一個域名與合法郵箱域名極其相似的郵箱），研究該公司相關(guān)業(yè)務(wù)及郵件通信習(xí)慣后，才使用Emily的郵箱給客戶發(fā)送了一封精心偽裝coremail經(jīng)濟損失，但已有重要商業(yè)機密被竊取，同時也失去了重要客），的不懈嘗試，這個黑產(chǎn)團伙最終于事發(fā)前三天完成爆破，登錄成下圖是系統(tǒng)記錄的攻擊者的爆破記錄，其中標(biāo)紅的就規(guī)避這種限制，使得這種防御措施變得無效。因此，需要從更根本的層面加強防就應(yīng)當(dāng)更加謹(jǐn)慎的甄別郵件的真實性，最好向相關(guān)部門負(fù)責(zé)人進coremail 很多同事及不少行業(yè)同仁。攻擊者巧妙的利用了金融行業(yè)網(wǎng)絡(luò)安全部門具有很大“權(quán)威性” 在2023年，撒網(wǎng)式釣魚郵件仍舊是一種普coremail全部門只會要求員工正常登錄自己的郵箱系統(tǒng)后再進行安全操作或升級門的郵件。郵件內(nèi)容是通知她加入一個新成立中附有一個QQ群號，并強調(diào)所有高層管理人員都已coremail層的QQ賬號，在群內(nèi)制造了一個完美的騙局。由），2.財務(wù)人員屬于網(wǎng)絡(luò)攻擊高危人群，應(yīng)接受更加有針對性的網(wǎng)絡(luò)安全coremail但實際上，攻擊者這樣做的目的，是為了為統(tǒng)默認(rèn)不顯示快捷方式文件（lnk文件）的后綴,所以從普通用戶的角度看，解壓后的文件通過郵件查看快捷方式屬性可以發(fā)現(xiàn)，這個看似WordcoremailC:\Windows\System32\cmd.eC:\Windows\System32\cmd.exe/c".\M\.DOCX\copy.bat"看起來更是合情合理，給了員工巨大的心理暗示，可以成功的阻止員工向同事、IT部門和互調(diào)用的方式實現(xiàn)加載的，lnk、bat文件均不帶通過這樣的組合攻擊方式，使得每個單一文件在沙箱中運行時都不情都屬于意外之喜，天上掉餡餅，一定要多加謹(jǐn)慎，反coremail第八章郵件風(fēng)險趨勢分析郵件，學(xué)習(xí)其風(fēng)格和語法，并模仿這些特征來生成釣魚郵件。此外，攻擊者可以通過向AI收件人點擊鏈接的可能性更高”、“請求對方立即匯款魚郵件比傳統(tǒng)方法生成的釣魚郵件更具說服力，更容易欺騙受害者。借助AI，釣魚郵件的更加讓人擔(dān)憂的是，攻擊者完全可以使用類似ChatGPT這樣強大的公開平臺服務(wù)來生工作、社會關(guān)系等，從而可以撰寫出對特定目標(biāo)更具說服力的釣不僅需要投入大量的時間，而且需要一定的經(jīng)驗和情報匯聚分析能力。但這對于人工智能coremail生成式AI，典型的如ChatGPT的大語言模型（LLM）擁有海量的編程相關(guān)的知識，包不過，不論是不是AI生成的釣魚郵件，對于coremail幾次），來降低被發(fā)現(xiàn)的風(fēng)險，同時擴大攻擊范圍和持續(xù)性，通過增加攻擊目標(biāo)的數(shù)量和持續(xù)攻擊，依然能夠獲得較高的成個賬號發(fā)起更多的釣魚攻擊，或者作為跳板進一步滲透目標(biāo)組織的內(nèi)部coremail近年來盜號后域內(nèi)發(fā)送釣魚郵件的影響日益惡劣。2023貼”類詐騙郵件，已經(jīng)成為了最常見的、造成累計經(jīng)濟損失最大郵件攻擊方式。此外網(wǎng)絡(luò)安全實戰(zhàn)攻防演習(xí)中，盜號后向同域發(fā)送病毒郵件，也已經(jīng)成為了攻擊隊最常見針對同域釣魚，需要從以下三個方面加強安乘之機。正是在這樣的背景下，近3年來，coremail附件1CACTER郵件安全網(wǎng)關(guān)產(chǎn)品介紹反垃圾反釣魚技術(shù)沉淀，CACTER致力于提供一站式郵件安全解決方案。產(chǎn)品涵蓋郵件安全大學(xué)、北京大學(xué)、人民銀行、建設(shè)銀行、交通銀行、華潤集團、南方電網(wǎng)、美的集團等。Eyou，安寧，139，Winmail，為企業(yè)郵件通CACTER郵件安全網(wǎng)關(guān)基于多項自主研發(fā)的世界領(lǐng)先級反垃圾郵件技術(shù)，針對用戶賬號CACTER郵件安全網(wǎng)關(guān)擁有國內(nèi)頭部的郵件安全數(shù)據(jù)中心，基于數(shù)億惡意郵件樣本，通coremail郵件的鏈接進行保護。首次過濾+二次檢測防護，事前攔截、事中提醒、加密附件解密檢測：惡意威脅郵件多帶有加密壓縮附件，件等，能夠繞過反病毒檢測。CACTER郵件安全網(wǎng)關(guān)能夠識別這類加密附件，管理型的附件，并進行文本指紋檢查，有效識別沙箱檢測：CACTER郵件安全網(wǎng)關(guān)支持云沙箱檢測，可在獨立、隔離的環(huán)境中自動coremailCACTER郵件安全網(wǎng)關(guān)支持多節(jié)點集群部coremail附錄2CAC2.0防暴衛(wèi)士產(chǎn)品簡介Coremail全新升級CAC2.0，是一款同時具備威脅郵件識別過濾、郵準(zhǔn)實時告警、泄露賬號威脅登錄攔截，以及綜使用多種技術(shù)，在郵件進入系