自2021年起,北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)已连续两年发布《全球邮件威胁报告》,2021年度、2022年度《全球邮件威胁报告》均获得了广大技术专家、企业管理者和政府监管机构的广泛认可与支持。
时间进入2024年,网际思安及麦赛安全实验室(MailSec Lab)团队基于2023年在邮件安全威胁领域的数据积累与研究分析,以及观察和收集到的全球前沿信息和数据,再次全新整理了《2023年全球邮件威胁报告》。
衷心希望所有客户与伙伴通过此份报告,能详致了解过去一年的全球邮件威胁状况,以及各邮件安全专业厂商为邮件安全防护所做出的努力,报告同时对2024年的邮件威胁做了趋势分析与预测,企望大家了解并计划好相应的防范措施。
在过去的几年里邮件攻击技术持续进化,这种进化在2023年突飞猛进,从传统大量群发式攻击(例如:垃圾邮件、病毒邮件、URL钓鱼邮件等),演进到针对指定员工个人或群体所精心设计的复杂性攻击(例如:伪装为商业伙伴或高层的BEC诈骗、二维码钓鱼邮件、图片钓鱼邮件、0-day APT攻击等),邮件攻击已经发展成为一种高度复杂、巧妙和有针对性的威胁。
图1. 邮件攻击持续进化
邮件安全攻击技术的持续进化有多方面的因素,这些因素共同推动了攻击者不断改进和创新他们的方法。以下是一些主要原因:
综上所述,电子邮件攻击的进化是一个动态过程,受到多种技术和非技术因素的影响。因此,邮件安全的防护措施也需要不断更新和改进策略,以应对这些不断变化的威胁。
根据北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)在2023年搜集到的数据显示,在2023年第一季度,MailSec Lab观察到非常活跃的钓鱼邮件攻击,累计多达1,624,144个。第二季度和第三季度的攻击数量相对减少,但是在第四季度再次升高,检测到全年最多的钓鱼邮件攻击数量,累计多达1,652,381个钓鱼邮件攻击。
图2. 2023年独立钓鱼网站的数量趋势
各类型邮件攻击的占比如下图所示。其中,钓鱼邮件仍然是黑客最喜欢采用的邮件攻击方式,占所有邮件攻击的三分之二。具体来讲,在2022年占据了约70%的百分比,而2023年略微下降达到66.3%。黑客通过钓鱼邮件发起攻击,盗取个人密码和重要数据,从而为后续更多攻击手段提供了基础。
图3. 2022年与2023年全球邮件威胁攻击类型
一个有趣的现象是,BEC攻击首次在所有攻击类型占比中超过了恶意软件攻击。越来越多的黑客在今年投入更多的时间和精力研究和发动BEC攻击,这可能是由于ChatGPT的引入,使黑客能够创建比以往任何时候都更复杂、更大规模的攻击。此外,勒索的占比进一步大幅增加。与此同时,诈骗也占据了更大比例。
“道高一尺,魔高一丈”,攻击者经常动态调整他们的入侵策略,以提高成功攻陷目标的机会,这使得邮件安全团队有必要不断增强其防护措施。
根据数据统计与分析,2023年的邮件威胁态势如下:
钓鱼邮件是指邮件正文中包含恶意链接、带有恶意附件或者钓鱼网站的具有攻击性的电子邮件。网络攻击者通过社会工程学构造邮件正文,并以此诱导用户点击其中的恶意链接、打开恶意附件或向攻击者回复邮件用户的个人隐私信息。攻击者也因此能够植入木马或间谍程序,进而窃取用户的银行账户或密码等个人敏感数据,或者在设备上执行恶意代码从而实施进一步的网络攻击活动。
