前言
点击下方 "深圳市网络与信息安全行业协会"公众号关注, 设为星标。
后台回复:240205,即可下载2023年邮件安全态势报告原文PDF。
在过去的几年里邮件攻击技术持续进化,这种进化在2023年突飞猛进,从传统大量群发式攻击(例如:垃圾邮件、病毒邮件、URL钓鱼邮件等),演进到针对指定员工个人或群体所精心设计的复杂性攻击(例如:伪装为商业伙伴或高层的BEC诈骗、二维码钓鱼邮件、图片钓鱼邮件、0-day APT攻击等),邮件攻击已经发展成为一种高度复杂、巧妙和有针对性的威胁。
图1. 邮件攻击持续进化
邮件安全攻击技术的持续进化有多方面的因素,这些因素共同推动了攻击者不断改进和创新他们的方法。以下是一些主要原因:
防御措施的加强:随着电子邮件安全解决方案的不断完善,传统的攻击手段逐渐失效。攻击者为了绕过这些防御措施,不得不开发新的技术和策略,从而推动了攻击手段的进化。
科学技术进步:攻击者利用了科学技术的不断发展,包括生成式人工智能(Generative AI)等新技术,使得他们能够更快速地生成定制和难以检测的恶意内容。新技术的引入为攻击者提供了更多工具来规避传统的防御措施。
社会工程学的发展:社会工程学是利用人的心理弱点进行欺骗的艺术。随着对人类行为模式的研究不断深入,攻击者能够设计出更加精巧的电子邮件诱饵,提高攻击成功率。
技术和知识的普及:随着互联网技术的发展和网络安全知识的普及,攻击者能够更容易地获取到实施攻击所需的工具和技术。同时,他们也更加了解电子邮件系统的弱点,以及如何利用这些弱点进行攻击。
经济利益:电子邮件攻击往往能够带来巨大的经济利益。无论是通过钓鱼攻击窃取银行凭证,还是通过商业电子邮件欺诈(BEC)实施巨额转账诈骗,攻击者都能通过这些手段获得直接的经济回报。
电子邮件协议的漏洞:尽管电子邮件协议如SMTP、IMAP和POP3已经相当成熟,但它们在设计时并未充分考虑安全性,这导致了许多潜在的安全漏洞,为攻击者提供了目标。
国际合作与法律执行难度:网络攻击往往跨越国界,国际合作在追踪和起诉攻击者方面存在难度,这为攻击者提供了一定的保护。
持续的专业化:网络犯罪作为一个产业,也在不断专业化。有组织的犯罪集团、国家级黑客和其他专业团体都在不断开发和改进电子邮件攻击技术。
综上所述,电子邮件攻击的进化是一个动态过程,受到多种技术和非技术因素的影响。因此,邮件安全的防护措施也需要不断更新和改进策略,以应对这些不断变化的威胁。
网际思安小贴士:据统计,88%的组织遭受过鱼叉式网络钓鱼攻击。
根据北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)在2023年搜集到的数据显示,在2023年第一季度,MailSec Lab观察到非常活跃的钓鱼邮件攻击,累计多达1,624,144个。第二季度和第三季度的攻击数量相对减少,但是在第四季度再次升高,检测到全年最多的钓鱼邮件攻击数量,累计多达1,652,381个钓鱼邮件攻击。
图2. 2023年独立钓鱼网站的数量趋势
各类型邮件攻击的占比如下图所示。其中,钓鱼邮件仍然是黑客最喜欢采用的邮件攻击方式,占所有邮件攻击的三分之二。具体来讲,在2022年占据了约70%的百分比,而2023年略微下降达到66.3%。黑客通过钓鱼邮件发起攻击,盗取个人密码和重要数据,从而为后续更多攻击手段提供了基础。
图3. 2022年与2023年全球邮件威胁攻击类型
一个有趣的现象是,BEC攻击首次在所有攻击类型占比中超过了恶意软件攻击。越来越多的黑客在今年投入更多的时间和精力研究和发动BEC攻击,这可能是由于ChatGPT的引入,使黑客能够创建比以往任何时候都更复杂、更大规模的攻击。此外,勒索的占比进一步大幅增加。与此同时,诈骗也占据了更大比例。
“道高一尺,魔高一丈”,攻击者经常动态调整他们的入侵策略,以提高成功攻陷目标的机会,这使得邮件安全团队有必要不断增强其防护措施。
根据数据统计与分析,2023年的邮件威胁态势如下:
钓鱼邮件占所有邮件攻击类型的三分之二,高达66.3%。紧随其后的是勒索和诈骗邮件攻击;第一季度,钓鱼邮件攻击非常活跃,累计多达1,624,144个。第二季度和第三季度的攻击数量相对减少,但是在第四季度再次升高,检测到全年最多的钓鱼邮件攻击数量,累计多达1,652,381个钓鱼邮件攻击。
