【CACTER邮件安全&中睿天下】2021年Q3企业邮箱安全报告来了!
日期:2021年11月03日 阅:16
近日,CACTER邮件安全联合中睿天下发布了《2021年Q3企业邮件安全报告》。
在过去的3个月中,企业邮箱安全呈现出何种态势?作为邮件管理员,我们又该如何做好防护?
下拉查收!
您的专属邮件安全态势报告
邮件安全团队为您解读!
2021年第三季度整体垃圾邮件数量较Q2季度环比增长8.04%,同比去年同期增长21.13%。
根据CAC邮件安全大数据中心统计,2021年Q3季度中,垃圾邮件来源51%,超过3.7亿封垃圾邮件来自境外,境内垃圾邮件来源则占48%,超过3.5亿封。
2021年第三季度,钓鱼邮件数量较Q2环比增长了30%。同比去年同期增长138.92%。钓鱼邮件数量整体呈现翻倍上升趋势。截止2021年Q3季度,钓鱼邮件同比增长是垃圾邮件增长率的1.17倍,说明电子邮箱用户受到的恶意威胁越来越多,攻击者的目标逐渐从骚扰用户向盗取用户个人信息方向转移。
根据CAC邮件安全大数据中心统计,Q3季度钓鱼邮件超过3966.1万封来自境外,占比75.11%,境内仅占比24.89%,约为1314.1万封。
1、钓鱼邮件Q3季环比增长三分之一,高于垃圾邮件环比增长
从Q3开始,新冠疫情形势逐渐趋于稳定,各行各业也加紧了生产。业界发展生产的同时,钓鱼邮件的数量也随之增多。
2021年第三季度的钓鱼邮件数量环比增长30.2%,且呈现逐月递增的态势,9月份钓鱼邮件的数量已达到2090万。
2、 来自境外的钓鱼邮件威胁依然严峻
第三季度的钓鱼邮件有75%来自境外。
7月恰逢建党100周年,境外攻击者对部分关基单位的针对性攻击愈发猛烈,有多家关基单位遭受到鱼叉式邮件攻击,信息安全面临严峻挑战
3、链接型钓鱼邮件仍然高发常见
此类钓鱼邮件虽然页面粗糙,成本低廉,当用户一旦中招,将给企业带来严重的财产、信息风险损失。必须持续不断加强反钓鱼意识,定期进行“反钓鱼演练”,以实战提升“关基单位”及企业员工意识。
4.、鱼叉邮件攻击等邮件安全威胁态势日益严峻
相比于“广撒网”式的钓鱼,不法分子有开始更多地利用社会现象及企业内部信息来进行攻击的趋势,以提高钓鱼攻击的成功率。
1、鱼叉式钓鱼攻击
鱼叉式钓鱼攻击:指针对特定目标进行攻击的网络钓鱼攻击。
以上案例中,攻击者通过伪造CACTER域名(实际上该域名为今年4月份注册),自7月底开始向某高校发送低频钓鱼邮件。
钓鱼链接的web页面也是伪造某高校的邮件系统登录页面,以假乱真,使得接受者降低警惕,轻易在虚假的邮件系统登录页面输入自身的账号密码,造成账号被盗,攻击者更有可能使用被盗账号外发垃圾邮件或钓鱼邮件,造成极大的信息安全隐患。
2、工资补贴类钓鱼邮件
受疫情影响,部分员工的工资收入出现变动。不法分子利用这个社会现象,伪装成公司财务部门,发送有关工资补贴的通知邮件。其附件为一个二维码,用户扫描后会进入钓鱼链接,要求填写用户的个人资料及银行卡信息,而不法分子则借此机会盗取员工的钱财。对此类具有威胁性的恶意邮件,CACTER安全团队邀请了中睿天下的安全工程师对此次典型钓鱼事件进行了具体分析:
中睿天下分析情况如下
(1)邮件正文分析:通过邮件源码可以看出发件人是通过网页发送的邮件,发件IP为:112.114.100.165,此IP为中国电信的住宅IP,定位的地址为云南省临沧市镇康县凤尾镇。
(2)邮件附件分析:附件文档内容为财政补贴相关内容,并附有二维码。
(3)二维码分析:扫描二维码链接跳转到网址http://e.ba***hqv[.]cc,该网址为钓鱼网站,模仿360借条官方网站。主要目的诈骗消费者进行转账。
(4)诈骗组织溯源:钓鱼网站溯源:
账号溯源:对转账账号进行溯源发现同名信息如下
(4)分析结果:此封邮件发件地址位于边境附近,且邮件的目的为财务诈骗,判断该邮件为国内黑产组织所发,使用的姓名为曾X冲,收款账号为农业银行:62284801583259****。
3、Office宏病毒远程加载模板
office宏病毒:宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。office宏病毒是恶意附件利用的重灾区,传统的office宏病毒已经能被有效识别和拦截,但是恶意攻击者已经开发出远程加载宏模板的方式来绕过对附件的静态检测。此方式通过附件中无害的.docx文件去调用有害的.dotm模板来达到绕过网关的目的。
(远程宏模板绕过检测的方式)
(某攻防演练中收到的邮件)
针对此类威胁邮件,CACTER及中睿天下建议使用专业的反病毒引擎对文档中的宏模块进行特征检测,降低被宏病毒攻击的风险。
2021Q3季度案例暂且分享如上,如想查看更多Q3高危邮件攻击案例
请关注微信公众号【CACTER邮件安全】
后台回复 “Q3”,即可下载PDF完整报告!