論客&奇安信：2019中國企業郵箱安全性研究報告（43頁）.pdf

1、 2019 中國企業郵箱安全性 研究報告 2020 年 1 月 13 日 編寫組 組長 林延中 裴智勇 主要編寫人員 劉川琦 胡懷亮 潘慶峰 王賀亮 閆秘 朱南皓 楊蕓 潘文輝 2019 中國企業郵箱安全性研究報告由論客科技（廣州）有限公司與奇安信集團聯合為您提供，本聯合報告的編撰獲得了論客科技CAC 反垃圾郵件中心、論客科技產品實驗室以及奇安信集團行業安全研究中心相關專家的悉心指導和寶貴建議，在此表示感謝。 主要觀點 辦公生產自動化的不斷提升， 不但沒有降低電子郵件的重要性， 反而顯著的提升了企業郵箱的使用范圍和使用率。2019 年，全國企業郵箱活躍用戶數量達 1.4 億個，同比增長7.7%

2、；全年累計收發正常電子郵件 2454.1 億封，同比增長 25.4%；人均每天發送電子郵件 4.8 封，同比增長了 0.7 封。此外，調研還顯示，超過 50%的大中型企業會將郵箱賬號與辦公系統/業務系統進行綁定，并通過企業郵箱發布重大決定。郵件安全問題已經成為企業的核心安全問題之一。 國內企業郵箱遭到惡意網絡攻擊急劇增加， 這也成為全球范圍內針對政企機構的網絡攻擊活動日益猖獗的一個縮影。統計顯示，2019 年，國內企業郵箱用戶收到的帶毒郵件數量翻倍，達 424.3 億封，其中，97%來自境外；同時，收到釣魚郵件的數量也增長約7 成，達 344.3 億封，約 88%來自境外。 企業郵箱的安全管理

3、問題仍然非常突出。 調研顯示， 即便是在大中型企業中，仍有 30%以上的企業存在個人郵箱和企業郵箱混用，或完全使用個人郵箱進行辦公活動的情況。進一步調研顯示，在這些大中型企業中，也往往沒有郵件系統運維管理的責任主體，沒有明確的郵件安全管理規定。國內政企機構的郵件安全管理隱患普遍存在，讓人擔憂。 摘 要 根據 Coremail 論客與奇安信行業安全研究中心的聯合監測，同時綜合網易、騰訊、阿里巴巴等主流企業郵箱服務提供商的公開數據進行分析評估，截止 2019 年底，國內注冊的企業郵箱獨立域名約為 520 萬個，相比 2018 年增長 1.96%?；钴S的國內企業郵箱用戶規模約為 1.4 億，相比 2

4、018 年用戶規模增長了 7.7%。 僅就正常郵件而言，統計顯示，全國企業郵箱用戶在 2019 年共收發正常電子郵件約2454.1 億封， 比 2018 年增長 25.4%，平均每天發送正常電子郵件約 6.7 億封，人均每天發送電子郵件約 4.8 封。相比 2018 年人均每天發送 4.1 封郵件，增長了 0.7 封。 對中國政企機構獨立郵箱域名的抽樣分析顯示， 從域名注冊量來看， 工業制造類企業注冊的郵箱域名最多， 占比為 29.5%， 其次是交通運輸行業占比 10.7%， 外資機構占比 9.6%；還有 IT 信息技術占比 6.7%，互聯網企業占比 6.6%，金融行業占比 6.1%等，這些都

5、屬于電子郵箱使用獨立域名較多的行業。 2019 年，國內企業郵箱服務器設在北京的最多，占比為 21.3%；武漢排第二，占比為16.2%；上海排名第三，占比 13.9%。而在 2017 年的相關統計中，國內有半數以上的企業郵箱服務器是設在杭州市的。 這表明， 針對政企機構的郵箱服務正在從局部地區高度集中，向全國各地分散開來。 2019 年， 全國企業郵箱用戶共收到各類垃圾郵件約占企業級用戶郵件收發總量的 47.2%，是企業級用戶正常郵件數量的 1.2 倍。相比 2018 年下降了 17.9%。 2019 年，全國企業郵箱用戶共收到各類釣魚郵件約 344.3 億封，相比 2018 年收到各類釣魚郵

6、件的 204.3 億封增長了 68.5%。 2019 年， 全國企業級用戶共收到約 424.3 億封帶毒郵件， 相比 2018 年增加了 108.36%。越來越多的帶毒郵件正在被發送給企業郵箱。 關鍵詞：關鍵詞：企業郵箱、垃圾郵件、帶毒郵件、釣魚郵件 目 錄 研究背景 . 1 第一章 電子郵箱的使用與規模 . 2 一、 電子郵箱的使用規模 . 2 二、 電子郵箱用戶行業分布 . 3 三、 電子郵件的地域分布 . 4 第二章 垃圾郵件 . 5 一、 垃圾郵件的規模 . 5 二、 垃圾郵件發送源 . 5 三、 垃圾郵件受害者 . 6 第三章 釣魚郵件 . 8 一、 釣魚郵件的規模 . 8 二、 釣

7、魚郵件發送源 . 8 三、 釣魚郵件受害者 . 9 四、 釣魚郵件調研結果 . 10 第四章 帶毒郵件 . 12 一、 帶毒郵件的規模 . 12 二、 帶毒郵件發送源 . 12 三、 帶毒郵件受害者 . 12 第五章 大中型企業郵箱安全使用與管理. 14 一、 郵箱系統的建設與使用 . 14 二、 郵件安全意識與管理 . 15 第六章 郵件攻擊監測與響應典型案例 . 18 一、 應急響應典型案例 . 18 二、 大數據安全監測典型案例 . 20 附錄 1 2019 年全球十大電子郵件安全事件 . 22 一、 意大利汽車行業遭遇帶毒郵件攻擊 . 22 二、 醫療行業郵件欺詐攻擊兩年增 5 倍 .