遭受钓鱼邮件攻击数量最多的行业仍然是“金融机构”。而“云服务/云邮箱”作为开放式的对外公共服务,也承受了大量的钓鱼邮件攻击。在其之后,“社交网络”与“物流/运输”两个行业分列第三和第四位。尤其值得一提的是,“物流/运输”行业相较于2022年相比,钓鱼攻击数量增长了328%。
美国和中国仍然是遭受钓鱼邮件攻击最多的两个国家。其中,美国所占百分比为39%,而中国占比为23%。与此同时,俄罗斯和韩国,因为近年来地缘竞争和战争风险因素的影响,其遭受的钓鱼邮件攻击数量也保持大量增长。
含恶意软件的攻击大幅下降了近47%,占所有邮件攻击类型的2.6%;其中,"HTML/Phishing.Agent" 特洛伊木马占所有恶意软件的三分之一;而"DOC/fraud" 木马占所有恶意软件的15.4%。
脚本和可执行文件类型占所有恶意附件类型的三分之二;与此同时,为进一步提升恶意附件的欺骗性,攻击者会将恶意附件伪装成常见的文件类型,例如:伪装为Office办公文档(11.1%)、PDF文档(10%)、打包到压缩文件(3%)等。
BEC邮件攻击数量有所下降,相比2022年减少了近25%,占所有邮件攻击类型的3.5%;在过去的一年中每1000个邮箱,平均每月遭受的BEC邮件攻击数量为3.86次。
拥有1000名员工以下的企业经历了最多的商业电子邮件攻击(BEC攻击),每1000个邮箱每月平均发生5.75次BEC攻击。而当企业规模上升到2万或以上员工时,每1000个邮箱仅仅发生不到1次的BEC攻击。
科技行业是BEC攻击最受欢迎的目标,过去一年每1,000个邮箱平均每月发生近五次攻击。其他受欢迎的行业包括建筑工程、广告营销、金融、交通运输、以及媒体与娱乐,每1,000个邮箱每月都有超过三次的攻击。
钓鱼邮件是指邮件正文中包含恶意链接、带有恶意附件或者钓鱼网站的具有攻击性的电子邮件。网络攻击者通过社会工程学构造邮件正文,并以此诱导用户点击其中的恶意链接、打开恶意附件或向攻击者回复邮件用户的个人隐私信息。攻击者也因此能够植入木马或间谍程序,进而窃取用户的银行账户或密码等个人敏感数据,或者在设备上执行恶意代码从而实施进一步的网络攻击活动。
网际思安小贴士:据统计,成功的网络攻击有 90% 都是源于电子邮件网络钓鱼。
图4.典型钓鱼邮件入侵流程
麦赛邮件安全实验室(MailSec Lab)对下列2023年钓鱼邮件数据进行了统计,以分析钓鱼邮件攻击的活跃程度和趋势。
独立钓鱼网站。我们以网站域名为单位,而不是以URL地址为单位统计钓鱼网站的数量。因为成千上万个定制化的钓鱼URL地址,可能实际上都指向了相同的网站域名,所以通过网站域名可以更准确衡量钓鱼网站的数量。
独立钓鱼邮件主题。我们只统计具有唯一邮件主题的钓鱼邮件数量,从而避免重复统计相同的钓鱼邮件攻击,因为同一批网络钓鱼攻击很可能使用相同的邮件主题,但邮件正文中根据收件人地址的不同包含不同的钓鱼URL地址。
表1. 2023年钓鱼邮件攻击数量
图5. 独立钓鱼网站的数量趋势
图6.独立钓鱼邮件主题数量
在2023年第一季度,MailSec Lab观察到非常活跃的钓鱼邮件攻击,累计多达1,624,144个。第二季度和第三季度的攻击数量相对减少,但是在第四季度再次升高,检测到全年最多的钓鱼邮件攻击数量,累计多达1,652,381个钓鱼邮件攻击。
从行业来看,2023年全球遭受钓鱼邮件攻击数量最多的行业仍然是“金融机构”。作为全球最赚钱的行业,金融行业仍然是黑客眼里的最佳攻击目标。而“云服务/云邮箱”作为开放式的对外公共服务,因为暴露在互联网,也承受了大量的钓鱼邮件攻击。
在其之后,“社交网络”与“物流/运输”两个行业分列第三和第四位。尤其值得一提的是,“物流/运输”行业相较于2022年相比,钓鱼攻击数量增长了328%。“物流/运输”行业遭受大量钓鱼邮件攻击的原因主要包括其涉及的高价值信息,如货物追踪和客户数据,以及庞大的供应链网络,容易成为攻击目标;紧急性和高压力的工作环境使得攻击者能够利用员工的紧迫感,通过伪装成紧急通知来进行欺骗;此外,由于行业内大量的电子邮件通信,攻击者有机会伪装成合法业务邮件,引诱受害者采取不经过验证的行动;与此同时,社会工程学手法的运用,如伪装成熟悉的供应商或合作伙伴,使得钓鱼攻击更具欺骗性。
