奇安信：2021中國企業郵箱安全性研究報告（2022）（29頁）.pdf

1、 中國企業郵箱安全性 研究報告 2022 年 9 月 編寫組 組長 林延中 裴智勇 主要編寫人員 劉川琦 朱騰蛟 江嘉杰 練奕余 中國企業郵箱安全性研究報告 由廣東盈世科技計算機有限公司與奇安信集團聯合為您提供，本聯合報告的編撰獲得了 Coremail 科技CAC 郵件安全大數據中心、Coremail 郵件安全實驗室以及奇安信行業安全研究中心相關專家的悉心指導和寶貴建議，在此表示感謝。摘 要 根據 Coremail 與奇安信行業安全研究中心的聯合監測，同時綜合網易、騰訊、阿里巴巴等主流企業郵箱服務提供商的公開數據進行分析評估，截止 2021 年，國內注冊的企業郵箱獨立域名約為 535 萬個，相

2、比 2020 年增加 1.5%?；钴S的國內企業郵箱用戶規模約為 1.8 億，與 2020 年用戶規模相比增加了 12.5%。僅就正常郵件而言，統計顯示，全國企業郵箱用戶在 2021 年共收發正常電子郵件約3379.7 億封，比 2020 年增長 25.4%，平均每天發送正常電子郵件約 9.3 億封，人均每天發送電子郵件約 5.1 封。相比 2020 年人均每天發送 4.6 封郵件，增加了 0.9 封。對中國政企機構獨立郵箱域名的抽樣分析顯示，從域名注冊量來看，工業制造類企業注冊的郵箱域名最多，占比為 31.5%，其次是交通運輸行業占比 11.7%，外資機構占比 8.5%；還有互聯網企業占比 7

3、.4%，IT 信息技術占比 7.0%，金融行業占比 6.1%等，這些都屬于電子郵箱使用獨立域名較多的行業。統計顯示，全國企業郵箱用戶收發的郵件以境內收發為主。國內收發占 73.8%；海外收發 26.2%。從服務器的所在地來看，2021 年，國內企業郵箱服務器設在北京的數量排名第一，占比為 21.7%；上海排第二，占比為 15.0%；深圳排名第三，占比 11.1%。根據 Coremail 與奇安信行業安全研究中心的聯合監測評估，2021 年，全國企業郵箱用戶共收到各類垃圾郵件 3042.1 億封，約占企業級用戶郵件收發總量的 39.8%，是企業級用戶正常郵件數量的 90.0%。這是近五年來普通垃

4、圾郵件收發量第一次少于正常郵件。根據 Coremail 與奇安信行業安全研究中心聯合監測，釣魚郵件的發送者遍布全球，其中，來自美國的釣魚郵件最多，占國內企業用戶收到的釣魚郵件的 41.0%；其次是中國，約占 11.7%；新加坡排名第三，約占 5.3%。根據 Coremail 與奇安信行業安全研究中心聯合監測評估，2021 年，全國企業級用戶共收到約 609.5 億封帶毒郵件，相比 2020 年收到的 492.1 億封帶毒郵件相比，同比增長了23.9%。越來越多的帶毒郵件正在被發送給企業郵箱。2021 年企業級用戶收到的帶毒郵件量約占用戶收發郵件總量的 7.98%。平均每天約有 1.7 億封帶毒

5、郵件被發出和接收。關鍵詞：關鍵詞：企業郵箱、垃圾郵件、帶毒郵件、釣魚郵件 目 錄 研究背景.2 主要觀點.3 第一章 電子郵箱的使用與規模.4 一、電子郵箱的使用規模.4 二、電子郵箱用戶行業分布.5 三、電子郵件的地域分布.6 第二章 垃圾郵件.8 一、垃圾郵件的規模.8 二、垃圾郵件發送源.8 三、垃圾郵件受害者.10 第三章 釣魚郵件.11 一、釣魚郵件的規模.11 二、釣魚郵件發送源.11 三、釣魚郵件受害者.12 第四章 帶毒郵件.14 一、帶毒郵件的規模.14 二、帶毒郵件發送源.14 第五章 郵件安全應急響應案例.15 一、下載破解軟件，導致內網終端自動發送惡意郵件.15 二、A

6、PT 組織利用釣魚郵件進行攻擊.16 三、能源行業某客戶內網收到釣魚郵件應急事件處置.17 四、【補貼】主題釣魚郵件泛濫.18 五、BEC（BUSINESS EMAIL COMPROMISE）商業郵件詐騙.20 附件 1 CACTER 郵件安全網關產品介紹.22 附件 2 奇安信網神郵件威脅檢測系統.24 2 研究背景 在中國當前網絡空間形勢下，社交網絡日益發達，電子郵件發展至今已有幾十年歷史，但仍是最重要的現代互聯網應用之一。從個人生活到工作場景的使用，郵件都在現階段人們的生活中扮演者不可或缺的角色。近年來中國企業信息化辦公程度逐年升高，更是大大促進了企業郵箱的使用，同時也使企業郵箱系統成為