麦赛邮件安全实验室(MailSec Lab)对下列2023年钓鱼邮件数据进行了统计,以分析钓鱼邮件攻击的活跃程度和趋势。
表1. 2023年钓鱼邮件攻击数量
图4. 独立钓鱼网站的数量趋势
图5. 独立钓鱼邮件主题数量
在2023年第一季度,MailSec Lab观察到非常活跃的钓鱼邮件攻击,累计多达1,624,144个。第二季度和第三季度的攻击数量相对减少,但是在第四季度再次升高,检测到全年最多的钓鱼邮件攻击数量,累计多达1,652,381个钓鱼邮件攻击。
从行业来看,2023年全球遭受钓鱼邮件攻击数量最多的行业仍然是“金融机构”。作为全球最赚钱的行业,金融行业仍然是黑客眼里的最佳攻击目标。而“云服务/云邮箱”作为开放式的对外公共服务,因为暴露在互联网,也承受了大量的钓鱼邮件攻击。
在其之后,“社交网络”与“物流/运输”两个行业分列第三和第四位。尤其值得一提的是,“物流/运输”行业相较于2022年相比,钓鱼攻击数量增长了328%。“物流/运输”行业遭受大量钓鱼邮件攻击的原因主要包括其涉及的高价值信息,如货物追踪和客户数据,以及庞大的供应链网络,容易成为攻击目标;紧急性和高压力的工作环境使得攻击者能够利用员工的紧迫感,通过伪装成紧急通知来进行欺骗;此外,由于行业内大量的电子邮件通信,攻击者有机会伪装成合法业务邮件,引诱受害者采取不经过验证的行动;与此同时,社会工程学手法的运用,如伪装成熟悉的供应商或合作伙伴,使得钓鱼攻击更具欺骗性。
图6. 基于行业的钓鱼邮件攻击占比
从国家角度来看,一般来讲,一个国家被钓鱼邮件攻击的数量与经济规模和人口数量之间存在关系,主要涉及到攻击者选择目标的动机和策略。经济规模较大的国家通常成为攻击者的首选目标,因为这些国家存在更多的数字化活动和金融交易,给攻击者提供了更多的机会用于欺诈和窃取财务信息。此外,攻击者可能瞄准具有大规模人口的国家,从而可以在攻击中找到更多易受欺骗的个体;另一方面,经济发达国家通常拥有更多的高价值目标,如知识产权、商业机密和政府机密。攻击者可能以获取这些关键信息为目标,以谋求更高的经济回报或实施更有针对性的攻击。总体而言,经济规模和人口数量的增加通常意味着更广泛和更有吸引力的攻击面,因此这些国家更容易成为网络犯罪活动的焦点。
在2023年美国和中国仍然是遭受钓鱼邮件攻击最多的两个国家。其中,美国所占百分比为39%,而中国占比为23%。两个全世界经济规模最大,人口众多的国家遭受了全球三分之二的钓鱼邮件攻击。与此同时,俄罗斯和韩国,因为近年来地缘竞争和战争风险因素的影响,其遭受的钓鱼邮件攻击数量也保持大量增长。
中国在2023年遭受的钓鱼邮件攻击数量仍居世界第二位,相比2022年减少了18%。据麦赛邮件安全实验室(MailSec Lab)的分析,疫情后企业远程办公的减少、经济的不活跃、地缘竞争的缓和是钓鱼邮件数量减少的主要推动力。
2023年7月份,MailSec Lab观察到大量增加的“薪资调整”类钓鱼邮件。经思安麦赛安全实验室的分析测试,此类“薪资调整”邮件作为高危邮件,总结来看含有如下风险特征:
此邮件的完整攻击溯源图如下所示:
图7. 攻击溯源图
病毒邮件是一种通过电子邮件传播的恶意软件。这类邮件的的目的多种多样,包括窃取敏感信息(例如用户名、密码、财务信息)、加密文件并勒索受害者(勒索软件攻击)、控制受感染计算机形成僵尸网络(用于发动更大规模的网络攻击)等。