图7.基于行业的钓鱼邮件攻击占比
从国家角度来看,一般来讲,一个国家被钓鱼邮件攻击的数量与经济规模和人口数量之间存在关系,主要涉及到攻击者选择目标的动机和策略。经济规模较大的国家通常成为攻击者的首选目标,因为这些国家存在更多的数字化活动和金融交易,给攻击者提供了更多的机会用于欺诈和窃取财务信息。此外,攻击者可能瞄准具有大规模人口的国家,从而可以在攻击中找到更多易受欺骗的个体;另一方面,经济发达国家通常拥有更多的高价值目标,如知识产权、商业机密和政府机密。攻击者可能以获取这些关键信息为目标,以谋求更高的经济回报或实施更有针对性的攻击。总体而言,经济规模和人口数量的增加通常意味着更广泛和更有吸引力的攻击面,因此这些国家更容易成为网络犯罪活动的焦点。
在2023年美国和中国仍然是遭受钓鱼邮件攻击最多的两个国家。其中,美国所占百分比为39%,而中国占比为23%。两个全世界经济规模最大,人口众多的国家遭受了全球三分之二的钓鱼邮件攻击。与此同时,俄罗斯和韩国,因为近年来地缘竞争和战争风险因素的影响,其遭受的钓鱼邮件攻击数量也保持大量增长。
图8.基于国家的钓鱼邮件攻击排名
中国在2023年遭受的钓鱼邮件攻击数量仍居世界第二位,相比2022年减少了18%。据麦赛邮件安全实验室(MailSec Lab)的分析,疫情后企业远程办公的减少、经济的不活跃、地缘竞争的缓和是钓鱼邮件数量减少的主要推动力。
2023年7月份,MailSec Lab观察到大量增加的“薪资调整”类钓鱼邮件。关于此批“薪资调整”类钓鱼邮件的典型样本邮件,如下图所示:
图9.关于薪资调整通知的钓鱼邮件
该邮件通过伪造“薪资调整”通知,诱导员工点击邮件正文中URL超链接,从而访问精心构造的钓鱼网站。当员工输入其邮箱帐号和密码后,攻击者将获得该私人账户信息,并可利用该信息成功登陆员工的私人邮件账户。
图10. 点击超链接后访问的钓鱼网站
图11. 记录帐号信息,并模拟系统繁忙
MailSec Lab的专家从源IP、URL链接、邮件头、邮件内容等方面,对此邮件的风险特征进行了详尽的技术分析,及时对规则库进行了更新,并立即提醒企业。
邮件头分析:X-Mailer字段
此类风险邮件的头部包含的“X-Mailer”字段值为“Supmailer 38.1.2”。
图12. 邮件头部X-Mailer字段展示
X-Mailer字段表明了攻击者通过Supmailer软件的38.1.2版本来发送钓鱼邮件。Supmailer是由一家德国公司研发的,用于批量创建和发送广告邮件的软件。该软件的官方网站是“https://int.supermailer.de/”。该文件头字段表明邮件发送者通过使用Supmailer软件群发钓鱼邮件,而非正常使用Outlook, Foxmail等邮件客户端发送邮件。
图13. Supmailer官方网站
图14. Supmailer广告邮件群发软件界面截图
邮件头分析:源IP字段
通过对邮件头字段的分析可知,在该钓鱼邮件到达公司之前,分别先后经过了221.235.220.134和218.70.153.165两跳IP地址。
图15. 邮件头部源IP字段展示
查询覆盖全球的91个RBL数据源,检测结果如下。两个外部IP地址被列入了多达10多个的RBL黑名单。
序列号 | URL/IP | 被列为黑名单的RBL名称 |
1 | 218.70.153.165 | Anonmails DNSBL |
2 | BARRACUDA | |
3 | Sender Score Reputation Network | |
4 | SORBS SPAM | |
5 | Spamhaus ZEN | |
6 | UCEPROTECTL2 | |
7 | TRUNCATE | |
8 | UCEPROTECTL3 | |
9 | 221.235.220.134 | RATS NoPtr |
10 | Spamhaus ZEN | |
11 | UCEPROTECTL2 | |