7、黑客入侵機構內部網絡的首選入口。針對郵件系統在使用時存在的問題，奇安信行業安全研究中心聯合 Coremail，自 2016年起合作編撰中國企業郵箱安全性研究報告，截至今年已連續發布六年。報告數據主要來自 Coremail 與奇安信集團聯合監測，報告內容以電子郵箱的使用、垃圾郵件、釣魚郵件、帶毒郵件為主體，從規模、發送源、受害者及典型案例等方面分析中國企業郵箱安全性。本報告結合了Coremail與奇安信集團多年在企業郵箱領域的豐富實踐經驗及研究經驗，相關研究成果具有很強的代表性。希望此份報告能夠對各個行業、單位，開展以郵件防護為基礎，增強完善整體網絡安全建設，提供一定參考。3 主要觀點 郵件用戶

8、規?？焖僭鲩L，以業務為基礎的正常郵件收發量也在快速增長，且增速顯著高于普通垃圾郵件的增速。從而使得近五年來正常郵件收發量首次超過普通垃圾郵件的收發量。隨著郵件識別技術的持續進步，越來越多的其他惡意郵件（如釣魚郵件、帶毒郵件等）可以被精準識別，其他惡意郵件的增長速度也在迅速增長，值得關注。普通垃圾郵件發送源境內最多，占比 47.8%；釣魚郵件與帶毒郵件的發送源均為美國最多，占比分別為 41.0%與 36.8%。釣魚郵件受害者最多的三個行業及占比分別為：工業制造 26.2%、交通運輸 12.0%和教育培訓 7.5%。僵尸網絡、挖礦木馬通過電子郵件進行傳播的活動仍然十分猖獗，這給很多政企機構造成了巨

9、大的困擾。以“財務補貼”、“工資補貼”為代表的針對政企機構員工的網絡詐騙正處于歷史高發期，甚至很多知名的互聯網企業也成為了被攻擊目標。針對企業財務及管理人員的“高級郵件詐騙”活動呈現出打擊精準、手段多樣且極具迷惑性的特點。這給很多企業造成了巨大的甚至不可挽回的損失。4 第一章 電子郵箱的使用與規模 一、電子郵箱的使用規模 根據 Coremail 與奇安信行業安全研究中心的聯合監測，同時綜合網易、騰訊、阿里巴巴等主流企業郵箱服務提供商的公開數據進行分析評估，截止 2021 年，國內注冊的企業郵箱獨立域名約為 535 萬個，相比 2020 年增加 1.5%?；钴S的國內企業郵箱用戶規模約為 1.8億

10、，與 2020 年用戶規模相比增加了 12.5%。近五年國內企業級電子郵箱活躍用戶規模變化如下圖所示：從電子郵箱的使用情況來看，2021 年，全國企業郵箱用戶共收發各類電子郵件約 7637.7億封，相比 2020 年企業及電子郵箱用戶收發郵件數量增長 15.0%。平均每天收發電子郵件約 20.9 億封。其中，正常郵件占比約為44.3%，普通垃圾郵件占比為 39.8%、釣魚郵件 4.5%、病毒 5 郵件 8.0%、謠言郵件 2.8%，色情、賭博等違法信息推廣郵件約 0.6%。也就是說，2021年，在郵件系統收發的郵件中，僅有 4 成左右為正常郵件，垃圾郵件及其他各類非法、惡意郵件等非正常郵件的數

11、量，約是正常郵件數量的 1.3 倍。僅就正常郵件而言，統計顯示，全國企業郵箱用戶在 2021 年共收發正常電子郵件約3379.7 億封，比 2020 年增長 25.4%，平均每天發送正常電子郵件約 9.3 億封，人均每天發送電子郵件約 5.1 封。相比 2020 年人均每天發送 4.6 封郵件，增加了 0.5 封。不同于個人郵箱，企業郵箱的主要用途是辦公。因此，同一機構內部郵件互發往往會比較頻繁。抽樣統計顯示，2021 年企業用戶發送的電子郵件中，約 34.7%為機構內部郵件，22.9%為外部郵件，42.4%為內外通發郵件（收件人既有機構內部，也有機構外部）。二、電子郵箱用戶行業分布 對中國政