8、 22 三、 黑客為財襲擊數個歐洲國家大使館 . 22 四、 亞馬遜英國上百商家遭遇郵件欺詐 . 22 五、 偽造開發票郵件欺騙多家國內企業 . 22 六、 賽門鐵克郵件安全云服務宕機 10 小時 . 23 七、 前雅虎工程師監守自盜偷窺客戶郵件 . 23 八、 美高等法院系統被用來傳播釣魚郵件 . 23 九、 竊密寄生蟲危害北上廣等地眾多企業 . 23 十、 ELASTICSEARCH 泄露 27 億郵件數據 . 24 附錄 2 垃圾郵件主題內容分析 . 25 一、 廣告 . 25 二、 色情 . 29 三、 賭博 . 29 附件 3 COREMAIL CAC 反垃圾云產品介紹 . 34 附

9、件 4 奇安信網神郵件威脅檢測系統 . 36 1 研究背景 在中國當前網絡空間形勢下，社交網絡日益發達，電子郵件發展至今已有幾十年歷史，但仍是最重要的現代互聯網應用之一。 從個人生活到工作場景的使用， 郵件都在現階段人們的生活中扮演者不可或缺的角色。 近年來中國企業信息化辦公程度逐年升高， 更是大大促進了企業郵箱的使用，同時也使企業郵箱系統成為黑客入侵機構內部網絡的首選入口。 針對郵件系統在使用時存在的問題，奇安信行業安全研究中心聯合 Coremail 論客，自2016 年起合作編撰中國企業郵箱安全性研究報告 ，截至今年已連續發布三年。報告數據主要來自 Coremail 論客與奇安信集團聯合監

10、測，報告內容以電子郵箱的使用、垃圾郵件、釣魚郵件、帶毒郵件為主體，從規模、發送源、受害者及典型案例等方面分析中國企業郵箱安全性。 本次報告特增加了調研部分內容， 針對郵件系統使用情況對 119 家大中型企業郵箱用戶進行了調查（注：10%的企業郵箱用戶超過 50000 點，85%超過 1000 點） 。其中，接受調查的企業中，金融、IT 信息技術、政府機構事業單位行業居多，其中金融行業客戶占 17.7%；IT 信息技術客戶 16.8%；政府機構事業單位客戶 15.1%。此外，接受調研的企業還包含有互聯網、通信等行業。 本報告結合了 Coremail 論客與奇安信集團多年在企業郵箱領域的豐富實踐經

11、驗及研究經驗，相關研究成果具有很強的代表性。希望此份報告能夠對各個行業、單位，開展以郵件防護為基礎，增強完善整體網絡安全建設，提供一定參考。 2 第一章 電子郵箱的使用與規模 一、 電子郵箱的使用規模 根據 Coremail 論客與奇安信行業安全研究中心的聯合監測，同時綜合網易、騰訊、阿里巴巴等主流企業郵箱服務提供商的公開數據進行分析評估，截止 2019 年底，國內注冊的企業郵箱獨立域名約為 520 萬個，相比 2018 年增長 1.96%?；钴S的國內企業郵箱用戶規模約為 1.4 億，相比 2018 年用戶規模增長了 7.7%。 從電子郵箱的使用情況來看， 2019 年， 全國企業郵箱用戶共收

12、發各類電子郵件約 6448.1億封，相比 2018 年企業及電子郵箱用戶收發郵件數量增長 4.8%。平均每天收發電子郵件約17.7 億封。 其中， 正常郵件占比約為38.1%， 普通垃圾郵件占比為 47.2%、 釣魚郵件 5.3%、病毒郵件 6.6%、謠言郵件 1.7%，色情、賭博等違法信息推廣郵件約 1.1%。也就是說，2019 年，在郵件系統收發的郵件中，僅有近 4 成為正常郵件，垃圾郵件及其他各類非法、惡意郵件等非正常郵件的數量，是正常郵件數量的 1.6 倍左右。 僅就正常郵件而言，統計顯示，全國企業郵箱用戶在 2019 年共收發正常電子郵件約2454.1 億封， 比 2018 年增長

13、25.4%，平均每天發送正常電子郵件約 6.7 億封，人均每天發送電子郵件約 4.8 封。相比 2018 年人均每天發送 4.1 封郵件，增長了 0.7 封。企業信息化辦公程度的逐年提高，很大程度上促進了員工企業郵箱的使用。同時，隨著國際化趨勢，企業組織間交流合作逐步增多，對于跨國交流而言，相比于其他通訊軟件，電子郵件更為通用。 不同于個人郵箱，企業郵箱的主要用途是辦公。因此，同一機構內部郵件互發往往會比較頻繁。抽樣統計顯示，企業用戶發送的電子郵件中，約 34.3%為機構內部郵件，23.6%為外部郵件，42.1%為內外通發郵件（收件人既有機構內部，也有機構外部） 。 3 二、 電子郵箱用戶行業