12 | UCEPROTECTL3 |
URL超链接分析
对URL链接的Whois信息进行查询。该网站于1个多月前建立(2023年5月22日),并且服务器位于香港,因此不用进行公安注册。此类新建设且未进行公安部注册的网站大概率被用于发起黑客攻击。
图16. 邮件中URL链接的Whois信息
对该IP进行域名反查,可得知该IP地址下共服务了42个域名,其中有近20个域名被威胁情报识别为恶意域名。由此可见,该IP下的服务器被攻击者用于批量建设钓鱼网站。
图17. 同一个IP下有近20个恶意域名
并且该URL超链接的域名被知名威胁情报也列为恶意域名:
图18. 该域名被威胁情报列为恶意域名
邮件正文中URL链接格式如下:https://mail-al.cn/#[email protected]
该URL包含了“域名”与“收件人邮件地址”两部分信息。“域名”被用于访问钓鱼网站,而“收件人邮件地址”用于告知攻击者是谁访问了钓鱼网站。因此,针对不同收件人所发送的邮件,其中的URL链接都不相同。
如果对该IP地址进行网络爬虫,可以列出该IP地址下所提供服务的所有URL。这些URL中所含的“收件人邮件地址”,即为被攻击的收件人邮件地址。
图19. 被攻击的收件人邮件地址
发件人分析
通过邮件头分析可知,为了增加钓鱼邮件的可信度,攻击者从一个已被攻陷的第三方企业邮箱帐号来发送钓鱼邮件,以此躲避邮件安全设备的检测。与此同时,攻击者故意设置发件人的显示名称为“财务”来增加邮件的可信度。
尽管如此,因为邮件是从第三方企业邮箱帐号发送的,因此发件人地址是第三方企业的域名,非收件人公司的域名。如果员工仔细辨认是可以识别出问题的。
图20. 发件人域名为第三方企业的域名
总结与攻击溯源:
经思安麦赛安全实验室的分析测试,此“薪资调整”邮件为高危邮件。总结来看,其含有的风险特征包括:
该文件头字段表明邮件发送者通过使用Supmailer软件群发钓鱼邮件,而非正常使用Outlook, Foxmail等邮件客户端发送邮件;
该邮件的两个外部源IP地址被列入了多达10多个的RBL黑名单;
邮件中所含的网站为新建设且未在公安部进行注册;
该网站所在IP地址下的服务器被用于批量建设恶意网站;
邮件中所含的网站被知名威胁情报也列为恶意域名;
发件人地址是第三方企业的域名,非收件人公司的域名。
此邮件的完整攻击溯源图如下所示:
图21. 攻击溯源图
病毒邮件是一种通过电子邮件传播的恶意软件。这类邮件的的目的多种多样,包括窃取敏感信息(例如用户名、密码、财务信息)、加密文件并勒索受害者(勒索软件攻击)、控制受感染计算机形成僵尸网络(用于发动更大规模的网络攻击)等。
病毒邮件通常采用欺骗性手法,引诱受害者点击包含恶意附件或链接的邮件内容,或者直接利用安全漏洞进行自动感染。恶意附件可能是伪装成常见文档、图像或压缩文件的可执行文件,一旦打开,便会释放恶意软件。链接则可能指向携带有恶意软件的网站,访问这些链接可能导致系统感染。
网际思安小贴士:据统计,46%的组织遭受过基于邮件的勒索软件攻击。
根据数据统计分析,从2022年12月到2023年11月,恶意邮件的数量尽管波动,但整体趋势比较平稳。整体来看,2023年下半年的威胁水平较上半年下降了8%,直到11月时达到下半年的峰值。
图22. 2023年病毒邮件趋势
根据麦赛邮件安全实验室(MailSec Lab)搜集到的数据显示,2023年邮件中携带的前十大病毒家族是:
图23. 2023年TOP 10邮件病毒
其中,"HTML/Phishing.Agent" 特洛伊木马占比高达三分之一。该木马是一种HTML语言编写的邮件正文或邮件附件,通过伪装成银行登录页面、电子邮件服务登录页面或其他常见网站,并嵌入恶意代码来窃取用户的敏感信息,如用户名、密码、信用卡信息等。
而"DOC/fraud" 木马伪装为合法的邮件附件文档(通常是Microsoft Word文档,即DOC格式),通过引诱性的邮件内容诱使用户打开该恶意文件,从而入侵并控制用户的计算机。