12、企機構獨立郵箱域名的抽樣分析顯示，從域名注冊量來看，工業制造類企業注冊的郵箱域名最多，占比為 31.5%，其次是交通運輸行業占比 11.7%，外資機構占比 8.5%；6 還有互聯網企業占比 7.4%，IT 信息技術占比 7.0%，金融行業占比 6.1%等，這些都屬于電子郵箱使用獨立域名較多的行業。如果從正常郵件的發送量上來看，工業制造和交通運輸行業發送的郵件數量最多，工業制造類企業郵件正常發送量占比 18.3%，排名第一；交通運輸占比 16.9%，排名第二；其次是媒體占比為 14.0%；教育培訓、IT 信息技術、科研機構等也都是郵件發送量較多的行業。具體占比如下圖所示：對比獨立郵箱域名注冊量和

13、郵件發送量，可以看出，就單個政企機構而言，教育培訓，工業制造與交通運輸等行業對郵件辦公的依賴度最高。特別的，本次報告對.edu（教育）、.org（組織機構）和.gov（政府）三個域名的郵箱使用情況進行了分析。其中， 郵箱域名在全國占比為 0.08%， 的郵箱域名占比約為 0.08%， 郵箱域名占比為 0.04%。而從正常郵件發送量上來看， 郵箱占3.95%， 郵箱占 1.26%， 郵箱占 0.15%。三、電子郵件的地域分布 7 統計顯示，2021 年全國企業郵箱用戶收發的郵件以境內收發為主。國內收發占 73.8%；海外收發 26.2%。從服務器的所在地來看，2021 年，國內企業郵箱服務器設在

14、北京的數量排名第一，占比為 21.7%；上海排第二，占比為 15.0%；深圳排名第三，占比 11.1%。8 第二章 垃圾郵件 一、垃圾郵件的規模 根據 Coremail 與奇安信行業安全研究中心的聯合監測評估，2021 年，全國企業郵箱用戶共收到各類垃圾郵件 3042.1 億封，約占企業級用戶郵件收發總量的 39.8%，是企業級用戶正常郵件數量的 90.0%。這是近五年來普通垃圾郵件收發量第一次少于正常郵件。從近五年情況來看，正常郵件收發量的增速高于垃圾郵件收發量的增速，同時其他惡意郵件的收發量近年來也有較快增長。具體分布如下圖所示：分析其原因有四點：第一，反垃圾郵件技術在持續進步。第二，境內

15、機構（包括主管部門與郵件服務商）對境內垃圾郵件的源頭的持續打擊在相當程度上抑制了垃圾郵件的增長。第三，新增郵件用戶多為企業用戶，通常會配置較高的反垃圾郵件策略，從而使垃圾郵件更加難以有效的抵達目的人群。第四，郵件服務商通過持續的技術進步，將更多危害性強的惡意郵件監測并區分出來。未來此類型郵件的監測和防護也將成為郵件安全領域的主戰場。正是由于這些對垃圾郵件的抑制因素使得垃圾郵件的增長速度遠不及新增用戶的增長速度與正常收發郵件數量的增長速度。二、垃圾郵件發送源 Coremail 與奇安信行業安全研究中心對垃圾郵件的發送源頭進行了分析。據統計，因盜號導致發送垃圾郵件（正常用戶郵箱帳號被盜后，被黑客用

16、來發送垃圾郵件）占所有垃圾郵件總量的 30.2%。從發送者郵箱域名歸屬情況來看，全國企業郵箱收到的垃圾郵件中，來自國內的垃圾郵件最多，占總數的 47.8%，來自美國的垃圾郵件次之，占總量約 18.1%，第三是俄羅斯，約占 6.3%。具體占比如下圖所示：9 僅就國內情況來看，根據發送者的域名歸屬地來看，來自安徽的垃圾郵件發送者最多，占國內垃圾郵件發送總量的 18.2%，其次為江蘇省，占 17.2%，北京，占 11.6%。下圖給出了國內垃圾郵件發送源域名歸屬省份 TOP10 及其垃圾郵件發送量占比情況。對發送垃圾郵件的郵箱域名進行抽樣行業分析顯示，2021 年，國內垃圾郵件發送源中教育培訓行業占比

17、最高，為 11.3%；其次為工業制造，占比 7.6%；互聯網企業排名第三，占比 4.9%。下圖給出了國內垃圾郵件發送源行業分布。10 三、垃圾郵件受害者 從收到垃圾郵件的受害者服務器所在地來看，廣東省用戶收到的垃圾郵件最多，共收到了占比高達全國 20.0%的垃圾郵件；其次為北京，收到了全國 18.3%的垃圾郵件；浙江省排名第三，收到了全國 12.2%的垃圾郵件。下圖給出了國內企業郵箱用戶中垃圾郵件受害者的省級行政分布 TOP10。11 第三章 釣魚郵件 一、釣魚郵件的規模 在本章內容中，釣魚郵件是指含有惡意欺詐信息的郵件，包括 OA 釣魚郵件、魚叉郵件、釣鯨郵件、CEO 仿冒郵件和其他各類釣魚

