2022年郵件安全威脅態(tài)勢回顧和分析

家修

近日，北京網(wǎng)際思安科技有限公司麥賽郵件安全實驗室（MailSec Lab）研究發(fā)布了《2022年全球郵件威脅報告》（以下簡稱“報告”），報告數(shù)據(jù)顯示：在2022年，全球每1 000個郵箱，平均每月遭受的郵件攻擊數(shù)量為299.27次（不含垃圾郵件），同比增加12.36 %。

根據(jù)報告研究人員的統(tǒng)計與分析，2022年全球郵件安全威脅概況如下：

釣魚郵件占郵件攻擊的絕大部分，高達68.47 %，緊隨其后的是病毒攻擊和商業(yè)電子郵件（BEC）攻擊；

來自我國域名.cn所關(guān)聯(lián)的釣魚網(wǎng)站數(shù)量正在快速上升，目前已位居全球第2位，占比為15.24 %；

全球遭受釣魚郵件攻擊數(shù)量最多的行業(yè)是批發(fā)與零售業(yè)，相比2021年攻擊數(shù)量激增359 %；

Office文件類型的病毒附件同比大幅下降，占病毒郵件總數(shù)的19 %。Windows可執(zhí)行文件類型仍然是最常見的病毒附件類型，占比近50 %；

BEC攻擊持續(xù)高速增長，同比增長近60 %。在過去的一年中每1 000個郵箱，平均每月遭受的BEC郵件攻擊數(shù)量為3.32次。

釣魚郵件威脅

根據(jù)麥賽郵件安全實驗室的監(jiān)測數(shù)據(jù)，美國已多年位居榜首，2022年遭受了釣魚郵件攻擊數(shù)量的41 %，相比2021年占比增長了5 %。俄羅斯相比2021年，遭受的釣魚郵件攻擊數(shù)量激增427 %，且增長主要集中在俄烏地區(qū)沖突爆發(fā)之后。與此同時，隨著新加坡經(jīng)濟持續(xù)繁榮發(fā)展，該國遭受的釣魚郵件攻擊數(shù)量也保持持續(xù)增長，2022年比2021年增加了245 %。

我國在2022年遭受的釣魚郵件攻擊數(shù)量仍居世界第2位，相比2021年的增長達到了78 %。2022年，國內(nèi)重大釣魚郵件事件包括：

西北工業(yè)大學郵件系統(tǒng)遭受境外網(wǎng)絡(luò)攻擊

6月22日西北工業(yè)大學發(fā)布聲明稱，近期學校電子郵件系統(tǒng)遭受網(wǎng)絡(luò)攻擊，有來自境外的黑客組織和不法分子向?qū)W校師生發(fā)送包含木馬程序的釣魚郵件，企圖竊取相關(guān)師生郵件數(shù)據(jù)和公民個人信息，給學校正常工作和生活秩序造成重大風險隱患。初步判定，此次事件為境外黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊行為。

搜狐內(nèi)部郵箱被盜

搜狐全體員工在5月18日收到一封來自“搜狐財務(wù)部”名為《5月份員工工資補助通知》的郵件，大量員工按照附件要求掃碼，并填寫了銀行賬號等信息，最終不但沒有等到所謂的補助，工資卡內(nèi)的余額也被劃走。經(jīng)調(diào)查，實為某員工使用郵件時被意外釣魚導致密碼泄露，進而被冒充財務(wù)部盜發(fā)郵件。據(jù)統(tǒng)計共有24名員工被騙。

StrivePhish組織發(fā)起大規(guī)模郵件釣魚

5月13日開始，StrivePhish組織發(fā)起針對國內(nèi)公司企業(yè)、高校和事業(yè)單位的大規(guī)模釣魚郵件攻擊，涉及范圍極廣，群發(fā)內(nèi)嵌釣魚鏈接的郵件進行郵箱賬號密碼竊取。通過其后臺數(shù)據(jù)推斷，至少已獲取1 500多條對應的賬戶密碼，受害者主要集中在公司集團、大學學院以及事業(yè)單位。

澳門17家豪華酒店遭遇郵件攻擊

4月，研究人員發(fā)現(xiàn)針對中國澳門17家豪華酒店的釣魚郵件攻擊行動，主要目的是竊取有較高知名度客人的敏感隱私數(shù)據(jù)。

從行業(yè)角度來看，2022年全球遭受釣魚郵件攻擊數(shù)量最多的行業(yè)是“批發(fā)與零售業(yè)”，數(shù)量激增359 %，工業(yè)制造與服務(wù)2個行業(yè)分列第2和第3位。

