首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

被養(yǎng)魚了？安恒信息提醒！小心您的郵件賬號(hào)！

閱讀量：次 文章來源：安恒信息

為了解決內(nèi)外貿(mào)企業(yè)郵件詐騙問題，安恒信息云安全團(tuán)隊(duì)做了一些有意思的嘗試，為用戶提供了郵件安全托管服務(wù)和自助服務(wù)，近半年里為接入企業(yè)解決了大量的釣魚詐騙攻擊的同時(shí)，也對(duì)攻擊者有了更加深刻的認(rèn)識(shí)和理解，我們發(fā)現(xiàn)郵件賬號(hào)被濫用是一個(gè)廣泛發(fā)生且日益嚴(yán)重的問題。

使用郵件作為通訊工具的小伙伴們對(duì)垃圾郵件、釣魚郵件肯定都非常熟悉，并且對(duì)此深惡痛絕。然而這么多年來，大家做了各種努力，使用郵件安全網(wǎng)關(guān)，把郵件系統(tǒng)上云等等，垃圾郵件、釣魚郵件仍是屢禁不止。不法份子為了提高攻擊成功率，通常通過釣魚或者爆破等手段盜用的郵件賬號(hào)作為惡意郵件的發(fā)送主體，這也給常規(guī)的郵件防護(hù)設(shè)備和實(shí)際的安全運(yùn)營(yíng)增加了難度。

正所謂知己知彼方能百戰(zhàn)不殆，今天給大家?guī)淼氖轻槍?duì)惡意郵件攻擊者的分析，給出攻擊者更加清晰的畫像。分析的原始數(shù)據(jù)是“在大大的云上脫敏的事件數(shù)據(jù)倉庫里面，挖呀挖呀挖出來的”各個(gè)惡意郵件的攻擊者，數(shù)據(jù)真實(shí)可靠。并且所分析數(shù)據(jù)是基于真正投遞到用戶郵件文件夾的惡意郵件，極具危害性。那么接下來就帶大家看看安全專家眼中的郵件攻擊者的樣子吧。

騙子也要沖業(yè)績(jī)，關(guān)鍵時(shí)間點(diǎn)務(wù)必警惕

2022年12月至2023年5月期間，安恒信息云監(jiān)測(cè)平臺(tái)監(jiān)測(cè)到郵件攻擊超60萬次，這部分的攻擊是繞過了郵件安全網(wǎng)關(guān)并最終到達(dá)用戶郵件文件夾的郵件數(shù)量，即最終受影響的數(shù)量。

從攻擊數(shù)量上來看，1月份的發(fā)生的攻擊數(shù)量最多，3月份、4月份的攻擊數(shù)量也相對(duì)較多，如圖1所示。

圖1 整體郵件攻擊數(shù)量

從攻擊時(shí)刻上分析，一天24小時(shí)基本上均有攻擊郵件到達(dá)，可以判定攻擊者多采用自動(dòng)化的攻擊手段，但是國(guó)內(nèi)用戶相對(duì)在1點(diǎn)~17點(diǎn)期間收到的惡意郵件更多，如圖2所示。

圖2 每時(shí)刻郵件攻擊數(shù)量

從攻擊賬號(hào)數(shù)量來看，選取了能夠關(guān)聯(lián)到企業(yè)的賬號(hào)，發(fā)現(xiàn)1月份的郵件攻擊賬號(hào)數(shù)量尤其特別突出，證明1月前后大量的賬號(hào)被盜用，整體上不法分子春節(jié)前后沖業(yè)趨勢(shì)明顯，如圖3所示。

圖3 郵件攻擊賬號(hào)數(shù)量

從惡意郵件類型分析，培訓(xùn)類廣告投遞和金融詐騙為主，分別占比39%和35%，其次是盜號(hào)釣魚類，占比19%，所以可以得出結(jié)論，惡意郵件攻擊以牟利為主要目的，如圖4所示。

圖4 郵件類型占比

企業(yè)是郵件賬號(hào)濫用的重災(zāi)區(qū)

不法分子郵件攻擊賬號(hào)的來源可能自己搭建節(jié)點(diǎn)，也可能是通過盜號(hào)的方式獲取的原本正常的賬號(hào)。選取其中可以識(shí)別到單位的攻擊賬號(hào)，可以清楚的發(fā)現(xiàn)企業(yè)是賬號(hào)被盜的重災(zāi)區(qū)，被盜賬號(hào)占比高達(dá)93.4%，其次部分的事業(yè)單位也存在對(duì)應(yīng)的風(fēng)險(xiǎn)，約占整體被盜賬號(hào)的3.6%，再就是個(gè)人的郵箱賬號(hào)占比1.7%，如圖5所示。

圖5 被盜賬號(hào)來源

沿海經(jīng)濟(jì)發(fā)達(dá)省份包攬攻擊Top7

接下來是就是大家喜聞樂見的區(qū)域分布排名，我們將各被盜賬號(hào)與省份區(qū)域相匹配，驚訝的發(fā)現(xiàn)，竟然與GDP有一定吻合，說明一方面經(jīng)濟(jì)發(fā)達(dá)地區(qū)企業(yè)基數(shù)大，被盜賬號(hào)數(shù)量可觀，另一方面，經(jīng)濟(jì)發(fā)達(dá)地區(qū)企業(yè)具有更高的攻擊價(jià)值，快來看看你的家鄉(xiāng)排第幾。如圖6所示。