14、分布 對中國政企機構獨立郵箱域名的抽樣分析顯示， 從域名注冊量來看， 工業制造類企業注冊的郵箱域名最多，占比為 29.5%，其次是交通運輸行業占比 10.7%，外資機構占比 9.6%；還有 IT 信息技術占比 6.7%，互聯網企業占比 6.6%，金融行業占比 6.1%等，這些都屬于電子郵箱使用獨立域名較多的行業。 如果從正常郵件的發送量上來看， 教育培訓和工業制造行業發送的郵件數量最多， 教育培訓找 16.0%，排名第一；工業制造占比 15.8%，排名第二；其次是媒體占比為 14.1%，交通運輸行業占比 11.0%；還有 IT 信息技術占比 5.5%，科研機構、互聯網、金融行業等也都是郵件發送

15、量較多的行業。具體占比如下圖所示： 對比獨立郵箱域名注冊量和郵件發送量，可以看出，就單個政企機構而言，教育培訓，媒體、科研機構、醫療衛生等行業對郵件辦公的依賴度最高。 特別的，本次報告對.edu（教育） 、.org（組織機構）和.gov（政府）三個域名的郵箱使 4 用情況進行了分析。其中， 郵箱域名在全國占比為 0.15%， 的郵箱域名占比約為 0.15%， 郵箱域名占比為 0.08%。而從正常郵件發送量上來看， 郵箱占4.55%， 郵箱占 0.19%， 郵箱占 0.48%。 三、 電子郵件的地域分布 統計顯示，全國企業郵箱用戶收發的郵件以境內收發為主。國內收發占 65.6%；海外收發 34.

16、4%。 從服務器的所在地來看，2019 年，國內企業郵箱服務器設在北京的數量排名第一，占比為 21.3%；武漢排第二，占比為 16.2%；上海排名第三，占比 13.9%。值得注意的是，在2017 年的相關統計中，國內有半數以上的企業郵箱服務器是設在杭州市的。這表明，針對政企機構的郵箱服務正在從局部地區高度集中， 向全國各地分散開來。 這也是全國各地信息化建設水平普遍顯著提升的必然結果。 5 第二章 垃圾郵件 一、 垃圾郵件的規模 根據 Coremail 論客與奇安信行業安全研究中心的聯合監測評估，2019 年，全國企業郵箱用戶共收到各類垃圾郵件約占企業級用戶郵件收發總量的 47.2%， 是企業

17、級用戶正常郵件數量的 1.2 倍。相比 2018 年下降了 17.9%。 二、 垃圾郵件發送源 Coremail 論客與奇安信行業安全研究中心對垃圾郵件的發送源頭進行了分析。據統計，因盜號導致發送垃圾郵件（正常用戶郵箱帳號被盜后，被黑客用來發送垃圾郵件）占所有垃圾郵件總量的 21.9%。 從發送者郵箱域名歸屬情況來看，來自國內的垃圾郵件最多，占總數的 49.3%，來自美國的垃圾郵件次之，占總量約 14.0%，第三是越南，約占 8.7%。具體占比如下圖所示： 與 2017 年垃圾郵件發送源郵箱域名歸屬地分布情況對比，來自境外的垃圾郵件占比由近 7 成減少至 5 成左右，2019 年，更多的垃圾郵

18、件來自境內。 僅就國內情況來看，根據發送者的域名歸屬地來看，來自北京的垃圾郵件發送者最多，占國內垃圾郵件發送總量的 32.0%，其次為廣東省，占 14.8%，江蘇省，占 9.4%。下圖給出了國內垃圾郵件發送源域名歸屬省份 TOP10 及其垃圾郵件發送量占比情況。 6 對發送垃圾郵件的郵箱域名進行抽樣行業分析顯示， 工業制造行業占比最高， 為 10.4%；其次為互聯網企業，占比 6.0%；教育培訓排名第三，占比 5.3%。下圖給出了國內垃圾郵件發送源行業分布。 三、 垃圾郵件受害者 從收到垃圾郵件的受害者服務器所在地來看， 北京用戶收到的垃圾郵件最多， 共收到了占比高達全國 28.6%的垃圾郵件

19、；其次為浙江省，收到了全國 10.7%的垃圾郵件；廣東省排名第三，收到了全國 10.3%的垃圾郵件。下圖給出了國內企業郵箱用戶中垃圾郵件受害者的省級行政分布 TOP10。 7 8 第三章 釣魚郵件 一、 釣魚郵件的規模 在本章內容中， 釣魚郵件是指含有惡意欺詐信息的郵件， 包括 OA 釣魚郵件、 魚叉郵件、釣鯨郵件、CEO 仿冒郵件和其他各類釣魚欺詐郵件，但不包括帶毒郵件、非法郵件等。 其中， 魚叉郵件是指針對特定目標投遞特定主題及內容的欺詐電子郵件。 相比一般的釣魚郵件，魚叉郵件往往更具迷惑性，同時也可能具有更加隱秘的攻擊目的。而釣鯨郵件則是指那些專門針對企業高管或重要部門進行的魚叉郵件攻擊