邮件附件中的病毒文件通常选择脚本(Scripts)或可执行文件(Executables)的格式。可执行文件和脚本为攻击者提供了在目标系统上执行恶意代码的能力,从而控制目标系统进行各种恶意操作。当然,攻击者可以通过混淆和加密的方式来进一步增强脚本和可执行文件的逃逸能力,从而规避传统安全工具的检查,使得检测变得更为困难。2023年,脚本和可执行文件类型占所有恶意附件类型的三分之二。
与此同时,为进一步提升恶意附件的欺骗性,攻击者会将恶意附件伪装成常见的文件类型,例如:伪装为Office办公文档(11.1%)、PDF文档(10%)、打包到压缩文件(3%)等,从而欺骗用户点击并触发其中的恶意代码。
图24. 2023年常见邮件恶意附件类型
2023年,MailSec Lab观察到大量增加的“电子发票”类为主题的特洛伊木马邮件。关于此批“电子发票”类钓鱼邮件的典型样本邮件,如下图所示:
图25.“电子发票”为主题的特洛伊木马邮件
该邮件通过伪造下载电子发票通知,诱导员工点击邮件正文中的URL超链接,从而下载Trojan Droppers程序。当员工双击触发程序后,该恶意程序将自动连接攻击者搭建的恶意网站,进一步下载特洛伊木马病毒,并对计算机进行远程控制、数据盗窃、内网横向攻击等。
图26. 点击链接后下载Trojan Droppers程序
思安麦赛安全实验室的专家从URL链接、EXE文件风险性、源IP地址、邮件头字段、邮件内容等方面,对此邮件的风险特征进行了详尽的技术分析。
恶意链接的域名
通过浏览器直接访问邮件内URL链接的域名“welljoint.com”,可以了解到使用该域名的公司为一家位于上海的高科技公司,主要为银行、保险等金融机构提供联络中心系统解决方案,曾获“上海市科技小巨人”和“专精特新中小企业”荣誉。
图27. 某某科技公司官方网站
对“welljoint.com”域名的Whois信息进行查询。该域名于2011年5月11日注册,到期时间为2032年4月17日,域名持有者为“Xin Net Technology Corporation”。
图28. welljoint.com的Whois信息
进一步调查可知,该域名的持有者“Xin Net Technology Corporation”(新网互联)为一家提供域名注册、虚拟主机、网站建设等服务的公司。而通过“天眼查”可以了解到,在welljoint.com域名上建设官方网站的某高科技公司成立于2011年4月21日。结合以上信息,我们可以推断:该高科技公司成立1个月以后,通过新网互联公司注册了域名。
图29. 通过新网互联注册域名
邮件样本中的恶意URL链接为:
http://mail.welljoint.com:81/download/attachment/xxxxxx
也就是说,子域名“mail.welljoint.com”被黑客用于放置Trojan Droppers程序。通过查询可知,“mail.welljoint.com”通过DNS的CNAME记录指向“mx171.dns.com.cn”。而“mx171.dns.com.cn”为“welljoint.com”域名的DNS MX记录,用于解析邮件服务器的IP地址。
图30. 查询mail.welljoint.com的信息
进一步追踪“mx171.dns.com.cn”域名可知,新网互联为该公司提供了在线邮箱服务。
图31. 新网互联提供的在线邮箱服务
与此同时,通过IP反向查询域名可知,该被攻陷IP不仅为welljoint.com域名提供邮箱服务,还为其他公司的域名也提供邮件箱服务。这些域名都可能被黑客恶意利用,引诱员工下载病毒程序。
图32. 被攻陷IP下提供邮箱服务的域名
下载的EXE文件
“电子发票.exe”文件被下载双击后,首先触发了大量检测注册表中网络相关配置的行为,如下表所示。此类检测,经常被恶意程序用于确定自身的运行环境是否安全。如果恶意程序发现自身是在虚拟环境中执行(例如:沙箱),将不运行病毒行为,从而躲避安全设备的检测。
图33.“电子发票.exe”检测注册表中网络相关配置
在确定自身是在员工的真实物理机上运行后,“电子发票.exe”通过修改注册表恶意关闭了Windows操作系统的各类日志监控功能,从而隐藏后续的攻击行为。
图34.“电子发票.exe”恶意关闭各类日志监控