18、欺詐郵件，但不包括帶毒郵件、非法郵件等。其中，魚叉郵件是指針對特定目標投遞特定主題及內容的欺詐電子郵件。相比一般的釣魚郵件，魚叉郵件往往更具迷惑性，同時也可能具有更加隱秘的攻擊目的。而釣鯨郵件則是指那些專門針對企業高管或重要部門進行的魚叉郵件攻擊。在本報告中，我們將釣鯨郵件和一般的魚叉郵件區別開來進行統計分析。而 CEO 仿冒郵件則是指冒充企業高管對公司員工或某些部門進行的魚叉郵件攻擊。根據 Coremail 與奇安信行業安全研究中心的聯合監測評估，2021 年，全國企業郵箱用戶共收到各類釣魚郵件約 342.2 億封，相比 2020 年收到各類釣魚郵件的 460.9 億封減少了25.8%。20

19、21 年全國企業郵箱用戶收到的釣魚郵件數量約占企業級用戶郵件收發總量的4.5%，平均每天約有 0.9 億封釣魚郵件被發出和接收。二、釣魚郵件發送源 根據 Coremail 與奇安信行業安全研究中心聯合監測，釣魚郵件的發送者遍布全球，其中，來自美國的釣魚郵件最多，占國內企業用戶收到的釣魚郵件的 41.0%；其次是中國，約占 11.7%；新加坡排名第三，約占 5.3%。針對國內企業級用戶發送垃圾郵件最多的十個國家及其發送釣魚郵件數量的占比情況如下圖所示。12 從釣魚郵件的發送源服務器所在地來看，北京發送的釣魚郵件最多，有 17.9%的釣魚郵件來自北京的郵箱；另有約 14.1%的釣魚郵件來自上海；約

20、 11.5%的釣魚郵件來自廣東。國內釣魚郵件發送源數量 TOP10 省級行政區分布如下圖所示：三、釣魚郵件受害者 從收到釣魚郵件的受害者服務器所在地來看，北京收到的釣魚郵件最多，有 38.3%的釣魚郵件被發送至北京的企業郵箱用戶；另有約14.2%的釣魚郵件被發送給廣東用戶；約12.4%的釣魚郵件被發送給上海用戶。2021 年國內釣魚郵件受害者數量 TOP10 省級行政區分布如下圖所示：13 國內釣魚郵件受害者所在行業也比較集中，排名前十的行業收到的釣魚郵件數量，占釣魚郵件總數的 70.6%。其中，工業制造行業排名第一，約占釣魚郵件總數的 26.2%；交通運輸排名第二，約占 12.0%；排名第三

21、的行業為教育培訓，占 7.5%。具體 TOP10 行業排名如下所示。14 第四章 帶毒郵件 一、帶毒郵件的規模 根據 Coremail 與奇安信行業安全研究中心聯合監測評估，2021 年，全國企業級用戶共收到約609.5億封帶毒郵件，相比2020年收到的492.1億封帶毒郵件相比，同比增長了23.9%。越來越多的帶毒郵件正在被發送給企業郵箱。2021 年企業級用戶收到的帶毒郵件量約占用戶收發郵件總量的 7.98%。平均每天約有 1.7 億封帶毒郵件被發出和接收。二、帶毒郵件發送源 Coremail 與奇安信行業安全研究中心對帶毒郵件的發送源頭進行了分析。據統計，帶毒郵件的發送者多集中于北美洲與

22、歐洲。其中，來自美國的帶毒郵件最多占全球帶毒郵件的36.8%；中國排名第二，占 20.8%；加拿大排名第三，占 4.7%。針對國內企業級用戶發送帶毒郵件全球分布及占比情況如下圖所示。15 第五章 郵件安全應急響應案例 一、下載破解軟件，導致內網終端自動發送惡意郵件（一）事件概述 2021 年 3 月，奇安信安服應急響應團隊接到制造業某企業應急響應請求，其內網中多個終端出現自動發送惡意郵件行為，希望對該事件進行分析排查處理。應急人員抵達現場后對郵件樣本進行分析，判斷該病毒為“永恒之藍下載器木馬”家族的最新變種。分析郵件日志發現，第一封惡意郵件于事發當天 15:32 由員工 A 郵箱發出。對員工