20、。 在本報告中， 我們將釣鯨郵件和一般的魚叉郵件區別開來進行統計分析。而 CEO 仿冒郵件則是指冒充企業高管對公司員工或某些部門進行的魚叉郵件攻擊。 根據 Coremail 論客與奇安信行業安全研究中心的聯合監測評估，2019 年，全國企業郵箱用戶共收到各類釣魚郵件約 344.3 億封，相比 2018 年收到各類釣魚郵件的 204.3 億封增長了 68.5%。 2019 年全國企業郵箱用戶收到的釣魚郵件數量約占企業級用戶郵件收發總量的5.3%，平均每天約有 0.9 億封釣魚郵件被發出和接收。 二、 釣魚郵件發送源 根據Coremail論客與奇安信行業安全研究中心聯合監測， 釣魚郵件的發送者遍布

21、全球，其中，來自美國的釣魚郵件最多，占國內企業用戶收到的釣魚郵件的 26.5%；其次是中國，約占 12.1%；法國排名第三，約占 11.6%。針對國內企業級用戶發送垃圾郵件最多的十個國家及其發送釣魚郵件數量的占比情況如下圖所示。 就國內來看，釣魚郵件的發送者多集中于經濟發達地區，其中，來自北京的釣魚郵件最多， 占國內企業用戶發送釣魚郵件總數的 27.6%； 其次是上海， 約占 20.7%； 江蘇排名第三，約占 16.8%。針對國內企業級用戶發送釣魚郵件最多的十個省份占比情況如下圖所示。 9 三、 釣魚郵件受害者 從收到釣魚郵件的受害者服務器所在地來看，北京收到的釣魚郵件最多，有 29.3%的釣

22、魚郵件被發送至北京的企業郵箱用戶； 另有約 15.9%的釣魚郵件被發送給廣東用戶； 約 8.6%的釣魚郵件被發送給上海用戶。國內釣魚郵件受害者數量 TOP10 省級行政區分布如下圖所示： 國內釣魚郵件受害者所在行業也比較集中， 排名前十的行業收到的釣魚郵件數量， 占釣魚郵件總數的 70.5%。其中，工業制造行業排名第一，約占釣魚郵件總數的 28.1%；交通運輸排名第二，約占 11.7%；排名第三的行業為 IT 信息技術，占 5.8%。具體 TOP10 行業排名如下所示。 10 四、 釣魚郵件調研結果 2019 年 11 月，Coremail 論客與奇安信行業安全研究中心對 119 家大中型企業

23、進行了一次聯合調研。調研顯示，41.2%的企業收到過魚叉郵件（針對性很強的欺詐郵件） ，40.3%的企業收到過 OA 釣魚（誘導用戶輸入賬號密碼的欺詐郵件） ，17.6%的企業收到過 CEO 仿冒（冒充單位高管的欺詐郵件） ，16.8%的企業收到過釣鯨郵件（針對單位高管的欺詐郵件） 。具體分布如下圖所示。 在所有被調查的企業中，幾乎所有企業都收到過釣魚郵件，且大部分帶有惡意附件。其中， 39.5%的企業收到的惡意郵件附件含有一般木馬病毒， 28.6%的企業表示收到過附件帶有勒索病毒的釣魚郵件，有 26.9%的企業表示收到過附件帶有蠕蟲病毒的釣魚郵件。具體分布如下圖所示。 11 12 第四章 帶

24、毒郵件 一、 帶毒郵件的規模 根據 Coremail 論客與奇安信行業安全研究中心聯合監測評估，2019 年，全國企業級用戶共收到約 424.3 億封帶毒郵件， 相比 2018 年收到的 203.7 億封帶毒郵件相比， 同比增長了108.36%。越來越多的帶毒郵件正在被發送給企業郵箱。2019 年企業級用戶收到的帶毒郵件量約占用戶收發郵件總量的 6.6%。平均每天約有 1.2 億封帶毒郵件被發出和接收。 二、 帶毒郵件發送源 Coremail 論客與奇安信行業安全研究中心對帶毒郵件的發送源頭進行了分析。據統計，帶毒郵件的發送者多集中于北美洲與歐洲。 其中， 來自美國的帶毒郵件最多占全球帶毒郵件

25、的 38.9%；荷蘭排名第二，占 14.4%；法國排名第三，占 8.9%。針對國內企業級用戶發送帶毒郵件最多的十個國家及其發送帶毒郵件數量的占比情況如下圖所示。 三、 帶毒郵件受害者 從收到帶毒郵件的受害者所在地來看，北京收到的帶毒郵件最多，有 40.1%的帶毒郵件被發送至北京的企業郵箱用戶；另有約 13.4%的帶毒郵件被發送給廣東用戶；約 7.3%的帶毒郵件被發送給上海用戶。國內帶毒郵件受害者數量 TOP10 省級行政區分布如下圖所示： 13 14 第五章 大中型企業郵箱安全使用與管理 本章主要針對郵件系統使用情況對 119 家大中型企業郵箱用戶進行了調查（注：10%的企業郵箱用戶超過 50

