2023中国企业邮箱安全性研究报告.docx

研究背景1第一章电子邮箱应用形势2一、电子邮箱的使用规模2二、电子邮箱用户行业分布3三、电子邮件的地域分布5第4WiM牛痴析6一、垃圾邮件的规模6二、垃圾邮件发送源6三、垃圾邮件受害者7第M钓邮”牛痴析9一、 钓鱼邮件的规模9二、 钓鱼邮件发送源9三、钓鱼邮件受害者Ii四、钓鱼邮件的类型H三3S带都M牛痴析22一、带毒邮件的规模22二、带毒邮件发送源22三、带毒邮件受害者23四、带毒邮件的类型24三t电？m5三s25一、 邮箱盗号的规模25二、 暴力破解的形势25三、邮箱盗号的影响26第六章由M牛攻击典型案例27一、仿冒国家部委发布虚假劳动补贴邮件27二、冒充合作伙伴伪造发票商务邮件诈骗29三、 动态IP池爆破员工邮箱钓鱼重要客户30四、某金融企业遭遇撒网式钓鱼邮件攻击32五、钓鱼邮件通知人群触发的群聊剧本杀34六、攻击队冒充HR给发送的加密带毒邮件35第七章邮件风险趋势分析39一、Al用于邮件深伪使跨国攻击更难识别39二、动态IP池使邮箱爆破产业链更加完善40三、 邮箱盗号加同域钓鱼成流行攻击组合42四、 加标二维码成欺诈邮件攻击流行招式42五、加密压缩成带毒邮件反查杀首选方式43六、邮件钓鱼被普遍应用于实战攻防演习43（牛1CACIER由M牛安全网关产品介绍45附录2CAC2.0防暴卫士产品简介49附件3奇安信网神邮件威胁检测系统52附录4奇安信观星实验室55研究背景在中国当前网络空间形势下，社交网络日益发达，电子邮件发展至今已有几十年历史，但仍是最重要的现代互联网应用之一。从个人生活到工作场景的使用，邮件都在现阶段人们的生活中扮演着不可或缺的角色。近年来中国企业信息化办公程度逐年升高，更是大大促进了企业邮箱的使用，同时也使企业邮箱系统成为黑客入侵机构内部网络的首选人口。针对邮件系统在使用时存在的问题，奇安信行业安全研究中心联合Coremail邮件安全人工智能实验室、CACTER邮件安全研究团队，自2016年起合作编撰中国企业邮箱安全性研究报告，截至今年己连续发布九年。报告数据主要来自Coremail与奇安信集团联合监测，报告内容以电子邮箱的使用、垃圾邮件、钓鱼邮件、带毒邮件为主体，从规模、发送源、受害者及典型案例等方面分析中国企业邮箱安全性。本报告结合了Coremail、CACTER邮件安全与奇安信集团多年在企业邮箱领域的丰富实践经验及研究经验，相关研究成果具有很强的代表性。希望此份报告能够对各个行业、单位，开展以邮件防护为基础，增强完善整体网络安全建设，提供一定参考。第一章电子邮箱应用形势一、 电子邮箱的使用规模根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业邮箱服务提供商的公开数据进行分析评估，截止2023年底，国内注册的企业邮箱独立域名约为528万个，相比2022年的537万个减少了1.7%。活跃的国内企业邮箱用户规模约为1.9亿，与2023年用户规模相比增长约5.6%。2017年至2023年国内企业级电子邮箱独立域名与活跃用户规模变化趋势如下图所示：中国企业级邮箱独立域名与活跃用户规模变化趋势单位：万单位：亿5405305205105004904802.32.11.91.71.51.3Coremail。黑琵案拿从电子邮箱的使用情况来看，2023年，全国企业级邮箱用户共收发各类电子邮件约7798.5亿封，相比2022年增长了1.8%。平均每天收发电子邮件约21.4亿封。中国企业级邮箱收发各类电子邮件规模变化趋势单位：亿封7637.7766067798.52018年2019年2020年2021年2022年2023年Coremail。丝黄客含二窃安IS其中，正常邮件占比约为45.8%,普通垃圾邮件占比为40.5%、钓鱼邮件7.4%、带毒邮件5.8%、谣言邮件0.24%,色情、赌博等违法信息推广邮件约0.18%o与2022年相比：钓鱼邮件占比增长了1.3个百分点；病毒邮件、谣言类邮件、色情赌博类邮件的占比均有明显下降；正常邮件和普通垃圾邮件的占比变化不大。