在成功完成一些系列的准备工作后,“电子发票.exe”连接外网的僵尸控制服务器,尝试下载木马程序(http://134.122.133.51:80/Client.bin)。该僵尸控制服务器位于香港,其所在的邻近公网IP网段(极可能在同一机房),存在大量的类似僵尸控制服务器。
图35. “电子发票.exe”恶意下载病毒
图36. 134.122.133.0网段存在大量僵尸控制服务器
源IP地址
通过对邮件头字段的分析可知,该恶意邮件的来源IP地址是119.28.25.25。
图37. 邮件头部源IP字段展示
查询覆盖全球的91个RBL数据源,检测结果如下。此IP地址被列入了多达12个RBL黑名单。
序列号 | 被列为黑名单的RBL名称 |
1 | Abusix Mail Intelligence Blacklist |
2 | Hostkarma Black |
3 | IMP SPAM |
4 | ivmSIP |
5 | MAILSPIKE BL |
6 | Sender Score Reputation Network |
7 | SORBS NEW |
8 | SORBS SPAM |
9 | SWINOG |
10 | UCEPROTECTL1 |
11 | UCEPROTECTL2 |
12 | UCEPROTECTL3 |
发件人域名
对该发件人域名“yunpiaoxitong.com”的Whois信息进行查询。该网站于1个多月前新注册(2023年6月4日)。此类新创建且未进行公安部注册的网站大概率被用于发起黑客攻击。
图38. 发件人域名的Whois信息
另外,邮件的正文仿造了“发票通”电子发票网站(www.fapiao.com)的邮件样式。很明显,发件人的域名“yunpiaoxitong.com”与发票通网站的域名“fapiao.com”完全不一样。
图39. 仿造“发票通”的邮件样式
需要补充说明的是,从邮件头字段可以看到,发件人的邮件服务器启用了DKIM签名和SPF记录。我们猜测是攻击者为了证明发件域名的有效性,从而躲避邮件安全设备的检测。
图40. 攻击者启用了DKIM签名和SPF记录
经思安麦赛安全实验室的分析测试,我们认为此“电子发票”样本邮件为高危邮件。此邮件的完整攻击溯源图如下所示:
图41. “电子发票”类木马邮件攻击溯源图
商业电子邮件攻击(Business Email Compromise,简称BEC)是一种高级的电子邮件攻击手段,它主要通过社会工程学技巧,利用假冒身份来欺骗受害者。这类攻击不涉及传统的恶意软件或钓鱼邮件中的URL和附件,因此很难被传统的安全防御措施检测到。在BEC攻击中,犯罪分子通常会伪装成受害者的同事、合作伙伴或供应商,通过发送邮件要求进行付款或披露敏感信息。
BEC攻击的特点是高度的定制化和真实性,使得它能够轻易地绕过电子邮件安全系统和人类的警觉性。这种攻击不仅针对大型企业,也对中小型企业乃至个人构成了严重威胁。
在2023年,BEC攻击数量有所下降,相比2022年减少了近25%。在过去的一年中每1000个邮箱,平均每月遭受的BEC邮件攻击数量为3.86次。
网际思安小贴士:据统计,2021年,全球有超过70%的企业遭受过BEC攻击,损失金额高达数十亿美元。
在2023年,拥有1000名员工以下的企业经历了最多的商业电子邮件攻击(BEC攻击),每1000个邮箱每月平均发生5.75次BEC攻击。而当企业规模上升到2万或以上员工时,每1000个邮箱仅仅发生不到1次的BEC攻击。
图43. 2023年按企业规模每1000个邮箱每月遭受的BEC攻击数量
这可能与很多IT管理员的感觉正好相反,因为一般认知中更大的企业应该拥有更多的邮箱,因此更容易成为攻击目标。然而和大面积滥发的传统攻击不同,BEC邮件攻击通常是有针对性目标,所以相较于大型企业,小型企业每年会收到更多的攻击。
BEC攻击在整体上呈上升趋势,但攻击数量在各行业之间并不均匀分布。尽管攻击类型相对与行业无关,但网络犯罪分子可能会将重点放在一些之前取得成功或安全措施较少的行业。科技行业是BEC攻击最受欢迎的目标,过去一年每1,000个邮箱平均每月发生近五次攻击。这个行业非常创新,市场迅速增长,包括拥有有价值的知识产权的组织。由于技术行业的不断发展,攻击者可能认为他们能够利用这些不断变化的过程中的漏洞。