病毒邮件通常采用欺骗性手法,引诱受害者点击包含恶意附件或链接的邮件内容,或者直接利用安全漏洞进行自动感染。恶意附件可能是伪装成常见文档、图像或压缩文件的可执行文件,一旦打开,便会释放恶意软件。链接则可能指向携带有恶意软件的网站,访问这些链接可能导致系统感染。
根据数据统计分析,从2022年12月到2023年11月,恶意邮件的数量尽管波动,但整体趋势比较平稳。整体来看,2023年下半年的威胁水平较上半年下降了8%,直到11月时达到下半年的峰值。
图8. 2023年病毒邮件趋势
根据麦赛邮件安全实验室(MailSec Lab)搜集到的数据显示,2023年邮件中携带的前十大病毒家族是:图9. 2023年TOP 10邮件病毒
其中,"HTML/Phishing.Agent" 特洛伊木马占比高达三分之一。该木马是一种HTML语言编写的邮件正文或邮件附件,通过伪装成银行登录页面、电子邮件服务登录页面或其他常见网站,并嵌入恶意代码来窃取用户的敏感信息,如用户名、密码、信用卡信息等。
而"DOC/fraud" 木马伪装为合法的邮件附件文档(通常是Microsoft Word文档,即DOC格式),通过引诱性的邮件内容诱使用户打开该恶意文件,从而入侵并控制用户的计算机。
邮件附件中的病毒文件通常选择脚本(Scripts)或可执行文件(Executables)的格式。可执行文件和脚本为攻击者提供了在目标系统上执行恶意代码的能力,从而控制目标系统进行各种恶意操作。当然,攻击者可以通过混淆和加密的方式来进一步增强脚本和可执行文件的逃逸能力,从而规避传统安全工具的检查,使得检测变得更为困难。2023年,脚本和可执行文件类型占所有恶意附件类型的三分之二。
与此同时,为进一步提升恶意附件的欺骗性,攻击者会将恶意附件伪装成常见的文件类型,例如:伪装为Office办公文档(11.1%)、PDF文档(10%)、打包到压缩文件(3%)等,从而欺骗用户点击并触发其中的恶意代码。
图10. 2023年常见邮件恶意附件类型
2023年,MailSec Lab观察到大量增加的“电子发票”类为主题的特洛伊木马邮件。关于此批“电子发票”类钓鱼邮件的典型样本邮件,经思安麦赛安全实验室的分析测试,,对此类邮件的完整攻击溯源图如下所示:
图11. “电子发票”类木马邮件攻击溯源图
商业电子邮件攻击(Business Email Compromise,简称BEC)是一种高级的电子邮件攻击手段,它主要通过社会工程学技巧,利用假冒身份来欺骗受害者。这类攻击不涉及传统的恶意软件或钓鱼邮件中的URL和附件,因此很难被传统的安全防御措施检测到。在BEC攻击中,犯罪分子通常会伪装成受害者的同事、合作伙伴或供应商,通过发送邮件要求进行付款或披露敏感信息。
BEC攻击的特点是高度的定制化和真实性,使得它能够轻易地绕过电子邮件安全系统和人类的警觉性。这种攻击不仅针对大型企业,也对中小型企业乃至个人构成了严重威胁。
4.1. 整体趋势统计在2023年,BEC攻击数量有所下降,相比2022年减少了近25%。在过去的一年中每1000个邮箱,平均每月遭受的BEC邮件攻击数量为3.86次。
图12. 2023年每1000个邮箱每月遭受的BEC攻击数量
在2023年,拥有1000名员工以下的企业经历了最多的商业电子邮件攻击(BEC攻击),每1000个邮箱每月平均发生5.75次BEC攻击。而当企业规模上升到2万或以上员工时,每1000个邮箱仅仅发生不到1次的BEC攻击。