23、A 主機進行分析發現，該主機中天擎存在多個“永恒之藍下載器木馬”惡意文件攔截記錄。繼續對其系統日志及計劃任務分析發現，事發當天員工 A 主機曾成功執行永恒之藍下載器木馬惡意計劃任務。應急人員與員工 A 溝通了解到，他半年前曾通過第三方渠道下載某破解版軟件，從安裝該軟件之后，天擎就曾有相關攔截提示。事發當天，因誤操作，對天擎彈出的攔截提示點了“允許請求”。經過最終分析研判確定，因員工 A 安全意識不足，安裝了攜帶木馬的破解版軟件，導致個人主機感染“永恒之藍下載器木馬”病毒，后又因誤操作對天擎彈出的告警點擊了“允許請求”，導致病毒下載執行了挖礦模塊和郵件攻擊模塊，并以員工 A 主機為源頭，通過讀取

24、郵箱通訊錄，向其聯系人發送惡意郵件導致了內網大范圍傳播。圖 2-7：攻擊路徑圖 16 （二）防護建議 1)禁止或限制個人 PC 接入內網，如業務需要，增加訪問控制 ACL 策略，采用白名單機制只允許對個人 PC 開放特定的業務必要端口，其他端口一律禁止訪問；2)禁止通過非官方渠道下載應用軟件，不隨意點擊來歷不明的鏈接，加強內部人員安全意識；3)瀏覽網頁或啟動客戶端時注意CPU/GPU的使用率，出現異常時，及時排查異常進程，找到挖礦程序并清除；4)加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化。二、APT 組織利

25、用釣魚郵件進行攻擊（一）事件概述 2021 年 6 月，奇安信安服團隊接到制造業某企業應急響應求助，該企業反饋辦公網疑似被 APT 組織攻擊，要求協助進行排查并溯源。應急人員抵達現場后，刪除惡意計劃任務、惡意進程、木馬文件，對失陷主機進行全盤查殺，并溯源攻擊路徑發現：攻擊者為蔓靈花 APT 團伙。蔓靈花 APT 團隊使用 郵箱賬號向該單位內網發送釣魚郵件，受害主機（x.x.x.103）使用者下載并運行了釣魚郵件中的木馬文件。木馬文件落地后在主機中創建惡意計劃任務DefenderUpdater 及惡意進程 msicexec.exe，使受害主機每隔 15 分鐘向 APT 惡意域名 發送下載惡意程序

26、請求，同時將發起請求的主機名和用戶名信息上傳。（二）防護建議 1)定期進行內部人員安全意識培訓，禁止點擊來源不明郵件附件，禁止將敏感信息私自暴露至公網等；2)安裝殺毒軟件并定期更新病毒庫，開啟殺毒軟件對郵件附件的掃描功能，有效識別惡意附件；3)禁止或限制個人 PC 接入內網，如有業務需要，加強訪問控制 ACL 策略，采用白名單機制只允許對個人 PC 開放特定的業務必要端口，其他端口一律禁止訪問；4)部署高級威脅監測設備，及時發現惡意網絡流量，同時可進一步加強追蹤溯源能力，對安全事件發生時可提供可靠的追溯依據；5)加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢

27、查，及時修復漏洞、安裝補丁，將信息安全工作常態化。17 三、能源行業某客戶內網收到釣魚郵件應急事件處置（一）事件概述 2021 年 12 月，奇安信安服團隊接到能源行業某客戶應急響應求助，公司內部收到數千封釣魚郵件，客戶期望對釣魚郵件內容進行分析并排查疑似感染終端情況。應急人員抵達現場后，對釣魚郵件內容進行查看發現，郵件所帶附件是一個壓縮包，應急人員將其下載至沙箱并解壓，發現壓縮包內為多個帶有惡意宏代碼的 excel 文件，打開后會誘導用戶啟動宏功能，為自身惡意宏代碼創造執行條件。惡意宏代碼運行后，會調用powershell 回連惡意服務器將 Emotett 木馬病毒下載至本地并執行。Emot

28、et 木馬會定期收集主機信息并將數據加密上傳至 C2 服務器，使服務器淪為 Emotet 僵尸網絡中的一員。根據客戶反饋，應急人員對疑似點擊了釣魚郵件的 3 臺員工電腦進行病毒查殺及特征排查，均未發現其它異常。至此，應急人員確認，本次攻擊并非針對單一用戶的定向攻擊，是 Emotet 僵尸網絡在全網范圍的釣魚郵件投遞。投遞的釣魚郵件附件內包含帶有惡意 excel 4.0 宏代碼的 excel 文檔，功能為下載并執行 Emotet 木馬，進而控制受害終端。（二）防護建議 1)加強人員安全意識培養，不要點擊來源不明的郵件附件，不要從不明網站下載軟件。對來源不明的文件包括郵件附件、上傳文件等要先殺毒處