其他受欢迎的行业包括建筑工程、广告营销、金融、交通运输、以及媒体与娱乐,每1,000个邮箱每月都有超过三次的攻击。另外,在遭受BEC邮件攻击的行业中,政府和体育行业成为BEC攻击者最少攻击的行业。
图44. 2023年遭受BEC攻击最多的行业
过去的一年,网际思安保护了全球上千家企业和组织,每天检测邮件上亿封,涵盖了对传统滥发性钓鱼到高度定向的BEC欺诈邮件威胁的防护。基于过去十多年的邮件安全行业实践经验和大数据分析,以及与行业友商的信息分享,我们对邮件安全威胁格局在未来一年将如何演变进行了预测,并提供了关于企业如何在2024年进行防御的洞察。
内部钓鱼邮件已成为一种危害很大的网络欺诈手段。内部钓鱼邮件是一种网络安全威胁,通常发生在员工或学校内部人员的电子邮件帐号被盗用后。在这种情况下,攻击者利用内部人员的合法身份,向企业内的其他员工发送欺诈性邮件。这些邮件通常伪装成内部通知、紧急事务提醒或是其他重要信息,诱导收件人点击恶意链接或下载病毒附件。2023年,内部钓鱼邮件相较2022年激增了156%。从趋势来看,我们相信2024年,内部钓鱼邮件攻击数量将保持持续增长。
图45.内部钓鱼邮件样本
目前内部钓鱼事件,是邮件安全防护的薄弱环节。究其根本原因是由于内网邮箱账号被盗,导致黑客通过内部账号发送内部钓鱼邮件,而内部邮件通常无法检测,导致其危害很大。针对内部钓鱼邮件,企业应首先应加强事先对内部钓鱼邮件的预防,包括:
防止邮件SMTP认证攻击、防止邮箱账号暴力破解、邮箱弱密码扫描
周期性组织钓鱼邮件演练,加强员工对外网、域内的各种钓鱼邮件的安全防范意识
并且企业应在2024年增强对内部钓鱼邮件的事中检测和告警,增强及时发现并处理内部钓鱼邮件的能力。例如,网际思安提出的内部钓鱼预警防御解决方案可实时获取内部邮件,并对内部邮件进行安全检测,及时发现内部钓鱼邮件并发出告警通知或删除内部邮件,从而有效减少邮件安全风险。这套方案的高准确率、快速响应和简化管理流程等特点,在教育、金融、政府等行业客户中得到了验证。
无特征邮件攻击,也称为无文件或无负荷邮件攻击,在过去一年的邮件攻击占比中显著增加。与传统邮件攻击不同,无特征邮件攻击并不携带恶意可执行文件,使它们更为隐秘且更难以被传统电子邮件安全设备检测到。在大多数这类攻击中,电子邮件本身不仅未包含附件,甚至不包含任何的恶意链接,仅仅提供了一个虚假的付款收据或即将到期的付款请求,并告诉收件人拨打提供的号码以撤销或停止交易。当收件人这样做时,攻击者会引导收件人下载并安装恶意文件。
图46. 无特征邮件攻击示例
在如上的无特征邮件攻击样例中,该电子邮件看起来像是由PayPal发出的一份关于购买加密货币的发票。该电子邮件是从一个Gmail帐户发送的,并包含详细交易信息,例如:ID号码、支付金额(863.50美元)等。与此同时,该邮件提醒收件人,如果他没有授权该笔交易,应该立即通过拨打邮件中提供的电话号码通知Paypal的相关服务人员。如果用户被欺骗并拨打了这个热线,攻击者可以引导用户安装恶意软件,从而使他们能够下载恶意应用程序、打开不安全的网页并窃取信息。
通过避免使用容易识别的恶意软件和链接,无特征攻击可以规避传统的邮件安全解决方案,使攻击者能够执行复杂和持久的攻击活动。因为此类恶意邮件是基于文本的,没有其他可识别的恶意特征。传统的邮件安全设备几乎没有足够的信息来确定恶意意图。例如,以上的恶意邮件是从一个Gmail账户发送的,这是一个任何人都可以使用的公共邮件服务。因此,传统邮件安全检测无法通过域名的声誉进行检测,并且该邮件通过了SPF、DKIM和DMARC的所有身份验证检查。
基于麦赛邮件安全实验室(MailSec Lab)的研究,网际思安邮件安全产品通过自然语言分析和人工智能检测此类攻击,这些方法能帮助邮件安全产品理解邮件所描述的内容,并与其他提取的邮件信息一起,综合判断该封邮件是否包含恶意意图。