26、000 點，85%超過 1000 點） 。所有結論來自調研樣本。 一、 郵箱系統的建設與使用 作為重要的辦公工具，電子郵箱往往會被很多企業用于發送重大決定。本次調研顯示，在所有接受調研的機構中，28.6%的機構要求必須通過發送全員郵件的方式公布重大決定，21.8%的機構從不通過此種方式公布公司的重大決定。但絕大多數調研者認為，郵件確實是最可靠最合適的發布方式。具體分布如下圖所示。 將企業郵箱使用與辦公環境緊密結合， 更能有效的提升企業郵箱安全管理。 為了加強企業郵箱的使用，一些機構會將郵箱賬號與辦公系統/業務系統綁定。如：OA 系統會使用郵箱作為賬號。根據調查，54.6%的機構會將郵箱賬號與辦

27、公系統/業務系統綁定，而 41.2%的企業會傾向于將二者分離，不進行綁定。 15 如果選擇將辦公系統與郵箱綁定，則企業可以更好的管理，同時員工使用更方便。但為了保證其安全性，企業需要嚴格提升其賬號的安全系數。若沒有綁定，企業也要加強管理，增強員工的安全意識，避免使用同一套賬號密碼。針對這種情況，企業可以選擇在辦公系統/業務系統登錄時，增加二次驗證，同時兼顧管理和安全。 二、 郵件安全意識與管理 要求員工使用統一的辦公郵箱， 并強化安全管理是企業安全建設重要組成部分， 也是衡量一個企業安全建設水平的基本標準。本次調研顯示，69.7%的大中型企業強制要求員工使用統一的辦公郵箱。16%的企業中員工私

28、人郵箱使用率小于辦公郵箱使用率。特別值得警惕的是， 我們調研的企業郵箱用戶均在 1000 點以上， 甚至有 10%的企業郵箱用戶超過五萬點。但這些大型企業中仍有 9.3%的企業無統一辦公郵箱，管理混亂。因此可推斷，在眾多中小企業中，郵箱管理混亂更是企業面臨的嚴重安全問題。 通過安全意識管理可以更好的實現郵件安全管理， 良好的安全意識可以讓員工理解和執行相關安全管理規章制度。制定和出臺明確的郵箱使用規范，有助于提升企業員工安全“用郵” 意識。 通過本次調查， 我們發現， 有 62.2%的企業在郵箱安全使用方面規定明確、 細致。如：嚴禁使用私人郵箱、嚴禁使用辦公郵箱注冊第三方賬號等；有 23.4%

29、的公司規定明確、不細致。還有 14.4%的公司沒有明確要求。具體分布如下圖所示。 16 郵件安全意識管理是機構網絡安全風險管理的一部分， 擁有明確的規定更能夠系統性的提升企業員工網絡安全意識，降低機構因郵件安全意識不足而引發安全事故的風險。 從被攻擊情況來看，17.6%的公司明確經歷過數據泄露事件，此類事件多由于郵箱被攻擊而導致員工個人賬號密碼泄露或公司機密文件/數據庫等信息泄露。 從郵件管理的主體來看，45.4%的企業由公司 IT 部門全權管理其郵件系統；18.5%的企業選擇由專業郵件服務商進行管理， 同時公司也會設置管理部門， 5.9%的企業選擇托管給專業的郵件公司進行管理。剩余 30.3

30、%的企業無管理責任主體。具體情況如下圖所示： 17 18 第六章 郵件攻擊監測與響應典型案例 一、 應急響應典型案例 本節基于奇安信安服團隊處理的應急響應事件，整理的典型案例。 （一）（一）某國有企業郵箱系統遭受攻擊某國有企業郵箱系統遭受攻擊 2019 年 11 月 8 日，某大型國有企業信息化中心陸續接到員工反饋，收到管理員賬號發送的疑似 OA 釣魚郵件。 根據員工反饋的截圖顯示， 郵件發送方為公司內部管理員以集團信息管理部名義向全員發送的 “集團通知！ ” 郵件， 要求全員點擊郵件中地址進行備案。該 “郵箱升級審核系統”要求員工輸入用戶名、登錄地址、郵箱密碼等信息。經評估，本次釣魚郵件泄露

31、信息疑似為包括集團領導在內的 200 名員工郵箱、 聯系方式及公司組織架構， 以及十余名員工郵箱內的全部郵件內容。 該機構在安服人員建議下， 啟動備份郵件系統， 向全員發送安全提醒， 并更改郵箱密碼，并將該管理員用戶加入黑名單進行攔截。進一步分析發現，由于管理員使用弱口令，攻擊者早在 11 月 5 日便獲得了管理員權限，至 11 月 8 日才利用管理員賬號發送釣魚郵件。期間三天，攻擊者是否進行了其他操作還需要進一步調查。 19 （二）（二）某制造企業因釣魚郵件損失某制造企業因釣魚郵件損失 2 20 0 萬美元萬美元 2019 年 7 月，某大型制造企業向安全機構求助，該企業在向客戶發送收款通知