29、理；2)部署郵件安全檢測設備，對外部郵件進行安全檢測，提高垃圾郵件、惡意郵件識別及過濾能力；3)建議安裝防病毒軟件，及時攔截病毒落地，并且定期進行全面掃描，加強服務器病毒預防、抑制及清除能力；4)部署高級威脅監測設備，及時發現惡意網絡流量，同時可進一步加強追蹤溯源能力，在安全事件發生時可提供可靠的追溯依據；5)加強日常安全巡檢制度，定期對系統配置、系統漏洞、安全日志以及安全策略落實情況進行檢查，及時修復漏洞、安裝補丁，將信息安全工作常態化。18 四、【補貼】主題釣魚郵件泛濫（一）事件概述 某企業部分員工遭遇工資補助詐騙的新聞成為熱門話題。據悉，該公司員工 18 日早收到一封自稱是“財務部”發來

30、的5 月員工工資補助通知郵件，大量員工按照附件要求掃碼，并填寫了銀行賬號等隱私信息。結果不僅沒領到補助，反而損失了銀行卡余額。同樣操作手法的詐騙案多次出現，已有多個互聯網公司中招 Coremail 進行主動追溯后發現，該類詐騙釣魚郵件正文內容為國家下發工資補貼通知，并在正文中放置了一張二維碼圖片，誘導受害者掃描正文中二維碼。郵件附件的內容和郵件正文一樣，并未攜帶病毒和可執行文件。該主題的釣魚郵件從 2021 年 12 月持續泛濫至 2022 年 6 月，攻擊手法逐漸轉變為先盜號，使用被盜賬號偽裝為公司“財務部”“人事部”等公司內部相關人員，向域內大量傳播詐騙郵件，利用域內郵箱的高信用度躲避反垃

31、圾反釣魚檢測、騙取“同事”的信任。主題也逐漸發展為【XX 月份補貼發放通知】【XXX+補貼】【XXX 集團財務部-關于發布最新補貼通知】。2022,Q1 工資詐騙類釣魚郵件 19 2022,Q2 工資詐騙類釣魚郵件 Coremail 已對攔截策略進行優化，同時將此類郵件的相關特征更新到云端特征庫。目前CAC 中心已實現對相似特征的有效攔截。在全行業的圍剿下，黑產團伙狡猾地轉變了釣魚思路，釣魚郵件類型從正文展現變為附件型釣魚，將詐騙內容變為將內容存放至 pdf、word、txt 或其他加密附件中，以逃避企業郵箱廠商的反垃圾檢查或郵件網關攔截。（二）防護建議 1)使用 CACTER 郵件安全網關攔

32、截釣魚詐騙郵件攻擊 2)提高郵箱密碼策略要求，設置域內必須使用強密碼，并建議進行弱密碼掃描，及時修改弱密碼以防郵箱被盜。3)提高警惕，收到相關補貼通知類郵件請務必進行單位內部確認；切勿輕易點擊郵件中的可疑鏈接或掃描二維碼！4)不要輕易在可疑網站中輸入個人身份證信息、銀行卡號、密碼。5)建議進行【反釣魚演練】，并對公司重要崗位職工（財務、管理層）進行安全意識教育 6)如遇可疑情況，可撥打 96110 咨詢求助；或下載國家反詐中心 APP，關注國家反詐服務公眾號，學習防騙知識，防詐反詐。20 五、BEC（Business Email Compromise）商業郵件詐騙（一）事件概述 2021 年

33、11 月，Coremail 收到客戶求助，稱其在匯款時發現遭到詐騙。調查發現，詐騙團伙冒充企業原有供應商，多次與企業往來郵件，獲取信任后要求更換匯款銀行賬號。經排查該詐騙團伙使用仿冒域名【供應商 A A.com】發送郵件。此仿冒域名與實際域名【供應商 A.com】高度相似，因此可以繞過 SPF 初查防護。進一步排查供應商郵件系統發現，此郵件并非由實際供應商 A 域名發出，且實際供應商 A 域名旗下郵箱賬號并未被盜，推測為詐騙團伙通過盜取受害企業內部郵箱賬號，獲得企業通訊錄及郵件內容，而后假冒供應商發起商業詐騙。要求業務匯款的 BEC 詐騙郵件 21 此類案例通常被稱為 BEC（Business