在2022年，釣魚郵件包含的風險URL地址中，.com仍然排名第一位，占據(jù)了29.07 %的比例。來自中國的域名.cn所關(guān)聯(lián)的釣魚網(wǎng)站數(shù)量上升到了第2位，占比15.24 %。而.xyz域名從去年的第2位，下降到第3位。

病毒郵件威脅

病毒郵件是指電子郵件內(nèi)包含病毒，在瀏覽郵件中的鏈接或下載附件的過程中觸發(fā)病毒文件，導致計算機被病毒感染。在2022年，Windows可執(zhí)行文件類型仍然是排第一的病毒附件類型，占據(jù)了近50 %；而腳本類型緊隨其后，占據(jù)了23 %；Office文件類型的病毒附件與2021年相比大幅下降，占比19 %。

值得關(guān)注的是，Emotet病毒目前已取代VBA macros成為Office文檔攜帶病毒的主要方式。Emotet病毒常以宏附件的形式包含在Office文檔之中，通過誘使收件人打開Office文檔來觸發(fā)病毒，從而對計算機進行遠程控制和盜取數(shù)據(jù)。

BEC郵件威脅

在2022年，商業(yè)電子郵件攻擊（BusinessEmailCompromise，BEC）持續(xù)高速增長，相比2021年增長了近60 %。在過去的一年中每1 000個郵箱，平均每月遭受的BEC郵件攻擊數(shù)量為3.32次。在遭受BEC郵件攻擊的行業(yè)中，政府成為攻擊者最少攻擊的行業(yè)，而廣告與營銷行業(yè)成為遭受BEC郵件攻擊最多的行業(yè)。

郵件安全態(tài)勢預測

基于過去10多年的郵件安全行業(yè)實踐經(jīng)驗和大數(shù)據(jù)分析，以及與行業(yè)友商的信息分享，麥賽郵件安全實驗室研究人員總結(jié)出了一些2023年的郵件安全威脅趨勢。

全球經(jīng)濟衰退中，郵件安全將面臨更大挑戰(zhàn)

低迷的經(jīng)濟狀況下，企業(yè)將把更多的預算投入影響營收的業(yè)務(wù)中，而降低對郵件安全的財務(wù)預算。與之相反的是，黑客將加速對惡意軟件的技術(shù)更新。二者疊加的話，全球郵件安全防護將面臨更大的挑戰(zhàn)，2023年我們將面對更多的網(wǎng)絡(luò)安全事件。

高級威脅檢測技術(shù)被廣泛應用

如今90 %的黑客攻擊從郵件發(fā)起，通過引誘客戶點擊惡意軟件或者騙取機密信息，從而為進一步攻擊做準備，其中，勒索病毒主要通過郵件傳播便是一個很好的例子。隨著惡意軟件躲避安全檢測技術(shù)的提高，郵件安全產(chǎn)品將越來越多的采用高級威脅檢測技術(shù)，例如：沙箱安全檢測、威脅情報、人工智能與自然語言處理等技術(shù)。在2023年，一個郵件安全產(chǎn)品是否采用了高級威脅檢測技術(shù)將成為評判安全防護能力的重要標準。

以人為中心的行為分析將助力防護釣魚郵件

在2022年，釣魚郵件被更精心的構(gòu)造，通過傳統(tǒng)的“以郵件為中心”的檢測方式已經(jīng)很難進行檢測。在2023年，“以人為中心”的檢測方式將逐步被采用。郵件安全產(chǎn)品將通過大數(shù)據(jù)分析和人工智能技術(shù)，以人為單位，對員工的長期郵件收發(fā)行為進行分析并繪制個人肖像。從而更好地發(fā)現(xiàn)與員工日常行為不一致的偽造釣魚郵件。

國家之間的郵件攻擊將持續(xù)增長

伴隨近年來全球地緣政治的改變，無論是俄烏戰(zhàn)爭，還是中美競爭，都打破了多年來的全球平衡。國家之間的郵件安全攻擊將在未來持續(xù)增長。2022年4月，中國西北工業(yè)大學遭受病毒郵件攻擊，判明相關(guān)攻擊活動源自美國國家安全局“特定入侵行動辦公室”，涉及盜竊中國軍事機密信息。

訂閱式云郵件安全服務(wù)仍將持續(xù)增長

因為低迷的全球經(jīng)濟以及有限的信息安全財務(wù)預算，2023年全球中小企業(yè)在郵件威脅防護方向的資金投入仍然會十分有限，而日益精密和頻繁的郵件威脅攻擊將導致很多中小企業(yè)難以應對。因此，預測2023年訂閱式云郵件安全服務(wù)仍將持續(xù)增長，在全球經(jīng)濟不景氣的情況下，為中小企業(yè)提供最具性價比的選擇。