32、時，被客戶告知已經按要求付款完畢，并向該企業提供了當時的付款記錄、郵件記錄。而該企業相關人員表示從未發送過該郵件，也無此郵件記錄，且收款賬號并不屬于該公司，可能是詐騙賬號。 后經應急響應人員鑒定， 攻擊者早已入侵企業郵件服務器， 且已經長期潛伏在企業內網，及企業郵箱系統，幾乎完全控制了企業財務人員及業務人員郵箱，并利用相關員工郵箱，通過篡改收款人賬號信息，發送虛假的“收款郵件” 。為防止被發現，攻擊者又在財務人員賬號中刪去了虛假的“收款郵件” ，抹去記錄，從而使財務人員未能及時發現賬號被盜及被人盜發郵件的情況。此次事件導致該公司直接損失 20 萬美元。 進一步調查顯示， 造成此次損失的主要原因

33、有二， 首先， 該公司管理員賬號存在弱密碼；其次，公司郵箱系統設計上存在安全漏洞。應急后該企業在安服人員的建議下，要求全員更新賬號密碼，并棄用了原有郵箱系統，更換了專業的企業郵箱服務商。 20 二、 大數據安全監測典型案例 （一）（一）銀鉤：針對國內網銀用戶的釣魚攻擊活動銀鉤：針對國內網銀用戶的釣魚攻擊活動 2019 年 6 月，奇安信威脅情報中心紅雨滴安全研究團隊捕獲了一封釣魚郵件，郵件附件為 eml 文件： “中華電信 108 年 05 月電子發票通知函_發票號碼：NJ06424209.eml” 。 從郵件內容可見， 攻擊者為了引誘受害者打開附件文檔， 故意將郵件中的兌獎方式標紅， 21

34、使受害者有打開電子發票查看信息的欲望。 而該附件使用了 CVE-2018-11882 漏洞；通過奇安信多維度數據的關聯分析，確認本波攻擊的受害者主要集中在我國東南沿海一帶，受害者一般為外貿商人，且經常使用網銀。 從歷史監測信息來看，此輪襲擊主要發生在 2019 年的 4-5 月間，其背后的黑產團伙對于武器部署、 運用的經驗非常豐富。 該團伙攻擊的最終目的是竊取電信和經商用戶的銀行賬號及其中的財產。 （二）（二）EmotetEmotet 銀行木馬攻擊利用技術分析銀行木馬攻擊利用技術分析 2019 年 9 月 23 日奇安信病毒響應中心發布了 Emotet 威脅預警。 經長期追蹤，奇安信病毒響應中

35、心發現多個帶有惡意宏代碼的 Emotet 魚叉攻擊郵件，郵件通過誘導用戶點擊郵件中的啟用宏從而執行宏代碼，利用 PowerShell 下載并執行下階段攻擊載荷， 從而實施攻擊。 具體攻擊模塊功能包括 OutLook 數據竊取以及橫向滲透模塊。 樣本執行流程如下： 22 附錄 1 2019 年全球十大電子郵件安全事件 一、 意大利汽車行業遭遇帶毒郵件攻擊 2019 年 1 月，Cybaze-Yoroi ZLab 的研究人員對一款針對意大利汽車行業的間諜惡意軟件進行了分析。 該惡意軟件是通過釣魚電子郵件傳播的， 攻擊者試圖偽裝成巴西一家知名商業律師事務所的高級合伙人Veirano Advogado

36、s，給受害者發送釣魚郵件。 郵件附件為一個 PowerPoint 外接程序文件（.ppa 文件），包含能夠自動運行的 VBA 宏代碼。一旦程序被執行，RAT 便會立即與其命令和控制服務器進行連接，發送有關受害者計算機上的信息。 二、 醫療行業郵件欺詐攻擊兩年增 5 倍 2019 年 2 月， Proofpoint 分析了 2017 年和 2018 年針對 450 多家醫療機構的電子郵件欺詐攻擊。分析顯示: 2018 年第四季度，針對特定醫療機構的郵件欺詐攻擊量平均為 96 起。這比 2017 年第一季度增長了 473%！這意味著犯罪分子的目標是醫療機構內更多業務部門的工作人員. 三、 黑客為財

37、襲擊數個歐洲國家大使館 2019 年 4 月，網絡安全公司 Check Point 發表的一份報告稱，疑似俄羅斯黑客連續攻擊了數個歐洲大使館，其中包括歐洲駐意大利、圭亞那、尼泊爾、利比里亞、百慕大、黎巴嫩和肯尼亞的大使館。 黑客向這些大使館發送偽裝成美國國務院文檔的惡意電子郵件， 郵件中附有包含宏的 Microsoft Excel 表單。 一旦打開這些宏， 黑客就通過遠程訪問服務 TeamViewer完全控制了被感染的系統。 研究人員表示，此次襲擊可能出于“金錢動機”，因為攻擊目標中有幾人為大使館財務辦公室的官員。 四、 亞馬遜英國上百商家遭遇郵件欺詐 2019 年 5 月，據外媒報道，最新披

38、露的法庭文件顯示：去年 11 月亞馬遜要求英國一位法官批準搜查巴克萊銀行以及萬事達卡旗下 Prepay Technologies 公司的相關賬戶信息。 亞馬遜公司宣稱， 自己正在受到大規模的欺詐郵件攻擊， 身份不明的黑客在去年六個月內闖入了大約 100 個亞馬遜賣家賬戶，從英國亞馬遜賣家賬戶上竊取資金。 亞馬遜發言人對媒體表示， 欺詐者可能通過網絡釣魚郵件瞄準了賣家， 試圖竊取密碼和其他數據。財經媒體 Business Insider 預計，近 100 個商家被盜竊的資金規模至少有幾十萬美元。 五、 偽造開發票郵件欺騙多家國內企業 2019 年 5 月，國內多家安全廠商相繼捕獲到一批針對政府和

