2022年第二季度企業郵箱安全態勢觀察

日前，CAC郵件安全大數據中心（以下簡稱CAC中心）發布《2022年第二季度企業郵箱安全報告》，對當前企業郵箱的應用狀況和安全風險進行了分析。

垃圾郵件同比上升16.55%

根據CAC中心研究發現，全國企業郵箱用戶在2022第二季度年共收發正常郵件6.37億封，占比45.7%。普通垃圾郵件收發量高達6.72億封，占比48.2%，而色情賭博類郵件、謠言反動類郵件、釣魚郵件數量分別為1137.4萬，3413.0萬，3949.0萬，盡管占比較小，但社會危害性大，從業人員仍需重點關注。

圖：2022 Q2 CAC 識別郵件類型分布

根據CAC中心統計，2022 Q2全國企業郵箱用戶共收發各類垃圾郵件7.73億封，環比上升14.50%，同比上升16.55%，其中，來自境外的垃圾郵件占企業用戶收到的垃圾郵件的50.13%，共發送了3.88億封垃圾郵件。

釣魚郵件攻擊環比下降34.87%

報告數據顯示，2022年第二季度的釣魚郵件數量環比下降34.87%。盡管釣魚郵件數量有所下降，但攻擊手法演變出了更多更復雜的攻擊組合，尤其是引導用戶掃碼進入詐騙網站成為犯罪分子的新寵，這些變化都令安全從業人員面臨艱巨的考驗。

圖：2021 Q2 -2022 Q2 CAC 識別釣魚郵件數量

研究人員發現，通過用戶反饋的釣魚郵件樣本分析，雖然發件來源是境外，但釣魚郵件中的文本、行文規范均符合國內的中文使用習慣，且釣魚網站也都以仿冒境內網站為主，由此說明部分攻擊的真實來源應是境內，只不過攻擊者使用了境外服務器做為跳板，最終導致釣魚郵件的境外來源數量遠高于境內。

釣魚攻擊IP歸屬地分析

從釣魚攻擊IP發送源分析，整個Q2季度，來自美國的攻擊IP來源始終保持排名第一，合計攻擊次數高達190.7萬，是排名第二——韓國的1.32倍。

圖：Q2,2022 境外釣魚郵件攻擊來源Top10國家

對比Q1季報境內IP歸屬地可以發現，攻擊者正在使用IP池輪詢的方式進行攻擊，這也提醒廣大安全從業人員，滯后性地添加IP黑名單很難起到理想的效果。

圖：Q2,2022 釣魚攻擊來源IP歸屬地TOP 10(境內)

企業郵箱暴力破解問題突出

根據CAC郵件安全大數據中心監測，2022年Q2季度，Coremail共攔截了93億4855萬次暴力破解攻擊。在郵箱系統盜號問題上，暴力破解是目前的突出難題。

圖：2022 Q2 CAC攔截全域遭受暴力破解攻擊次數

對比2022年Q2暴力破解IP來源的歸屬地，來自境內的暴力破解次數遠高于境外，正好與釣魚郵件來源相反，主要原因為：目前黑產進行暴力破解的主要手法為通過動態IP代理長時間持續對smtp端口進行爆破。

報告發現，容易面臨暴力破解威脅的高危賬號主要集中在教育行業和企業，主要原因包括：外部攻擊面廣、安全整改措施難推進、賬號管控未能形成標準體系。