在这个现代化时代,我们可以在许多不同的地方看到二维码,包括购物中心、小摊位、广告单、支付柜台、在线网站等等,被用于访问网站、移动APP、餐厅菜单、进行支付、拨打电话、连接Wi-Fi、发送邮件、添加联系方式以及许多其他功能。正因为近年来QR码变得更加普遍,网络犯罪分子也越来越多的将二维码用于网络钓鱼攻击。二维码最初设计用于方便,但现在网络犯罪分子可以利用它们引导用户访问精心设计的钓鱼网站,或下载恶意文件。
图47.二维码攻击链条
实际上,网际思安搜集的数据显示,在2023年绕过传统邮件安全检测的攻击中,有17%利用了二维码,而这预计在2024年将持续增加。例如,在2023年年初,关于补贴类的二维码类钓鱼邮件非常的流行,员工收到的典型的恶意邮件样本如下:
图48. 补贴类钓鱼邮件样本
一旦附件被打开,用户会看到诱惑性文本和一个位于文档中心的二维码。
图49. 钓鱼邮件样本的附件内容
当员工使用移动设备、平板电脑或台式机扫描二维码时,会自动打开浏览器访问一个由攻击者精心构造的钓鱼网站。该网站仿冒了钉钉(DingTalk)的登录页面。钉钉是阿里巴巴集团开发的知名企业通讯平台。考虑到该平台的影响力和庞大的用户数量,获取钉钉的登录凭证对攻击者来说具有很高的价值。
企业应该从事前教育、事中防护和事后追溯三个方面,做到对二维码恶意邮件的全生命周期防护。在事前,企业首先应加强员工对二维码恶意邮件的防范意识教育,并通过“钓鱼邮件演练系统”来测试员工对二维码恶意邮件的安全意识。
在事中,企业通过使用含二维码识别防护功能的邮件安全网关可以增强对二维码恶意邮件的防范,阻止这些邮件进入员工的收件箱,减少员工扫描恶意二维码或输入凭证的风险。此外,邮件安全网关还可以提供实时监控和事件响应,及时发现并应对新的二维码攻击手段,提高整体邮件安全防护水平,保护企业免受恶意邮件带来的威胁和损害。例如,“思安邮件安全网关”推出了多种检测方法相结合的“思安二维码综合防护体系”,分为四个层次,从下到上对二维码进行全面的识别、检测、过滤、警示、追踪、标识等,从而将恶意二维码拒之千里之外,或是持续追踪发现风险行为。
图50. 思安二维码综合防护体系
在事后,“思安邮件安全网关”可对含二维码图片的攻击邮件和正常邮件的原件进行留存,并在Web管理平台上进行标识,从而为事后的司法追责和技术溯源提供了强有力的支撑。
在过去的一年中,生成式人工智能技术的进步使得网络犯罪分子能够迅速生成独特的内容,提高了社交工程攻击和电子邮件威胁的复杂性。此外,威胁行为者已经开始创建他们自己恶意形式的生成式人工智能(如WormGPT),以部署高级攻击。我们已经开始看到网络犯罪分子利用这项技术,人工智能的进步预计将在2024年增加,使得这些攻击成为不断增加的安全风险。
网际思安小贴士:97%的安全负责人表达了对基于AI邮件攻击的担忧。
研究团队利用WormGPT进行了BEC攻击的测试,以全面评估与WormGPT相关的潜在危险。在其中一个实验中,团队指示WormGPT生成一封旨在迫使一个毫不知情的客户经理支付一份欺诈性发票的电子邮件。结果令人不安。WormGPT生成的电子邮件不仅极具说服力,而且使用了非常狡猾的语言,展示了其在钓鱼和BEC邮件攻击方面的潜力。
图52. WormGPT创建BEC邮件
生成式人工智能技术对钓鱼和BEC邮件攻击行为有很大帮助,即使一个从未接触邮件攻击,并且不懂任何外语的人,也能随时构造针对世界上任何一个企业或个人的邮件攻击。使用生成式人工智能为邮件攻击带来了以下一些优势:
构造极具欺骗性的邮件内容:生成式人工智能可以创建内容和语法无可挑剔的电子邮件,使其看起来合法,降低了被标记为可疑的可能性。
降低攻击的门槛:使用生成式人工智能降低了执行复杂BEC攻击的门槛。即使是技能有限的攻击者也可以使用这项技术,使其成为可广泛使用的黑客工具。
因为低迷的中国经济以及有限的信息安全财务预算,2024年中国中小企业在邮件威胁防护方向的资金投入仍然会十分有限,而日益精密和频繁的邮件威胁攻击将导致很多中小企业难以应对。因此我们预测2024年订阅式云邮件安全服务仍将持续增长,在中国经济不景气的情况下,为中小企业提供最具性价比的选择。
·END·
更多信息请关注“协会服务中心”公众号
深圳市网络与信息安全行业协会
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...