使用邮件作为通讯工具的小伙伴们对垃圾邮件、钓鱼邮件肯定都非常熟悉,并且对此深恶痛绝。然而这么多年来,大家做了各种努力,使用邮件安全网关,把邮件系统上云等等,垃圾邮件、钓鱼邮件仍是屡禁不止。不法份子为了提高攻击成功率,通常通过钓鱼或者爆破等手段盗用的邮件账号作为恶意邮件的发送主体,这也给常规的邮件防护设备和实际的安全运营增加了难度。
正所谓知己知彼方能百战不殆,今天给大家带来的是针对恶意邮件攻击者的分析,给出攻击者更加清晰的画像。分析的原始数据是“在大大的云上脱敏的事件数据仓库里面,挖呀挖呀挖出来的”各个恶意邮件的攻击者,数据真实可靠。并且所分析数据是基于真正投递到用户邮件文件夹的恶意邮件,极具危害性。那么接下来就带大家看看安全专家眼中的邮件攻击者的样子吧。
01
骗子也要冲业绩,关键时间点务必警惕
2022年12月至2023年5月期间,安恒信息云监测平台监测到邮件攻击超60万次,这部分的攻击是绕过了邮件安全网关并最终到达用户邮件文件夹的邮件数量,即最终受影响的数量。
从攻击数量上来看,1月份的发生的攻击数量最多,3月份、4月份的攻击数量也相对较多,如图1所示。
图1 整体邮件攻击数量
从攻击时刻上分析,一天24小时基本上均有攻击邮件到达,可以判定攻击者多采用自动化的攻击手段,但是国内用户相对在1点~17点期间收到的恶意邮件更多,如图2所示。
图2 每时刻邮件攻击数量
从攻击账号数量来看,选取了能够关联到企业的账号,发现1月份的邮件攻击账号数量尤其特别突出,证明1月前后大量的账号被盗用,整体上不法分子春节前后冲业趋势明显,如图3所示。
图3 邮件攻击账号数量
从恶意邮件类型分析,培训类广告投递和金融诈骗为主,分别占比39%和35%,其次是盗号钓鱼类,占比19%,所以可以得出结论,恶意邮件攻击以牟利为主要目的,如图4所示。
图4 邮件类型占比
02
企业是邮件账号滥用的重灾区
不法分子邮件攻击账号的来源可能自己搭建节点,也可能是通过盗号的方式获取的原本正常的账号。选取其中可以识别到单位的攻击账号,可以清楚的发现企业是账号被盗的重灾区,被盗账号占比高达93.4%,其次部分的事业单位也存在对应的风险,约占整体被盗账号的3.6%,再就是个人的邮箱账号占比1.7%,如图5所示。
图5 被盗账号来源
03
沿海经济发达省份包揽攻击Top7
接下来是就是大家喜闻乐见的区域分布排名,我们将各被盗账号与省份区域相匹配,惊讶的发现,竟然与GDP有一定吻合,说明一方面经济发达地区企业基数大,被盗账号数量可观,另一方面,经济发达地区企业具有更高的攻击价值,快来看看你的家乡排第几。如图6所示。
图6 各省攻击者邮箱账号数量
04
牟利是邮件攻击得主要目的
攻击者以牟利为主要的目的,通常会实施培训广告和金融诈骗两种类型的邮件攻击。针对邮件的主题进行分析后,发现《关于发放员工补助(补贴)福利通知》、《个人劳动(补贴))已下发,请查看下图查收》这类劳动补贴类的诈骗邮件占比高达15%,其次是各类培训,以企业经营管理类培训为主,包含客服类、经营管理类、人力资源、销售类、 财务避税等针对企业的各类培训,整体高达40%,也有PPT美化,中级经济师等各类针对个人的培训约占20%。同时也会有开票避税这类黑灰色产业信息,也有直接卖邮件群发软件这类工具的邮件,如图7所示。
图7 各类邮件攻击剧本
05
科技/制造类企业需要加强安全管理
根据数据分析,我们了解到被用于邮件攻击的攻击者的账号部分来源于盗号,其中企业账号占比高达93.4%,那么究竟是哪些企业的邮箱账号容易被盗呢?我们把收集到存在邮件攻击行为的企业邮箱账号做了分词统计后发现,信息技术类企业占比最高,接近30%,其次是各设备及工业制造类企业,占比接近20%,贸易型企业占比约15%,其他各类餐饮、金融、交通、房地产、建筑、教育、医疗、生化、材料等各行业均有企业中招。中招的企业中有大型上市企业,也有小到某个烧烤店的零售企业,可以看到邮件账号被盗是一个非常广泛的安全问题,值得我们各个企业管理人员重点关注。我们把各企业名称关键词做了词云,如图8所示。
图8 邮件攻击者企业关键词
06
学校账号基数大,风险敞口也大
通过上文的分析,事业单位的问题账号占比业相对较高,我们对这类攻击者做了分析分类,发现其中绝大部分的攻击账号来源是学校,占比78%,涉及54所学校,通常情况下,学校的人员数多,账号基数大,发生风险的概率业相对较高,如图9所示。
图9事业单位攻击者来源分布
总结
邮件是一个古老的网络通讯工具,过去我们使用了邮件网关,使用贝叶斯等算法来防垃圾邮件,取得了一定的效果。但是随着互联网的发展,攻击者的攻击手段日渐成熟,或许是新的通讯工具抢占了邮件通讯的“市场”,邮件领域的安全似乎依然还是原来的那套防御机制,亦或是邮件上云后我们失去了防御手段,但邮件在实际的工作生产中依然是一个非常重要的通讯工具,邮件安全问题不容小视。安全发展到今天,已经不可能依托单一设备解决整体的安全问题。
邮件安全也是如此,邮件面临着垃圾邮件、钓鱼邮件、账号诈骗、敏感信息泄露等各种风险,我们的纵深防御、分级建设、安全运营等各种手段也应该给邮件配置上,不能给邮件加个网关就完事了。安全监测、安全运营联动处置要跟进,毕竟无法防御看不到的风险。也只有技术和管理相结合,账号滥用问题才会被缓解,才能从根上解决恶意邮件攻击愈发严重的问题。
PS.想了解你的企业有没有账号被用于邮件攻击吗?点击这里查询:
或联系当地销售免费试用MSS邮件诈骗服务
第二期敬请期待:面对邮件诈骗,安恒的应对之道
将“安恒信息”微信公众号设为星标
关注信息不走丢哦!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...