图13. 2023年按企业规模每1000个邮箱每月遭受的BEC攻击数量
这可能与很多IT管理员的感觉正好相反,因为一般认知中更大的企业应该拥有更多的邮箱,因此更容易成为攻击目标。然而和大面积滥发的传统攻击不同,BEC邮件攻击通常是有针对性目标,所以相较于大型企业,小型企业每年会收到更多的攻击。
BEC攻击在整体上呈上升趋势,但攻击数量在各行业之间并不均匀分布。尽管攻击类型相对与行业无关,但网络犯罪分子可能会将重点放在一些之前取得成功或安全措施较少的行业。科技行业是BEC攻击最受欢迎的目标,过去一年每1,000个邮箱平均每月发生近五次攻击。这个行业非常创新,市场迅速增长,包括拥有有价值的知识产权的组织。由于技术行业的不断发展,攻击者可能认为他们能够利用这些不断变化的过程中的漏洞。
其他受欢迎的行业包括建筑工程、广告营销、金融、交通运输、以及媒体与娱乐,每1,000个邮箱每月都有超过三次的攻击。另外,在遭受BEC邮件攻击的行业中,政府和体育行业成为BEC攻击者最少攻击的行业。
图14. 2023年遭受BEC攻击最多的行业
过去的一年,网际思安保护了全球上千家企业和组织,每天检测邮件上亿封,涵盖了对传统滥发性钓鱼到高度定向的BEC欺诈邮件威胁的防护。基于过去十多年的邮件安全行业实践经验和大数据分析,以及与行业友商的信息分享,我们对邮件安全威胁格局在未来一年将如何演变进行了预测,并提供了关于企业如何在2024年进行防御的洞察。
内部钓鱼邮件已成为一种危害很大的网络欺诈手段。内部钓鱼邮件是一种网络安全威胁,通常发生在员工或学校内部人员的电子邮件帐号被盗用后。在这种情况下,攻击者利用内部人员的合法身份,向企业内的其他员工发送欺诈性邮件。这些邮件通常伪装成内部通知、紧急事务提醒或是其他重要信息,诱导收件人点击恶意链接或下载病毒附件。2023年,内部钓鱼邮件相较2022年激增了156%。从趋势来看,我们相信2024年,内部钓鱼邮件攻击数量将保持持续增长。
目前内部钓鱼事件,是邮件安全防护的薄弱环节。究其根本原因是由于内网邮箱账号被盗,导致黑客通过内部账号发送内部钓鱼邮件,而内部邮件通常无法检测,导致其危害很大。针对内部钓鱼邮件,企业应首先应加强事先对内部钓鱼邮件的预防,包括:
并且企业应在2024年增强对内部钓鱼邮件的事中检测和告警,增强及时发现并处理内部钓鱼邮件的能力。例如,网际思安提出的内部钓鱼预警防御解决方案可实时获取内部邮件,并对内部邮件进行安全检测,及时发现内部钓鱼邮件并发出告警通知或删除内部邮件,从而有效减少邮件安全风险。这套方案的高准确率、快速响应和简化管理流程等特点,在教育、金融、政府等行业客户中得到了验证。
无特征邮件攻击,也称为无文件或无负荷邮件攻击,在过去一年的邮件攻击占比中显著增加。与传统邮件攻击不同,无特征邮件攻击并不携带恶意可执行文件,使它们更为隐秘且更难以被传统电子邮件安全设备检测到。在大多数这类攻击中,电子邮件本身不仅未包含附件,甚至不包含任何的恶意链接,仅仅提供了一个虚假的付款收据或即将到期的付款请求,并告诉收件人拨打提供的号码以撤销或停止交易。当收件人这样做时,攻击者会引导收件人下载并安装恶意文件。
通过避免使用容易识别的恶意软件和链接,无特征攻击可以规避传统的邮件安全解决方案,使攻击者能够执行复杂和持久的攻击活动。因为此类恶意邮件是基于文本的,没有其他可识别的恶意特征。传统的邮件安全设备几乎没有足够的信息来确定恶意意图。例如,以上的恶意邮件是从一个Gmail账户发送的,这是一个任何人都可以使用的公共邮件服务。因此,传统邮件安全检测无法通过域名的声誉进行检测,并且该邮件通过了SPF、DKIM和DMARC的所有身份验证检查。