中国企业级电子邮箱用户收发邮件类型分布Coremail0邮件安全CAClC*钓鱼邮件7.4¼色情躇博带毒邮件om2T%整件正常邮件45.8S统计周期2023年112月MT奇安信仅就正常邮件而言，统计显示，全国企业邮箱用户在2023年共收发正常电子邮件约3571.7亿封，比2022年增长2.7%,平均每天发送正常电子邮件约9.8亿封，人均每天发送电子邮件约5.2封。不同于个人邮箱，企业邮箱的主要用途是办公。因此，同一机构内部邮件互发往往会比较频繁。抽样统计显示，2023年企业用户发送的电子邮件中，约34.6%为机构内部邮件，22.7%为外部邮件，42.7%为内外通发邮件（收件人既有机构内部，也有机构外部）。中国企业级山解用户发送内、外部邮件比例分布统计周期2023年112月奇安信«Coremail。黑黄客拿二、 电子邮箱用户行业分布对中国政企机构独立邮箱域名的抽样分析显示，从域名注册量来看，工业制造类企业注册的邮箱域名最多，占比为30.6%,其次是交通运输行业占比11.4%,外资机构占比8.5%；还有互联网企业占比7.7%,IT信息技术占比7.3%,金融行业占比6.0%等，这些都属于电子邮箱使用独立域名较多的行业。如果从正常邮件的发送量上来看，工业制造和交通运输行业发送的邮件数量最多。工业制造类企业全年发送的邮件数量，约为全国邮件发送总量的18.6%,排名第一；交通运输占比16.7%,排名第二；其次是媒体占比为15.2%；教育培训、IT信息技术、互联网等也都是邮件发送量较多的行业。具体占比如下图所示：邮件发送量分布域名注册量分布事业单位1.9S23%假发零传2,7%a*itiM3.3、金融6.0¾7.3%。电鹏拿外资机构33医疗工生4.2金融43%科研机构50互联网5.外Coremail统计周期2023年厂12月II信息技术6队aataw72MV奇安信对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，媒体、教育培训与医疗卫生等行业对邮件办公的依赖度最高。特别的，本次报告对.edu（教育）、Qrg（组织机构）和.gov（政府）三个域名的邮箱使用情况进行了分析。其中，邮箱域名在全国占比为0.10%,的邮箱域名占比约为0.09%,邮箱域名占比为0.05%。而从正常邮件发送量上来看，邮箱占2.84%,邮箱占0.77%,邮箱占0.19%。中国企业级邮箱用户edu.gov.org域名使用情况独立域名数量占比正常邮件发送量占比284、统计周期2023年112月0.10%0.77%0.05%0.09%0mCoremail。嘴？!舍MT司安信曲Y帝安18三、电子邮件的地域分布统计显示，2023年全国企业邮箱用户收发的邮件以境内收发为主。国内收发占74.9%；海外收发25.1%。从服务器的所在地来看，2023年，国内企业邮箱服务器设在北京的数量排名第一，占比为18.7%；上海排第二，占比为16.7%；杭州排名第三，占比8.8%o中国企业级邮箱服务器域市分布南京1.2%武汉14%苏州17%东莞2.9%香港3.4%广州4.3%奇安信«Coremail。黑黄客拿第二章垃圾邮件形势分析第三章垃圾邮件的规模根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估，2023年，全国企业邮箱用户共收到各类普通垃圾邮件3158.4亿封，约占企业级用户邮件收发总量的40.5%,是企业级用户正常邮件数量的88.4%。从最近三年的情况来看，普通垃圾邮件的收发量增速略低于正常邮件的收发量增速，其他恶意邮件的收发量持续下降。具体分布如下图所示：-垃圾邮件发送源从发送者邮箱域名归属情况来看，2023年，全国企业邮箱收到的垃圾邮件中，来自国内的垃圾邮件最多，占总数的38.6%,来自美国的垃圾邮件次之，占总量约20.4%,第三是俄罗斯，约占7.2%o下表给出了按照垃圾邮件数量统计的，历年垃圾邮件发送源国别归属排行TOP5。