34、 Email Compromise）商業郵件詐騙。通常 BEC 攻擊可以被分為九種類型，主要是根據攻擊者采用的欺詐請求方式進行分類。例如冒充供應商，員工或客戶進行發信釣魚，BEC 通常伴隨著多種攻擊手法混合，包括域名偽造，接管被盜帳戶等。在 BEC 詐騙前期，犯罪分子通過魚叉式釣魚、社會工程學、惡意軟件等方式盜取客戶郵箱賬密，并通過被盜賬號了解目標公司的業務流程，高管郵箱，業務內容等，再通過仿冒目標公司域名的賬號接入郵件會話中，并發起轉賬詐騙需求或偷偷替換銀行賬戶等行動。在這套攻擊流程下，攻擊者可以把 BEC 編造得天衣無縫、真實可信，使得受害者往往在遭受大量金錢損失后方才察覺。除域名偽造外，

35、攻擊者常用的攻擊方式還包含以下 2 種特征。特征特征 A：抄送來自被冒充供應商的多個角色抄送來自被冒充供應商的多個角色 為了提升 BEC 的可信度，攻擊者在最初階段會同時將郵件抄送五個同伙（一般是冒充供應商員工的犯罪分子），同伙常常扮演真實供應商的財務或行政員工。特征特征 B：初始請求風險極低初始請求風險極低 通常，攻擊者的初始請求只是簡單地要求對方確認一份轉賬表單，不含任何敏感信息。然而，一旦目標公司員工進行了回復，就會與攻擊者之間建立起信任鏈，隨著交流的加深，攻擊者與其他員工的互動將會逐漸可信。對應的防御手法還包括：域名仿冒檢測、域名信息分析、郵件內容分析。然而，由于 BEC 往往不攜帶可

36、檢測的 URL 或惡意附件等釣魚特征，因而能輕易地避開大多數成熟的安全防護技術，逃避郵箱系統的反垃圾反釣魚檢查，員工受騙后，最終給企業帶來不可挽回的巨大損失。（二）防護建議 1)使用CACTER郵件安全網關對郵件進行域名仿冒檢測、域名信息分析、郵件內容分析，攔截BEC詐騙郵件。2)提高警惕，業務審批層層確認，涉及款項往來務必多方核實。3)建議進行【反釣魚演練】，并對公司重要崗位職工（財務、管理層）進行安全意識教育 4)如遇可疑情況，可撥打 96110 咨詢求助；或下載國家反詐中心APP，關注國家反詐服務公眾號，學習防騙知識，防詐反詐。22 附件 1 CACTER 郵件安全網關產品介紹 廣東盈世

37、計算機科技有限公司旗下品牌包含 Coremail 及 CACTER 郵件安全。2021 年，正式成立郵件安全事業部，專注于一站式解決所有郵件安全問題，產品涵蓋郵件安全網關、CAC2.0 反釣魚防盜號、安全海外中繼、重保服務、反釣魚演練等?？蛻艉w國務院新聞辦公室、國家科技部、國家財政部、中科院、清華大學、北京大學、人民銀行、建設銀行、交通銀行、華潤集團、南方電網、美的集團等。CACTER 郵件安全網關介紹 2021 年，Coremail 郵件安全事業部推出 CACTER 郵件安全網關，網關基于 CAC 大數據中心，實時攔截垃圾廣告，釣魚郵件，病毒郵件，BEC 詐騙郵件，攔截有效率達到 99.8

38、%，支持郵箱品牌包括 Coremail、Exchange、O365、Gmail、IBM Domino、lotus notes。產品優勢 惡意郵件精準隔離惡意郵件精準隔離 CACTER 郵件安全網關融合了多項自主研發的世界領先級反垃圾郵件技術，并使用國內外知名反病毒引擎，對進入網關的郵件進行多維分析，確保釣魚郵件、病毒郵件、垃圾郵件被隔離到網關，保障郵件系統不受惡意郵件威脅。檢測能力實時更新檢測能力實時更新 CACTER 郵件安全網關擁有全國最大的郵件安全數據中心，基于數億惡意郵件樣本，通過部署百萬探針郵箱搜集惡意郵件數據，實時更新郵件檢測引擎規則，為客戶提供最新郵件防護。23 惡意鏈接保護惡意

39、鏈接保護 使用 CACTER 郵件網關后，管理員可開啟惡意鏈接保護功能，對投往郵件系統的每一封郵件的鏈接進行保護。首次過濾+二次檢測防護，事前攔截、事中提醒、事后追溯結合，為郵件系統的郵件安全保駕護航。加密附件檢測加密附件檢測 病毒查殺：Coremail 與多家反病毒廠商合作，對郵件的附件進行多重查殺，同時，病毒庫支持智能實時升級 附件檢測：部分病毒郵件使用加密壓縮的附件，能夠繞過反病毒檢測，如近期泛濫的 Emotet病毒郵件攻擊。內容檢測：CACTER 網關能夠拆解文檔類型的附件，包括 PDF、word、Excel 并執行文本指紋檢查，有效識別附件型的垃圾郵件。CACTER 郵件安全網關采用