基于麦赛邮件安全实验室(MailSec Lab)的研究,网际思安邮件安全产品通过自然语言分析和人工智能检测此类攻击,这些方法能帮助邮件安全产品理解邮件所描述的内容,并与其他提取的邮件信息一起,综合判断该封邮件是否包含恶意意图。
在这个现代化时代,我们可以在许多不同的地方看到二维码,包括购物中心、小摊位、广告单、支付柜台、在线网站等等,被用于访问网站、移动APP、餐厅菜单、进行支付、拨打电话、连接Wi-Fi、发送邮件、添加联系方式以及许多其他功能。正因为近年来QR码变得更加普遍,网络犯罪分子也越来越多的将二维码用于网络钓鱼攻击。二维码最初设计用于方便,但现在网络犯罪分子可以利用它们引导用户访问精心设计的钓鱼网站,或下载恶意文件。
图15. 二维码攻击链条
实际上,网际思安搜集的数据显示,在2023年绕过传统邮件安全检测的攻击中,有17%利用了二维码,而这预计在2024年将持续增加。例如,在2023年年初,关于补贴类的二维码类钓鱼邮件非常的流行,员工收到的钓鱼邮件在邮件正文中附带一张补贴类的二维码图片,有些钓鱼邮件还会将二维码内置在邮件附件中心,旦附件被打开,用户会看到诱惑性文本和一个位于文档中心的二维码。
企业应该从事前教育、事中防护和事后追溯三个方面,做到对二维码恶意邮件的全生命周期防护。在事前,企业首先应加强员工对二维码恶意邮件的防范意识教育,并通过“钓鱼邮件演练系统”来测试员工对二维码恶意邮件的安全意识。
在事中,企业通过使用含二维码识别防护功能的邮件安全网关可以增强对二维码恶意邮件的防范,阻止这些邮件进入员工的收件箱,减少员工扫描恶意二维码或输入凭证的风险。此外,邮件安全网关还可以提供实时监控和事件响应,及时发现并应对新的二维码攻击手段,提高整体邮件安全防护水平,保护企业免受恶意邮件带来的威胁和损害。例如,“思安邮件安全网关”推出了多种检测方法相结合的“思安二维码综合防护体系”,分为四个层次,从下到上对二维码进行全面的识别、检测、过滤、警示、追踪、标识等,从而将恶意二维码拒之千里之外,或是持续追踪发现风险行为。
在事后,“思安邮件安全网关”可对含二维码图片的攻击邮件和正常邮件的原件进行留存,并在Web管理平台上进行标识,从而为事后的司法追责和技术溯源提供了强有力的支撑。
在过去的一年中,生成式人工智能技术的进步使得网络犯罪分子能够迅速生成独特的内容,提高了社交工程攻击和电子邮件威胁的复杂性。此外,威胁行为者已经开始创建他们自己恶意形式的生成式人工智能(如WormGPT),以部署高级攻击。我们已经开始看到网络犯罪分子利用这项技术,人工智能的进步预计将在2024年增加,使得这些攻击成为不断增加的安全风险。
生成式人工智能技术对钓鱼和BEC邮件攻击行为有很大帮助,即使一个从未接触邮件攻击,并且不懂任何外语的人,也能随时构造针对世界上任何一个企业或个人的邮件攻击。使用生成式人工智能为邮件攻击带来了以下一些优势:
因为低迷的中国经济以及有限的信息安全财务预算,2024年中国中小企业在邮件威胁防护方向的资金投入仍然会十分有限,而日益精密和频繁的邮件威胁攻击将导致很多中小企业难以应对。因此我们预测2024年订阅式云邮件安全服务仍将持续增长,在中国经济不景气的情况下,为中小企业提供最具性价比的选择。