39、企業的釣魚郵件攻擊。攻擊者偽造某快遞公司客服發送郵件，聲稱郵件提供的是電子發票。但用戶點擊后，用戶并沒有下載到 PDF 或 JPG 格式的電子發票。實際上，攻擊者是通過偽造的帶毒郵件附件和鏈接 23 將目標人誘騙到假冒快遞公司的釣魚網站，騙取企業賬戶密碼。據其追蹤系統監測，此類攻擊手法已累計影響企業郵箱近萬個。 六、 賽門鐵克郵件安全云服務宕機 10 小時 2019 年 6 月，賽門鐵克表示，不明人員破解了其郵件過濾云服務，導致北美和歐洲、中東及非洲 (EMEA) 地區的郵件服務速度放緩或無法使用。能夠使用服務的用戶可能遇到積壓郵件一起到達收件箱的情況。該事件使賽門鐵克郵件安全云服務宕機超過

40、10 小時。 七、 前雅虎工程師監守自盜偷窺客戶郵件 2019 年 10 月，據媒體披露，雅虎前郵件服務的可靠性工程師 Ruiz，私自訪問了大約6000 個雅虎電子郵件帳戶，目的是偷窺其中的色情圖片和視頻。這些帳戶主要屬于年輕女子， 包括私人朋友和同事。 Ruiz 的不法行為最終被發現并報告給美國執法部門。 這名前工程師 2019 年 4 月被正式起訴。法庭上，Ruiz 對計算機入侵罪名供認不諱；根據這項罪名，他將面臨最高五年的監禁和最高 25 萬美元的罰款。 八、 美高等法院系統被用來傳播釣魚郵件 2019 年 10 月，美國得克薩斯州一名男子 Oriyomi Sadiq Aloba 因入侵

41、洛杉磯高等法院（LASC）計算機系統，并使用其服務器傳送大約 200 萬個垃圾郵件而被判入獄 145 個月，賠償 47,479 美元。 2017 年 7 月， Aloba 先是通過釣魚郵件控制了一名 LASC 員工的電子郵件帳戶， 之后又使用該賬戶對數千名其他的 LASC 員工帳戶發動釣魚郵件攻擊。郵件的內容一份的偽造通知， 要求員工向公司發送自己的用戶憑據。 這使得 Aloba 收集到了數百名高等法院雇員的電子郵件帳號和密碼。隨后，他又使用這些被盜的郵箱帳號發送了超過 200 萬封釣魚郵件，其中還有冒充美國運通（American Express）和富國銀行（Wells Fargo）等公司的郵

42、件。 此外，Aloba 的行為嚴重破壞了 LASC 的管理，包括使數百名員工“下崗”至少幾個小時，甚至可能幾天。 九、 竊密寄生蟲危害北上廣等地眾多企業 2019 年 11 月，國內某安全廠商檢測到以竊取機密為目的的大量釣魚郵件攻擊，主要危害我國外貿行業、制造業及互聯網行業。攻擊者搜集大量待攻擊目標企業郵箱，然后批量發送偽裝成 “采購訂單” 的釣魚郵件， 郵件附件為帶毒壓縮文件。 若企業用戶誤解壓執行附件，會導致多個“竊密寄生蟲” （Parasite Stealer）木馬被下載安裝，之后這些木馬會盜取多個瀏覽器記錄的登錄信息、Outlook 郵箱密碼及其他機密信息上傳到指定服務器。 根據該廠商

43、監測數據顯示，受 Parasite Stealer（竊密寄生蟲）木馬影響的地區分布特征明顯，主要集中在東南沿海地區，其中又以廣東、北京和上海最為嚴重。這些地區也是我國外貿企業和互聯網企業相對密集的省市。 24 十、 Elasticsearch 泄露 27 億郵件數據 2019 年 12 月 4 日， SecurityDiscovery 網站的網絡威脅情報總監鮑勃 迪亞琴科 （Bob Diachenko）發文稱：“我們發現了一個 Elasticsearch 數據庫泄露，包括了 27 億個電子郵件地址， 其中 10 億個密碼都是以簡單的明文存儲的。 其中大多數被盜的郵件域名是來自中國的郵件提供商，

44、 騰訊、 新浪、 搜狐和網易等都在內， 發現了包括 ， ， ， 和 等域名。另外，雅虎、Gmail 以及一些俄羅斯的郵件域名也受到了影響?！?據了解，這次數據泄露的 Elasticsearch 服務器屬于美國的一個托管服務中心。2019 年 12 月 9 日，在 Diachenko 發布數據庫存儲安全報告之后，該托管服務中心關閉了 Elasticsearch 服務器，但是其至少對外開放了一周的時間，并且允許任何人在無密碼的情況下訪問。 25 附錄 2 垃圾郵件主題內容分析 本附錄給出的垃圾郵件分類及案例， 來自奇安信網神郵件威脅檢測系統的智能識別與捕獲。其中，不包括帶毒郵件和釣魚郵件。 垃圾郵