40、當今世界上先進的反垃圾郵件技術，包括自研算法NEVER1.0、IP 信譽評估機制、實時郵件指紋檢查、郵件評分技術、發信行為分析、機器學習算法等，經過多層次過濾，CACTER 郵件安全網關可以高達 99.8%的垃圾郵件攔截率，低于 0.02%的誤判率。多種部署，支持信創 CACTER 郵件網關可提供云/軟件/硬件多種部署方式，為 Coremail、Exchange、O365、Gmail、IBM Domino、lotus notes 等市面主流郵件系統提供防護。聯系我們 官方網站： 服務熱線：400-000-1631 微信公眾號：CACTER 郵件安全 24 附件 2 奇安信網神郵件威脅檢測系統

41、奇安信網神郵件威脅檢測系統是奇安信集團面向政府、企業、金融、軍隊等大型企事業單位推出的針對郵件場景的高級威脅檢測及處置的解決方案。郵件威脅檢測系統采用多種的病毒檢測引擎，結合威脅情報以及 URL 信譽庫對郵件中的 URL 和附件進行惡意判定，并使用動態沙箱技術、郵件行為檢測模型、機器學習模型發現高級威脅及定向攻擊郵件。通過對海量數據建模、多維場景化對海量的郵件進行關聯分析，對未知的高級威脅進行及時偵測。強大的偵測技術和全面的處置手段，對電子郵件系統進行全面的安全防御。用戶價值 為客戶提供更高級的郵件安全防護為客戶提供更高級的郵件安全防護 通過定制化沙箱分析，發現傳統郵件安全產品無法偵測的附件高

42、級威脅。通過專業的機器學習模型，發現更隱蔽的釣魚郵件等社交工程郵件。提供更靈活的安裝和部署方式提供更靈活的安裝和部署方式 提供多種部署方式，可適應不同的用戶場景和需求?？梢院同F有的郵件安全解決方案無縫協同工作，建造完整的應用、防護于一體的綜合郵件辦公系統。與現有天眼高級威脅檢測方案聯動，實現更全面的威脅檢測和分析?？吹靡姷耐度氘a出比看得見的投入產出比 阻止社交工程郵件，避免昂貴的事后補救措施。通過阻止、隔離、移除威脅、通知收件人等方式減少惡意郵件威脅。更炫酷的展示效果更炫酷的展示效果 產品支持將郵件外部攻擊態勢在 4K 的屏幕上投屏展示，滿足日常巡檢需求。產品介紹 25 威脅情報 郵件威脅檢測

43、系統結合了奇安信強大的威脅情報數據，使產品對郵件威脅的檢測能力如虎添翼。高效的沙箱分析模塊 郵件威脅檢測系統沙箱模塊可針對文件進行深度檢測，采用靜態檢測、漏洞利用檢測、行為檢測多層次手法，構建基于沙箱技術的文件深度檢測分析能力。靜態檢測模塊通過多種檢測引擎互為補充增強靜態檢測能力。動態檢測模塊以硬件模擬器作為動態沙箱環境，分析過程中所有的數據獲取和數據分析工作都在虛擬硬件層實現，全面分析惡意代碼惡意行為，細粒度檢測漏洞利用和惡意行為?；跈C器學習的釣魚郵件識別 機器學習引擎基于云端海量郵件數據進行訓練，通過自適應學習引擎、綜合檢測引擎及URL 增強判定引擎進行綜合檢測，能夠在不同的企業環境下自

44、適應學習，保持低誤報的同時，準確高效的檢出釣魚 URL。豐富的郵件異常場景 能夠通過大量郵件數據進行分析，深入挖掘潛在的威脅行為與線索。包括發件異常、收件異常、暴力破解、單個 IP 登錄多個郵箱、異地登錄等異常場景，支持全面分析仿冒郵件場景，并可根據需求自定義異常場景的檢測條件。郵件多維分析功能 產品提供基于聯系人之間的收發關系的多維分析模塊以及基于惡意文件/URL 的傳輸路徑的多維分析模塊。通過關鍵信息的檢索生成的郵件數據之間的多維關系網，使錯綜復雜的數據展現一目了然。海量數據存儲和檢索能力 奇安信網神郵件威脅檢測能夠快速檢索匹配郵件主題或者正文中的關鍵字，結合統計學相關理論，達到快速精準內容過濾和關鍵字分析，配套了大量的檢索和分析軟件以對數據做到高效分析。聯系我們 官方網站：https:/ 服務熱線：4008-136-360 微信咨詢：奇安信集團