CACTER邮件安全&中睿天下《2022年Q1企业邮箱安全报告》

　　一、2022年Q1垃圾邮件宏观态势

 

 

仅就正常邮件而言，统计显示，全国企业邮箱用户在2022第一季度年共收发正常邮件仅占6亿2785万，占比48.17%。普通垃圾邮件占比44.82%，严重影响邮件交流。

根据CAC邮件安全大数据中心评估，2022 Q1全国企业邮箱用户共收到各类垃圾邮件6.75亿封，相比2021年Q4季度环比下降11.5%，但对比去年Q1同比增长17.28%。

根据Coremail监测，垃圾邮件的发送者遍布全球。其中，来自境外的垃圾邮件占企业用户收到的垃圾邮件的55.74%，向全球发送了3.76亿封垃圾邮件；境内发送占比44.2%，向全球发送了2.99亿封垃圾邮件。

二、2022年Q1钓鱼邮件宏观态势
022年第一季度的钓鱼邮件数量环比增长10.74%。2021年至今，钓鱼邮件发送数量持续增长，相较去年同期增长甚至高达81.31%，钓鱼邮件攻击已成为目前邮件系统的主要威胁之一。

2022年Q1季度中钓鱼邮件的占比逐渐上升，一方面是因为钓鱼邮件数量的增多，另一方面CAC反垃圾算法的更新迭代也让CAC对钓鱼邮件的识别更加精确。

第一季度的钓鱼邮件发送源81.68%来自境外，高达4952.5万。境内发送仅占比18.32%，只发送了1110.6万封钓鱼邮件。

三、钓鱼攻击IP归属地分析
从钓鱼攻击IP发送源分析，整个Q1季度，来自美国的攻击IP来源始终保持排名第一，合计攻击次数高达408万。其余区域排名存在波动，总体而言，越来越多的钓鱼邮件正在被发送给企业邮箱。

2022年Q1企业用户收到的钓鱼邮件量约占用户收发邮件总量的4.65%。平均每天约有67万封钓鱼邮件被发出和接收。

四、暴力破解IP归属地分析
目前全球网络环境错综复杂，企业邮箱面对的威胁同等严峻，原通过“反垃圾邮件”进行单一的邮件安全保护，已经难以应对。

为此，Coremail对原CAC进行全新升级，新增监测“邮箱账号暴力破解监测与防护，加强对账号安全的保护。

根据CAC邮件安全大数据中心监测，2022年Q1季度，境外暴力破解IP主要来源于美国，俄罗斯以及印度。
IP来自国内的暴力破解次数持续上涨，3月环比增幅高达157%，3月主要集中地区是江苏，安徽，福建和江西。

五、2022年Q1典型威胁邮件

1. Emotet 病毒邮件攻击案例
带宏病毒加密附件的恶意邮件-样式一

从去年11月开始，Emotet病毒邮件持续泛滥。攻击者除了通过历史邮件信息构造邮件内容，还喜欢通过对附件加密压缩的方式，来同时绕过反病毒和反垃圾的检查。附件加密后即使是沙箱也难以识别出病毒。

某客户在遭受Emotet攻击后，日常不到10w的收件量，被Emotet病毒邮件攻击时的收件量激增到40w。

综合而言，Emotet病毒邮件包含以下典型特征

1、携带加密附件或office宏文档

2、正文中出现“Password”或“密码”等关键词，加密附件的密码出现在正文

3、出现一些历史邮件的转发信息

4、近期的Emotet主要是附件用xlsm 以及附件为加密压缩包，压缩包内是xlsm。

Emotet病毒邮件防护策略

1、收到此类邮件建议用其他社交方式与发信人取得联系，若确认为病毒邮件，则马上报告安全部门

2、此类加密压缩的文件，如果一定要打开，建议放到虚拟机的测试环境（断网）打开

3、为了能将病毒邮件与正常邮件行为有所区分，建议日常发送加密压缩附件时，应该以其他手段将密码通知收件人，而不是放在正文

4、若不小心点击了附件，建议马上切断中招PC的网络，并马上联系安全部门清理上网环境

5、个人PC安装杀毒软件，并保持更新。

6、使用CACTER邮件安全网关提升防御机制。