值得关注的是：从2022年开始，乌克兰和英国，超过了越南和印度，跻身垃圾邮件发送源的Top5o而随着战争的持续，来自俄乌两国的垃圾邮件占比持续提升。这也在某种程度上说明，两国正在遭到越来越多的网络安全威胁。表1历年垃圾邮件发送源国别归属排行Top5（按照垃圾邮件数量统计）2021年2022年2023年排名国家占比国家占比国家占比1中国47.8%中国41.9%中国38.6%2美国18.1%美国19.4%美国20.4%3俄罗斯6.3%俄罗斯6.7%俄罗斯7.2%4越南2.2%英国1.9%乌克兰3.7%5印度1.8%乌克兰1.9%英国2.8%其他23.7%其他28.3%其他27.1%仅就国内情况来看，从发送者的域名归属地来看，来自江苏的垃圾邮件发送者最多，占国内垃圾邮件发送总量的14.2%,其次为北京，占比13.9%,浙江排第三，占比7.4%。下图给出了国内垃圾邮件发送源域名归属省份ToplO及其垃圾邮件发送量占比情况。国内的垃圾邮件发送源域名归属地省级分布TOPl0对发送垃圾邮件的邮箱域名进行抽样行业分析显示，2023年，国内垃圾邮件发送源中工业制造行业占比最高，为6.8%；其次为教育培训，占比6.4%；互联网企业排名第三，占比5.5%。下图给出了国内垃圾邮件发送源行业分布。国内垃圾邮件发送源行业分布ToPl0二、垃圾邮件受害者从收到垃圾邮件的受害者服务器所在地来看，2023年北京用户收到的垃圾邮件最多，共收到了占比高达全国18.1%的垃圾邮件；其次为广东，收到了全国15.0%的垃圾邮件；上海排名第三，收到了全国12.6%的垃圾邮件。下图给出了国内企业邮箱用户中垃圾邮件受害者的省级行政区分布ToplOo国内垃圾邮件受害者省级分布ToPlO国内垃圾邮件受害者所在行业也比较集中，排名前十的行业收到的垃圾邮件数量，占垃圾邮件总数的73.5%。其中，工业制造行业排名第一，约占垃圾邮件总数的21.7%：教育培训排名第二，约占13.2%；排名第三的行业为交通运输，占11.6%o具体T叩10行业排名如下图所示。国内垃圾邮件受害者行业分布ToPl0Coremail0震煲客拿卜士用安18第四章钓鱼邮件形势分析一、钓鱼邮件的规模在本章内容中，钓鱼邮件是指含有恶意欺诈信息的邮件，包括OA钓鱼邮件、鱼叉邮件、钓鲸邮件、CEo仿冒邮件和其他各类钓鱼欺诈邮件，但不包括带毒邮件、非法邮件等。其中，鱼叉邮件是指针对特定目标投递特定主题及内容的欺诈电子邮件。相比一般的钓鱼邮件，鱼叉邮件往往更具迷惑性，同时也可能具有更加隐秘的攻击目的。而钓鲸邮件则是指那些专门针对企业高管或重要部门进行的鱼叉邮件攻击。而CEO仿冒邮件则是指冒充企业高管对公司员工或某些部门进行的鱼叉邮件攻击。根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测评估，2023年，全国企业邮箱用户共收到各类钓鱼邮件约577.1亿封，相比2022年收到各类钓鱼邮件的425.9亿封增加了35.5%。网络钓鱼攻击事件逐年增加，钓鱼邮件数量在2021年短暂抑制后，持续迅猛增长。历年国内企业邮箱收到钓鱼邮件数量变化钓鱼邮件作为网络攻击最常用的手段，可以说是自电子邮件诞生以来一直存在的安全威胁。2023年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的7.4%,平均每天约有1.6亿封钓鱼邮件被发出和接收。换种说法，即平均每个企业邮箱用户每月会收到约25封钓鱼邮件。特别值得一提的是，监测发现：自2023年下半年开始，出现了大量利用云服务平台投递钓鱼邮件的案例。二、钓鱼邮件发送源根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心联合监测，钓鱼邮件的发送者遍布全球，其中，来自中国的钓鱼邮件最多，占国内企业用户收到钓鱼邮件总量的48.4%；其次是美国，约占12.4%：俄罗斯排名第三，约占7.9%。