為了解決內外貿企業郵件詐騙問題,安恒信息云安全團隊做了一些有意思的嘗試,為用戶提供了郵件安全托管服務和自助服務,近半年里為接入企業解決了大量的釣魚詐騙攻擊的同時,也對攻擊者有了更加深刻的認識和理解,我們發現郵件賬號被濫用是一個廣泛發生且日益嚴重的問題。

使用郵件作為通訊工具的小伙伴們對垃圾郵件、釣魚郵件肯定都非常熟悉,并且對此深惡痛絕。然而這么多年來,大家做了各種努力,使用郵件安全網關,把郵件系統上云等等,垃圾郵件、釣魚郵件仍是屢禁不止。不法份子為了提高攻擊成功率,通常通過釣魚或者爆破等手段盜用的郵件賬號作為惡意郵件的發送主體,這也給常規的郵件防護設備和實際的安全運營增加了難度。

正所謂知己知彼方能百戰不殆,今天給大家帶來的是針對惡意郵件攻擊者的分析,給出攻擊者更加清晰的畫像。分析的原始數據是“在大大的云上脫敏的事件數據倉庫里面,挖呀挖呀挖出來的”各個惡意郵件的攻擊者,數據真實可靠。并且所分析數據是基于真正投遞到用戶郵件文件夾的惡意郵件,極具危害性。那么接下來就帶大家看看安全專家眼中的郵件攻擊者的樣子吧。

01

騙子也要沖業績,關鍵時間點務必警惕

2022年12月至2023年5月期間,安恒信息云監測平臺監測到郵件攻擊超60萬次,這部分的攻擊是繞過了郵件安全網關并最終到達用戶郵件文件夾的郵件數量,即最終受影響的數量。

攻擊數量上來看,1月份的發生的攻擊數量最多,3月份、4月份的攻擊數量也相對較多,如圖1所示。

圖1 整體郵件攻擊數量

攻擊時刻上分析,一天24小時基本上均有攻擊郵件到達,可以判定攻擊者多采用自動化的攻擊手段,但是國內用戶相對在1點~17點期間收到的惡意郵件更多,如圖2所示。

圖2 每時刻郵件攻擊數量

攻擊賬號數量來看,選取了能夠關聯到企業的賬號,發現1月份的郵件攻擊賬號數量尤其特別突出,證明1月前后大量的賬號被盜用,整體上不法分子春節前后沖業趨勢明顯,如圖3所示。

圖3 郵件攻擊賬號數量

惡意郵件類型分析,培訓類廣告投遞和金融詐騙為主,分別占比39%和35%,其次是盜號釣魚類,占比19%,所以可以得出結論,惡意郵件攻擊以牟利為主要目的,如圖4所示。

圖4 郵件類型占比

02

企業是郵件賬號濫用的重災區

不法分子郵件攻擊賬號的來源可能自己搭建節點,也可能是通過盜號的方式獲取的原本正常的賬號。選取其中可以識別到單位的攻擊賬號,可以清楚的發現企業是賬號被盜的重災區,被盜賬號占比高達93.4%,其次部分的事業單位也存在對應的風險,約占整體被盜賬號的3.6%,再就是個人的郵箱賬號占比1.7%,如圖5所示。

圖5 被盜賬號來源

03

沿海經濟發達省份包攬攻擊Top7

接下來是就是大家喜聞樂見的區域分布排名,我們將各被盜賬號與省份區域相匹配,驚訝的發現,竟然與GDP有一定吻合,說明一方面經濟發達地區企業基數大,被盜賬號數量可觀,另一方面,經濟發達地區企業具有更高的攻擊價值,快來看看你的家鄉排第幾。如圖6所示。

圖6 各省攻擊者郵箱賬號數量

04

牟利是郵件攻擊得主要目的

攻擊者以牟利為主要的目的,通常會實施培訓廣告和金融詐騙兩種類型的郵件攻擊。針對郵件的主題進行分析后,發現《關于發放員工補助(補貼)福利通知》、《個人勞動(補貼))已下發,請查看下圖查收》這類勞動補貼類的詐騙郵件占比高達15%,其次是各類培訓,以企業經營管理類培訓為主,包含客服類、經營管理類、人力資源、銷售類、 財務避稅等針對企業的各類培訓,整體高達40%,也有PPT美化,中級經濟師等各類針對個人的培訓約占20%。同時也會有開票避稅這類黑灰色產業信息,也有直接賣郵件群發軟件這類工具的郵件,如圖7所示。

圖7 各類郵件攻擊劇本

05

科技/制造類企業需要加強安全管理

根據數據分析,我們了解到被用于郵件攻擊的攻擊者的賬號部分來源于盜號,其中企業賬號占比高達93.4%,那么究竟是哪些企業的郵箱賬號容易被盜呢?我們把收集到存在郵件攻擊行為的企業郵箱賬號做了分詞統計后發現,信息技術類企業占比最高,接近30%,其次是各設備及工業制造類企業,占比接近20%,貿易型企業占比約15%,其他各類餐飲、金融、交通、房地產、建筑、教育、醫療、生化、材料等各行業均有企業中招。中招的企業中有大型上市企業,也有小到某個燒烤店的零售企業,可以看到郵件賬號被盜是一個非常廣泛的安全問題,值得我們各個企業管理人員重點關注。我們把各企業名稱關鍵詞做了詞云,如圖8所示。

圖8 郵件攻擊者企業關鍵詞

06

學校賬號基數大,風險敞口也大

通過上文的分析,事業單位的問題賬號占比業相對較高,我們對這類攻擊者做了分析分類,發現其中絕大部分的攻擊賬號來源是學校,占比78%,涉及54所學校,通常情況下,學校的人員數多,賬號基數大,發生風險的概率業相對較高,如圖9所示。

圖9事業單位攻擊者來源分布

總結

郵件是一個古老的網絡通訊工具,過去我們使用了郵件網關,使用貝葉斯等算法來防垃圾郵件,取得了一定的效果。但是隨著互聯網的發展,攻擊者的攻擊手段日漸成熟,或許是新的通訊工具搶占了郵件通訊的“市場”,郵件領域的安全似乎依然還是原來的那套防御機制,亦或是郵件上云后我們失去了防御手段,但郵件在實際的工作生產中依然是一個非常重要的通訊工具,郵件安全問題不容小視。安全發展到今天,已經不可能依托單一設備解決整體的安全問題。

郵件安全也是如此,郵件面臨著垃圾郵件、釣魚郵件、賬號詐騙、敏感信息泄露等各種風險,我們的縱深防御、分級建設、安全運營等各種手段也應該給郵件配置上,不能給郵件加個網關就完事了。安全監測、安全運營聯動處置要跟進,畢竟無法防御看不到的風險。也只有技術和管理相結合,賬號濫用問題才會被緩解,才能從根上解決惡意郵件攻擊愈發嚴重的問題。

PS.想了解你的企業有沒有賬號被用于郵件攻擊嗎?點擊這里查詢:點擊這里立即查詢

或聯系當地銷售免費試用MSS郵件詐騙服務

郵件 軟件 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接