2022年第三季度企业邮箱安全态势观察

日前，CAC邮件安全大数据中心（以下简称CAC中心）发布《2022年第三季度企业邮箱安全报告》，对当前企业邮箱的应用状况和安全风险进行了分析。

根据CAC中心研究发现，全国企业邮箱用户在2022第三季度年共收发正常邮件6.46亿封，占比49.3%。

其中，来自境外的垃圾邮件占企业用户收到的垃圾邮件的62.28%，同比上升24%，共发送了4.31亿封垃圾邮件。

图：2022 Q3 CAC 识别邮件类型分布

色情赌博类邮件、谣言反动类邮件、钓鱼邮件数量分别为928.9万、1434.7万，5849.2万，尽管占比较小，但对企事业声誉、社会安定都造成极大危害。

尤其是钓鱼邮件常常是以诈骗金钱为目的，黑产团伙会根据社会热点新闻、如人才补贴、银行年审等多种主题引诱点击邮件中的钓鱼链接，最终目的就是为了盗取银行卡余额。

对比“Q2 CAC 识别钓鱼邮件数量”，Q3钓鱼邮件攀升至5849.2万，环比上升 48.12%，同比上升10.78%。

据统计，企事业单位被盗账号外发超过2740.2万钓鱼邮件，这意味着46.8%的钓鱼邮件是由盗号问题导致。

主要原因是黑产团伙为提升钓鱼成功率，常常会仿冒公司内部员工身份，伪造通信关系，使用被盗账号发送钓鱼邮件，也有助于逃避厂商的反垃圾检查。

图：2021 Q3 -2022 Q3 CAC 识别钓鱼邮件数量

图：2022 Q3钓鱼邮件IP来源TOP10归属地（境外）

从钓鱼攻击IP发送源分析从Q1~Q3，来自美国的攻击IP来源始终保持排名第一，Q2来自美国的攻击次数为190.7万，到Q3更是激增至549.7万，环比增长1.88倍。

尽管通过用户反馈的钓鱼邮件样本分析，虽然发件来源是境外，但钓鱼邮件中的文本、行文规范均符合国内的中文使用习惯，且钓鱼网站也都以仿冒境内网站为主，由此说明部分攻击的真实来源应是境内。但这也提醒广大安全从业人员，对于境外来源的发信IP，应该进行更为谨慎的管控。

图：2022 Q2~Q3 CAC拦截暴力破解攻击次数

根据CAC邮件安全大数据中心监测，对比Q2Coremail拦截93亿4885万次暴力破解攻击，Coremail Q3共拦截了71亿3924万暴力破解攻击，降幅达到23.6%。

其中来自湖南暴力破解来IP来源减少了15亿6662万，造成了较大降幅。

根据Coremail邮件安全专家推测，这主要于网络安全主管单位开展的网络安全治理活动相关，黑产资源池减少，造成暴力破解攻击数量明显下降。

图：2022 Q3 CAC识别垃圾邮件TOP100域名行业分类

图：2022 Q3 CAC识别钓鱼邮件TOP100域名行业分类

图：2022 Q3 CAC拦截暴力破解TOP100域名行业分类

为了分析各行业面临的邮件威胁压力，CAC中心从接收钓鱼邮件数量、接收垃圾邮件数量、被暴力破解攻击次数方面，选取了TOP 100域名，按照域名归属的行业进行了分类，以便为广大安全从业人员提供更可靠的参考。

据分析，Q3 TOP 100 域名中，无论是接收钓鱼邮件数量、接收垃圾邮件数量、被暴力破解攻击次数，均为教育行业遭受的威胁最大。

尤其是我国双一流高校，长期面临着严重的邮件威胁，黑产团伙妄图通过钓鱼邮件、盗号等手段获取高校机密性科研材料，或对师生进行钱财诈骗。

因此，Coremail再次建议各大高校教育安全从业人员，尽快进行安全措施推进整改，对账号形成标准管理体系，同时对师生定期进反钓鱼演练提升反诈骗安全意识。

Coremail中心Q3监测到一种新型的BEC诈骗邮件正在泛滥，诈骗团伙冒充国家各大银行，以企业银行账户年审为由，要求企业、财务和出纳人员加QQ获取年审材料。

一旦受害者按照指示进入QQ群，则群里将是各种冒充的“公司法人”“银行经理”“企业CEO”等，诈骗团伙会以各种理由要求受害者对指定账户进行汇款，一旦掉以轻心，则会遭受重大损失！

针对以上诈骗手法，我中心提醒您：

(1) 可使用邮件网关对企业邮件进行域名仿冒检测、域名信息分析、邮件内容分析，拦截BEC诈骗邮件。

(2) 提高警惕，业务审批层层确认，涉及款项往来务必多方核实。

(3) 建议进行【反钓鱼演练】，并对公司重要岗位职工（财务、管理层）进行安全意识教育

(4) 关注公众号【广东省网络安全应急响应中心】，学习网络安全知识，提高反诈骗意识。

(5) 察觉被骗，第一时间保存好相关证据拨打110向公安机关报警求助。