下表给出了按照钓鱼邮件数量统计的，历年钓鱼邮件发送源国别归属排行Top50表2历年钓鱼邮件发送源国别归属排行Top5（按照钓鱼邮件数量统计）2021年2022年2023年排名国家占比国家占比国家占比1美国41.0%美国31.5%中国48.4%2中国11.7%中国18.4%美国12.4%3新加坡5.3%俄罗斯3.3%俄罗斯7.9%4印度3.0%英国3.1%乌克兰2.7%5加拿大2.9%罗马尼亚2.9%西班牙1.8%其他36.1%其他40.8%其他26.8%可以看出，2023年，来自国内发送源的钓鱼邮件数量占比猛增，超过美国排名第一。具体来看，以下几个因素是导致这一情况出现的主要原因：1 .大量新的中文邮件黑产团伙出现。从2023年第三季度开始，有大量专门针对中文用户的钓鱼邮件黑产团伙开始变得异常，从而导致来自国内的钓鱼邮件数量占比快速增长。2 .云服务平台被用来发送钓鱼邮件。发送源是国内的钓鱼邮件，特别是来自江苏等地的钓鱼邮件，有相当一部分是利用了某些云服务厂商平台的监管漏洞，大量注册邮箱来发送钓鱼邮件。3 .部分高信誉域名邮箱账号被盗取。监控发现，存在部分国内高信誉域名邮箱账号（数量百万级/账号）被到之后，被用来大量发送钓鱼邮件的情况。4 .临近年终时，又有大量冒充年终奖的钓鱼邮件攻击出现。上述多种因素，最终也导致2023全年钓鱼邮件数量有一个明显的增长。导致来自国内的钓鱼邮件数量达到钓鱼邮件总量的48.4%从国内钓鱼邮件发送源的服务器所在地来看，江苏发送的钓鱼邮件最多，有16.6%的钓鱼邮件来自江苏的邮箱；另有约13.1%的钓鱼邮件来自四川；约11.2%的钓鱼邮件来自北京。国内钓鱼邮件发送源发送钓鱼邮件数量ToplO省级行政区分布如下图所示：国内钓鱼邮件发送源省级分布ToPl0三、钓鱼邮件受害者从收到钓鱼邮件的受害者服务器所在地来看，北京用户收到的钓鱼邮件最多，有29.2%的钓鱼邮件被发送至北京的企业邮箱用户；另有约16.7%的钓鱼邮件被发送给广东用户；约13.2%的钓鱼邮件被发送给上海用户。2023年国内钓鱼邮件受害者数量ToplO省级行政区分布如下图所示：国内钓鱼邮件受害者省级分布ToPl0国内钓鱼邮件受害者所在行.业也比较集中，排名前十的行业收到的钓鱼邮件数量，占钓鱼邮件总数的73.0%。其中，工业制造行业排名第一，约占钓鱼邮件总数的23.5%；交通运输排名第二，约占12.0%；排名第三的行业为教育培训，占11.0%o具体TOPlO行业排名如下图所示。国内钓鱼邮件受害者行业分布ToPl0Coremail0用熊舍*四、钓鱼邮件的类型从具体内容来看，2023年流行的钓鱼邮件主要有8种类型，分别是：身份验证/备案、补贴/退税、升级/扩容、仿冒官网、虚假发票、虚假快递、系统退信、在线填单。其中，身份验证/备案类钓鱼邮件数量最多，占比约为36.1%；其次是补贴/退税类钓鱼邮件，占比约为30.9%；升级/扩容类钓鱼邮件排第三，占比约为17.4%oTOP3之和占到了所有钓鱼邮件总量的84.4%。具体分布，详见下图。Coremail仿冒官网3.8%升级/扩容174%系统退信虚假快递2.90%虚假发票3.70S身份晚证/备案36.1%在线填单其他诈照补贴/退税30.9%统计周期2023年112月奇安信下面将对2023年流行的钓鱼邮件类型做详细说明并举例。1.身份验证/备案这是一类专门诱骗受害者在虚假的钓鱼网站上，进行身份验证或身份备案的钓鱼邮件，目的是盗取受害者的账号、口令和个人信息。此类邮件诱骗受害者的理由多种多样，最为常见的是以保护邮件系统安全性为由要求用户进行身份验证/备案，具体理由包括但不限于离职员工邮箱管理、账号密码重置、异常登录通知等。下面几图是此类钓鱼邮件的真实案例。