圖6 各省攻擊者郵箱賬號(hào)數(shù)量

牟利是郵件攻擊得主要目的

攻擊者以牟利為主要的目的，通常會(huì)實(shí)施培訓(xùn)廣告和金融詐騙兩種類型的郵件攻擊。針對(duì)郵件的主題進(jìn)行分析后，發(fā)現(xiàn)《關(guān)于發(fā)放員工補(bǔ)助（補(bǔ)貼）福利通知》、《個(gè)人勞動(dòng)（補(bǔ)貼））已下發(fā)，請(qǐng)查看下圖查收》這類勞動(dòng)補(bǔ)貼類的詐騙郵件占比高達(dá)15%，其次是各類培訓(xùn)，以企業(yè)經(jīng)營(yíng)管理類培訓(xùn)為主，包含客服類、經(jīng)營(yíng)管理類、人力資源、銷售類、財(cái)務(wù)避稅等針對(duì)企業(yè)的各類培訓(xùn)，整體高達(dá)40%，也有PPT美化，中級(jí)經(jīng)濟(jì)師等各類針對(duì)個(gè)人的培訓(xùn)約占20%。同時(shí)也會(huì)有開票避稅這類黑灰色產(chǎn)業(yè)信息，也有直接賣郵件群發(fā)軟件這類工具的郵件，如圖7所示。

圖7 各類郵件攻擊劇本

科技/制造類企業(yè)需要加強(qiáng)安全管理

根據(jù)數(shù)據(jù)分析，我們了解到被用于郵件攻擊的攻擊者的賬號(hào)部分來源于盜號(hào)，其中企業(yè)賬號(hào)占比高達(dá)93.4%，那么究竟是哪些企業(yè)的郵箱賬號(hào)容易被盜呢？我們把收集到存在郵件攻擊行為的企業(yè)郵箱賬號(hào)做了分詞統(tǒng)計(jì)后發(fā)現(xiàn)，信息技術(shù)類企業(yè)占比最高，接近30%，其次是各設(shè)備及工業(yè)制造類企業(yè)，占比接近20%，貿(mào)易型企業(yè)占比約15%，其他各類餐飲、金融、交通、房地產(chǎn)、建筑、教育、醫(yī)療、生化、材料等各行業(yè)均有企業(yè)中招。中招的企業(yè)中有大型上市企業(yè)，也有小到某個(gè)燒烤店的零售企業(yè)，可以看到郵件賬號(hào)被盜是一個(gè)非常廣泛的安全問題，值得我們各個(gè)企業(yè)管理人員重點(diǎn)關(guān)注。我們把各企業(yè)名稱關(guān)鍵詞做了詞云，如圖8所示。

圖8 郵件攻擊者企業(yè)關(guān)鍵詞

學(xué)校賬號(hào)基數(shù)大，風(fēng)險(xiǎn)敞口也大

通過上文的分析，事業(yè)單位的問題賬號(hào)占比業(yè)相對(duì)較高，我們對(duì)這類攻擊者做了分析分類，發(fā)現(xiàn)其中絕大部分的攻擊賬號(hào)來源是學(xué)校，占比78%，涉及54所學(xué)校，通常情況下，學(xué)校的人員數(shù)多，賬號(hào)基數(shù)大，發(fā)生風(fēng)險(xiǎn)的概率業(yè)相對(duì)較高，如圖9所示。

圖9事業(yè)單位攻擊者來源分布

總結(jié)

郵件是一個(gè)古老的網(wǎng)絡(luò)通訊工具，過去我們使用了郵件網(wǎng)關(guān)，使用貝葉斯等算法來防垃圾郵件，取得了一定的效果。但是隨著互聯(lián)網(wǎng)的發(fā)展，攻擊者的攻擊手段日漸成熟，或許是新的通訊工具搶占了郵件通訊的“市場(chǎng)”，郵件領(lǐng)域的安全似乎依然還是原來的那套防御機(jī)制，亦或是郵件上云后我們失去了防御手段，但郵件在實(shí)際的工作生產(chǎn)中依然是一個(gè)非常重要的通訊工具，郵件安全問題不容小視。安全發(fā)展到今天，已經(jīng)不可能依托單一設(shè)備解決整體的安全問題。

郵件安全也是如此，郵件面臨著垃圾郵件、釣魚郵件、賬號(hào)詐騙、敏感信息泄露等各種風(fēng)險(xiǎn)，我們的縱深防御、分級(jí)建設(shè)、安全運(yùn)營(yíng)等各種手段也應(yīng)該給郵件配置上，不能給郵件加個(gè)網(wǎng)關(guān)就完事了。安全監(jiān)測(cè)、安全運(yùn)營(yíng)聯(lián)動(dòng)處置要跟進(jìn)，畢竟無法防御看不到的風(fēng)險(xiǎn)。也只有技術(shù)和管理相結(jié)合，賬號(hào)濫用問題才會(huì)被緩解，才能從根上解決惡意郵件攻擊愈發(fā)嚴(yán)重的問題。

PS.想了解你的企業(yè)有沒有賬號(hào)被用于郵件攻擊嗎？點(diǎn)擊這里查詢：點(diǎn)擊這里立即查詢

或聯(lián)系當(dāng)?shù)劁N售免費(fèi)試用MSS郵件詐騙服務(wù)

第二期敬請(qǐng)期待：面對(duì)郵件詐騙，安恒的應(yīng)對(duì)之道

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>