45、件根據其內容一般可分為廣告、色情、賭博、謠言等幾大類。每一個類別之下，又可以根據具體內容分成若干子類。下面將具體給出廣告、色情、賭博等幾類郵件的詳細分類和實例。 特別說明，本文給出的只是部分最常見的情況舉例，不是全部。 一、 廣告 廣告類垃圾郵件是商家利用電子郵件進行的商業宣傳手段， 因此 3 種類繁多， 此處僅舉幾種類型的案例。 （一）（一）開具發票開具發票 此類垃圾郵件的發件人在郵件內宣稱提供代開普通發票和增值稅發票的業務， 并能通過稅務驗證。 （二）（二）購物（商品推薦）購物（商品推薦） 此類垃圾郵件內容多為某地或某網站折扣活動中的商品， 或收件人曾有過消費記錄的網站推薦的商品。 26

46、(b) （三）（三）培訓培訓/ /會議會議- -會議活動會議活動 此類垃圾郵件內容多為某公司舉辦的與其行業或領域相關的會議， 或為某群體舉辦的線下交流會。 27 （四）（四）培訓培訓/ /會議會議- -培訓課程培訓課程 此類垃圾郵件內容多為收件人曾注冊的在線學習網站發來的課程推薦， 也有公司或個人開設的課程。 28 （五）（五）招聘招聘 此類垃圾郵件內容多為收件人曾注冊的招聘網站或平臺發來的招聘信息， 若網站或平臺對后續的追蹤不夠持續，則會一直受到此類垃圾郵件。 （六）（六）第三方服務第三方服務- -信用評價信用評價 此類垃圾郵件內容在郵件內宣稱提供國際、 國家、 行業各類標準或信用評級的認證

47、服務。 29 （七）（七）第三方服務第三方服務- -推廣推廣 此類垃圾郵件多為推廣網站，標題常用不易閱讀的文字，用以避開反垃圾郵件技術，正文部分為空或與標題相同。 二、 色情 此類垃圾郵件多包含色情的文字內容或圖片，其發件人目的為推廣色情網站。 三、 賭博 此類垃圾郵件多包含博彩相關的文字內容或圖片，其發件人目的為推廣博彩網站。 30 四、 欺詐 此類郵件發送者以電子郵件的方式勒索、騙取用戶財產、賬號信息，對用戶的資產、信息安全造成威脅，根據其郵件內容，可分為勒索、詐騙、OA 釣魚三類。 （一）（一）OAOA 釣魚釣魚 這類攻擊的目的非常明確， 就是盜取企業用戶的域賬號信息。 郵件內容大多是通

48、知用戶郵箱出現了某種問題，比如郵箱安全、未送達（接受郵件） 、郵箱容量升級、 郵箱賬戶關閉、郵箱賬戶驗證、郵箱密碼過期等來引導用戶在釣魚網頁中泄露自己的郵箱帳號和密碼。 31 （二）（二）勒索勒索 此類郵件攻擊者一般會給用戶發送威脅郵件， 告訴用戶其私密信息已泄露或電腦資產被加密，需要向某個賬戶打款來避免損失等。據統計，該類郵件具有“廣撒網”特征，即短時間內發送多人， 且為了增加收件幾率， 其郵件收件人往往為批量產生的， 因此大多為空賬號。由于此類郵件模式大多較為簡單，用戶很容易判斷其真偽，若遇到較為嚴重的情況，可上報公司 IT 管理部門進行排查或尋找專業安全廠商進行鑒定。 32 （三）（三）

49、詐騙詐騙 此類郵件利用用戶認知偏差， 假借賠償、 中獎等名義誘導收件人將錢轉到詐騙者個人賬戶上，該類垃圾郵件往往偽裝成某金融組織官方郵箱或銀行相關人員，以迷惑收件人。 33 34 附件 3 Coremail CAC 反垃圾云產品介紹 Coremail 論客科技（廣州）有限公司是中國領先的電子郵件解決方案服務商，始創于1999 年。公司專注于電子郵件技術及服務，產品涵蓋郵件系統、企業郵箱、郵件歸檔系統、郵件投遞系統、海外加速系統、郵件安全管理系統、 反垃圾網關系統等。2000 年首發中國第一套中文郵件系統。Coremail 論客郵件系統以安全、穩定、高效，為各行業客戶提供個性化的解決方案，尤其為

50、中大型企業集團化管理的郵箱需求提供整體安全解決方案。 CAC 反垃圾云產品介紹 近年來垃圾郵件發送者不斷變換著郵件的發送和編寫方式，使得垃圾郵件越來越多。Coremail 針對現狀，部署了國內首個商業 CAC 反垃圾云（反垃圾郵件服務運營中心，即Coremail Anti-spam Center） 。 CAC 數據中心和離線處理平臺對郵件相關數據進行加工處理分析， 生成預測模型并下發到在線高并發處理系統， 在線高并發處理系統對郵件樣本進行實時過濾分析，大幅增強對可疑郵件的過濾判定，從而提升對用戶垃圾郵件的攔截率。 CAC 采集了 7 億用戶的垃圾郵件樣本，并在國內部署了過百萬的探針郵箱，可以在