管理员IS示：Xiej'二AdEiafe<p)infl>flyaudodgxom>202313130121:34力送攵XE50ACJadmtn(><pnjnn>ftyud>od9com*收科人*Xj*;20230313012134大小38KB蹉理第瞽告近日我司企业邮局收到大垃圾邮件.蛭分析，由于个别离职用户邮箱被盗用导致并在内部发送垃圾邮件，针对此间超调完成如下授作：调各位领导.同事及时箭案保持您的企业邮箱，凡未及时番案的邮箱账户，将全部皆停收发信权限.如需恢复，须通过OA申请.OA各室保持低户遍不要忽略这封¾子邮件.以免您的帐户被关闭“安金升嫌费公富！关累罚JlFiI案侵*!(OIffeHVMH*)BlTHeipdMliMS三oM<a11-'/"=限一<a*Ja«e½0WVICW.gE2Br而却“必旧检”小114。IHCMWW：为了Hft公冷MJW*慢护mW/B,Wlm于涧2S.26日早上Xg21OMWKMSiM1.第网单双，时97SMIVWMI*A*m*MitfVBMS<奈IHMHM)离户.dWKS*为无人INM!*RMt!JIXVSMHae.疝邮MEX迁移MUQ:postmaster"三s.，.，-5u,>-1,伊POttnmte*邮箱配颍通知Hotm“SMtfMaffiidiaBaatS*.。*口下立ttWN7RM90W*WWQB4.仿冒官网这是一类专门冒充某些大型网络平台进行商业推广活动的钓鱼邮件。如冒充“1.inkedln”发布求职信息，冒充“中国制造网”发布商品询价信息等。只不过，邮件中提供的网址链接并非是真实的网站平台，而是攻击者仿冒的钓鱼网站。受害者一旦按照提示登录或注册，就会导致个人信息被窃取。下面是一个攻击者仿冒国际知名招聘平台领英发出的钓鱼邮件。受害者只要点击邮件中的链接，就会跳转到一个仿冒领英的钓鱼网站，再通过引导受害者进行注册、登录等操作，骗取受害者的个人信息。曲Y帝安18Re：”合阿h.JHuo>U(Zq，.“一，,j.v,攵11?.6X8MwdmariwwgQhKtpfU:JPnnef64cX2卬2MHIAR三QXA小>JCt血领英0&3ChrisinaHouZhangStfMPurchMtngMrofZHUHAiESTMaEEQUQSX3ffiMWA买家am±HMmraavwMZhang.Hmf)SC*m到IMgniE在先*mw牙的"."，AMMTWMIC*9SUMtfB,.8<MM11WWTCnCftfiSRMX0EM加UnMQMs*>MMt>me<”在网El23n1919VVtirB.UMBCS-tXST.IVW.下图是浏览器打开仿冒领英的钓鱼网站页面截图。5.虚假发票这是一类专门通过发送虚假发票信息，诱骗受害者下载电子发票，从而盗取受害者个人信息和公司财务信息的钓鱼邮件。其中，还有部分此类邮件诱导受害下载的所谓电子发票，实际上是木马、病毒等恶意程序。需要说明是，由于电子发票目前在生活、工作中的应用非常广泛，所以不论是单位或个人，收到电子发票相关的邮件，一般都不会感到意外，下载发票或点开附件都是常事。但如果总是习惯性的忽视正常发票邮件中可能夹杂的钓鱼邮件，就有可能给个人或企业造成重大的损失。下面几图是此类钓鱼邮件的真实案例。您收到一张*“044032100111SKAwjd*nem11a(>outlookcom>202J01301110:?7方XXyiSUSiezhang发杵人ElXKwijda11em<e<>outkM)lc.(om>收件人auiejrangvwniezhang、；时同2023-06-3011:1027大小8JKB散的客户，您好，我谣电子发票发送给我发票信息如下，发票代码：044032100111发票号码：59807394价脱合计：130.00点击下载地址：httos:VUh4,oscnh3nqZhoUalVUneCom/51fo8exe¥21,100.35InvoicesDueWBt三<support11-n>2023092303:07:犯发;7wangg发杵人口WangFengVSlJPPoHr>收件人一<wa三.cn>时C2023-09-2303:07:38G大小6.0KB早上好IMB请查找当月到期的以下税务发票，请在2023年9月30日之前安嫌付款发票数量：3张妙!总金题：¥21JoO.35计费率.道：ETC助手计费应用程序：22Sep2023发件人：除弊DownIoadAaxInvoice6.虚假快递这是一类专门冒充快递公司，以结算、包裹等名义发出的钓鱼邮件。此类邮件或者是夹带恶意附件，或者是通过钓鱼网站链接盗取受害者个人信息。下面两图分别是仿冒顺丰快递和美国邮政(USPS)发送的两封钓鱼邮件。车未付发票BSFExpress三三叱WflV1.pf*M3S*"4>cn0*w.0件人幻.,<r*gQEW20230202226:18X小IlSKBHtM1.©EXPRESS顺丰速运MHMFP为.QQlZ李，塌窗期7分务阴的们前公航««力同E河发票见附件事使CGBU你am*在IMJ的通um21*m,1'.IBatetrwv*U4MneMu>w0A*ufr*#w«UA2亚8410A÷1”。说等UNlTEDSTATESPOSTA1.SERVICEApprovedPostalProvider9MNMM三PWIaiff1W.RVlW心与5FffT惠fiZNgKi3.阮津ge亮*,0SHITMmtSIHM可用的包加金WH姓90比出Mim1.7 .系统退信/邮件阻断这是一类非常特殊的钓鱼邮件。攻击者将含有恶意链接的钓鱼邮件，伪装成由邮件服务器自动发送的邮件异常通知或退信通知，诱导受害者点击钓鱼链接以获取被阻断、拦截或退信的电子邮件，从而盗取受害者的账号、口令和个人信息。下面几图是此类钓鱼邮件的真实案例。发件人po*tBMter.botmce(aailto>ler-2u*.1«)发送听闻2023年5月19日1332件人kn.h«nt±tt事姨皮金/Etebounce-lay19.2023KtOl32OlPlfMI¾.ttfUweBWftWfiSOKIio巴VftBl：Fr.19lay202309264440800(三T<0800)Returneda*lflC>recptntryntaxerror眩体怆IIhkMethM*占市达Ktt>t/4ia<j*ctyJ0T宗：由收疑能遗甸A的W霍利最8 .在线填单这是一类专门冒充公司内部职能部门，向员工发送通知信息，诱骗员工在钓鱼网站上填写账号、口令和个人信息等敏感信息的钓鱼邮件。例如，下面这封邮件就是攻击者冒充人力资源部，以绩效评定为诱饵，诱骗员工在线填单的钓鱼邮件。9 .其他诈骗邮件除了上述最为典型的8种钓鱼邮件外，2023年，还有其他很多不同类型的诈骗邮件出现。不过由于整体数量不大，这里不再做详细分类，只是把一些典型案例做个举例。下图是声称有你的不雅视频，准备对你进行敲诈勒索的钓鱼邮件。1770227292S<qg1681681167>20230308161»45方送&q»rQ17702272926<qg168161167>U9com>WftA(qn*<q<n<p,;灯202303081619:45大小1642K84“型JWv1177KB有你不推视频处理+Vqgjt666777否则后果自负K由总尸*下图是一封冒充国际有人向你求助的钓鱼邮件。qJWm0”。4e21ElO*三«<Vt.r三fMtk<Cm<>M¼MIKHE3159度&的心，速ftM-tBMBMU三3B3GWCt.M.IVI”AIWqN:W2bHKAQPUttQSZMfc1.tM立加WkMeeUffr下图是冒充律师事务所，发送虚假律师函件的钓鱼邮件。发件人南京新华I邦所<inW>发送日期2023060514:20:31收件人Zhang讪沙送人主0关于Zhangr里司承授合同案件的传原通知由Dearzhn<.掇林A泰杷人（*大达）桂供的格美青8.金明事夫如下：A杷人身育会可之网存在畲法有效的购候含冏加承也金同.“方应&依W合向的发什10.公习地欠合用款的行冷已构*遣的.公勾立承应的逢外才任.正取讣牧情*及泰2俟MI大易*任.如我打此430大内长作出«幺星埼轿正人>tf公可诉.请尽快艮.次屹I），M方金作美4请纷Ht婚时争2百4女符：ta<fMTA<M:点击下气Th*nk&Bmxy&调KQ(Mr.GridyNlu)p*jHflm>w*acR第五章带毒邮件形势分析一、带毒邮件的规模根据COremail邮件安全人工智能实验室与奇安信行业安全研究中心联合监测评估，2023年，全国企业级用户共收到约452.3亿封带毒邮件，相比2022年收到的520.9亿封带毒邮件相比，同比减少了13.2%o2023年企业级用户收到的带毒邮件量约占用户收发邮件总量的5.8%o平均每天约有1.2亿封带毒邮件被发出和接收。国内企业由罐收到带毒邮件的数量变化趋势单位：亿封609.5二、带毒邮件发送源Coremail邮件安全人工智能实验室与奇安信行业安全研究中心对带毒邮件的发送源头进行了分析。据统计，带毒邮件的发送者多集中于北美洲与欧亚。其中，来自美国的带毒邮件最多占全球带毒邮件的23.7%；匈牙利排名第二，占18.5%；俄罗斯排名第三，占7.0%。最近三年针对国内企业级用户发送带毒邮件的发送源全球分布及占比情况如下表所示。表3历年带毒邮件发送源国别归属排行ToP5（按照带毒邮件数量统计）2021年2022年2023年排名国家占比国家占比国家占比1美国36.8%美国22.4%美国23.7%2中国20.8%保加利亚10.9%匈牙利18.5%3加拿大4.7%中国9.3%俄罗斯7.0%4荷兰4.3%匈牙利3.8%德国3.7%5德国4.1%俄罗斯3.2%中国3.1%其他29.3%其他50.4%其他44.0%对比过去三年的情况可以发现，美国始终是全球最大的带毒邮件发源地。而中国服务商对于带毒邮件的治理则有显著成效，带毒邮件发送量从2021年的占比20.8%,连续大幅下降至2023年的3.1%。这也表明，在邮件反病毒领域，国内各大邮件服务商已取得重大进展。三、带毒邮件受害者从收到带毒邮件的受害者服务器所在地来看，2023年北京用户收到的带毒邮件最多，全国占比高达37.0%的垃圾邮件；其次为广东，全国占比15.2%；上海排名第三，全国占比13.8%o下图给出了国内企业邮箱用户中带毒邮件受害者的省级行政区分布TOPI0。国内带毒邮件受害者省级分布ToPl0国内带毒邮件受害者所在行业也比较集中，排名前十的行业收到的带毒邮件数量，占带毒邮件总数的72.5%。其中，工业制造行业排名第一，约占带毒邮件总数的21.0%；交通运输排名第二，约占12.7%；排名第三的行业为教育培训，占12.5%o具体TOPlO行业排名如下图所示。国内带毒邮件受害者行业分布Top10Coremail。用费奥拿A±9安信四、带毒邮件的类型通过对带毒邮件附件文件的后缀分析发现，rar和.zip两种压缩格式最为常见，占比分别为36.0%和14.3%。.xls、.gz和.7z分列第三到第五位。在排名Top5的后缀名中，4个都是压缩文件格式。由此可见，压缩包是邮件攻击者最喜欢使用的病毒隐藏方式。不过，随着邮件反病毒技术的日益成熟，一般的压缩技术已经不能阻碍邮件反病毒引擎的查杀。国内企业邮箱收到带毒邮件附件后爨分析第六章电子邮箱账号安全一、邮箱盗号的规模盗号，是电子邮箱账号安全的主要问题。根据Coremail邮件安全人工智能实验室与奇安信行业安全研究中心的联合监测显示：2023年，国内电子邮箱账号被盗规模高达1022.2万个，占全年活跃邮箱账号总量的5.38%o从过去几年的总体情况来看，邮箱盗号问题仍在持续加剧：2023年国内企业邮箱账号被盗总量是2019年的近2.2倍；被盗账号数量在当年活跃邮箱账号中的占比也从3.35%猛增到5.38%。邮箱账号安全管理问题亟待加强。历年国内企业邮箱账号被盗规模变化趋势二、暴力破解的形势暴力破解是邮箱盗号最主要的手段，占到2023年邮箱异常登录行为检出总量的53.1%。异常登录行为中暴力破解攻击占比变化趋势从历年趋势来看，尽管暴力破解活动在所有异常登录行为中的占比逐年下降，从2019年的57.8%逐步下降至2023年的53.1%,但占比仍始终保持在50%以上。这也就意味着：“防爆破”目前仍然是电子邮箱账号安全的最大威胁。严格禁止弱口令，采取有效的防爆破措施，对于电子邮件系统来说非常重要。三、邮箱盗号的影响邮箱盗号问题带来的一个直接影响，就是垃圾邮件、钓鱼邮件、带毒邮件数量的增加。统计显示，自2020年以来，利用被盗号的邮箱发送垃圾邮件的活动就一直非常活跃。2022年高峰时期，由被盗号的电子邮箱发出的垃圾邮件，曾一度占到国内企业邮箱收到的所有垃圾邮件的31.6%。2023年虽然比例有所下降，但占比也高达27.6%,共计约871.7亿封。由破盗号邮箱发出的垃圾邮件占所有垃圾邮件比例的变化趋势除此之外，邮箱账号被盗，还会引发商业机密泄露、商业邮件诈骗等风险发生。2023年最新相关案例将在“第六章邮件攻击典型案例”中进行介绍。了包括姓名、身份证、手机号、卡内余额等个人信息；最后小孙还根据收到的短信，在页面上填写了一个短信验证码；随后，他便看到页面提示：“系统认证中，请勿刷新页面”。紧接着，小孙就收到了银行发来的4000元转账通知短信。此时，小孙才确认，自己上当了。事实上，这种打着劳动补贴名义实施的钓鱼邮件诈骗活动，自2021年起就一直处于持续流行状态。邮件内容大多是打着人力资源部或财政部的名义发放“劳动补贴”，只不过扫码之后的钓鱼网站页面有多种不同变化而已，但大多都会套取身份信息和银行卡信息。骗子们在获得关键信息后，就会开始盗刷网银，并诱骗受害者在钓鱼页面上填写验证码，从而完成盗刷转账活动。此类诈骗手法之所以会绕过很多邮件安全防护系统，主要是因为攻击者将诈骗信息进行了多层隐藏：攻击者没有将恶意网址以链接的形式直接写在正文中，而是将恶意网址以二维码的形式藏在了邮件的附件中。而邮件附件本身也不带毒，所以，除非邮件安全防护系统打开附件，并识别附件中的二维码后，才有可能判断出邮件的附件中含有恶意信息。不过，此类钓鱼邮件也是由明显的特征的，只要掌握识别方法，还是可以通过“肉眼”轻松识破的。以下几点可以参考。鉴别方法1 .任何国家部委机关都不可能直接给普通的个人邮箱发送邮件。所以，来自任何国家机关的“广告式”邮件一定都是诈骗。2 .如果真是国家有关部门发出的正式邮件，发件人的邮箱后缀一版都是“.gov”，而不可能是任何其他后缀。3 .以Word文档、压缩包为附件，也是比较明显的恶意特征。政企机构给员工发邮件，附件一般都是PDF格式。4 .陌生人发来的邮件中包含二维码也是明显的恶意特征。如果是真正的公益信息或需要向公众广而告之政务的信息，不论是通过短信还是邮件，一般都会直接给出短信链接，收件人直接点开就可以了，很方便。而采用扫码的方式，二维码还藏在附件该邮件有两个附件，一个附件是即将到期发票的电子版，一个附件是关于收款账号的变更说明。由于该外贸公司与该合作伙伴已有多年合作，发件人也与该财务人员有过多次的历史邮件往来，业务沟通均很正常。于是，该财务人员没有怀疑，便开始走财务付款流程，准备向邮件中指定的新的收款账户支付款项。在该公司财务人员收到此封邮件的当天，Coremail邮件安全人工智能实验室在对企业邮件流进行常规监测时，发现这封邮件实际上是一封精心伪造的钓鱼邮件，其主要危险特征包括：发票即将过期、收款账号变更、发件人邮箱无企业注册等。于是，实验室立即向该外贸公司网络安全部门发出风险提示，及时阻止了此次风险交易。进一步追踪调查发现：实际上，攻击者是一个长期从事钓鱼邮件攻击的黑产团伙。该团伙早在数月之前，便已经成功盗取了该外贸企业合作伙伴的多个员工邮箱，并结合历史邮件内容，精心编写了十余封仿冒业务邮件，并通过一个域名与合法邮箱域名极其相似的邮箱（合法域名为COOC*,黑产团伙注册的域名为COOOC*）与该外贸企业持