时间进入2024年，网际思安及麦赛安全实验室（MailSec Lab）团队基于2023年在邮件安全威胁领域的数据积累与研究分析，以及观察和收集到的全球前沿信息和数据，再次全新整理了《2023年全球邮件威胁报告》。

衷心希望所有客户与伙伴通过此份报告，能详致了解过去一年的全球邮件威胁状况，以及各邮件安全专业厂商为邮件安全防护所做出的努力，报告同时对2024年的邮件威胁做了趋势分析与预测，企望大家了解并计划好相应的防范措施。

1、2023年邮件安全态势

在过去的几年里邮件攻击技术持续进化，这种进化在2023年突飞猛进，从传统大量群发式攻击（例如：垃圾邮件、病毒邮件、URL钓鱼邮件等），演进到针对指定员工个人或群体所精心设计的复杂性攻击（例如：伪装为商业伙伴或高层的BEC诈骗、二维码钓鱼邮件、图片钓鱼邮件、0-day APT攻击等），邮件攻击已经发展成为一种高度复杂、巧妙和有针对性的威胁。

图1. 邮件攻击持续进化

邮件安全攻击技术的持续进化有多方面的因素，这些因素共同推动了攻击者不断改进和创新他们的方法。以下是一些主要原因：

1. 防御措施的加强：随着电子邮件安全解决方案的不断完善，传统的攻击手段逐渐失效。攻击者为了绕过这些防御措施，不得不开发新的技术和策略，从而推动了攻击手段的进化。

2. 科学技术进步：攻击者利用了科学技术的不断发展，包括生成式人工智能（Generative AI）等新技术，使得他们能够更快速地生成定制和难以检测的恶意内容。新技术的引入为攻击者提供了更多工具来规避传统的防御措施。

3. 社会工程学的发展：社会工程学是利用人的心理弱点进行欺骗的艺术。随着对人类行为模式的研究不断深入，攻击者能够设计出更加精巧的电子邮件诱饵，提高攻击成功率。

4. 技术和知识的普及：随着互联网技术的发展和网络安全知识的普及，攻击者能够更容易地获取到实施攻击所需的工具和技术。同时，他们也更加了解电子邮件系统的弱点，以及如何利用这些弱点进行攻击。

5. 经济利益：电子邮件攻击往往能够带来巨大的经济利益。无论是通过钓鱼攻击窃取银行凭证，还是通过商业电子邮件欺诈（BEC）实施巨额转账诈骗，攻击者都能通过这些手段获得直接的经济回报。

6. 电子邮件协议的漏洞：尽管电子邮件协议如SMTP、IMAP和POP3已经相当成熟，但它们在设计时并未充分考虑安全性，这导致了许多潜在的安全漏洞，为攻击者提供了目标。

7. 国际合作与法律执行难度：网络攻击往往跨越国界，国际合作在追踪和起诉攻击者方面存在难度，这为攻击者提供了一定的保护。

8. 持续的专业化：网络犯罪作为一个产业，也在不断专业化。有组织的犯罪集团、国家级黑客和其他专业团体都在不断开发和改进电子邮件攻击技术。

综上所述，电子邮件攻击的进化是一个动态过程，受到多种技术和非技术因素的影响。因此，邮件安全的防护措施也需要不断更新和改进策略，以应对这些不断变化的威胁。

      网际思安小贴士：据统计，88%的组织遭受过鱼叉式网络钓鱼攻击。

1.1. 风险趋势分析

根据北京网际思安科技有限公司麦赛邮件安全实验室（MailSec Lab）在2023年搜集到的数据显示，在2023年第一季度，MailSec Lab观察到非常活跃的钓鱼邮件攻击，累计多达1,624,144个。第二季度和第三季度的攻击数量相对减少，但是在第四季度再次升高，检测到全年最多的钓鱼邮件攻击数量，累计多达1,652,381个钓鱼邮件攻击。

图2. 2023年独立钓鱼网站的数量趋势

各类型邮件攻击的占比如下图所示。其中，钓鱼邮件仍然是黑客最喜欢采用的邮件攻击方式，占所有邮件攻击的三分之二。具体来讲，在2022年占据了约70%的百分比，而2023年略微下降达到66.3%。黑客通过钓鱼邮件发起攻击，盗取个人密码和重要数据，从而为后续更多攻击手段提供了基础。

图3. 2022年与2023年全球邮件威胁攻击类型

一个有趣的现象是，BEC攻击首次在所有攻击类型占比中超过了恶意软件攻击。越来越多的黑客在今年投入更多的时间和精力研究和发动BEC攻击，这可能是由于ChatGPT的引入，使黑客能够创建比以往任何时候都更复杂、更大规模的攻击。此外，勒索的占比进一步大幅增加。与此同时，诈骗也占据了更大比例。

“道高一尺，魔高一丈”，攻击者经常动态调整他们的入侵策略，以提高成功攻陷目标的机会，这使得邮件安全团队有必要不断增强其防护措施。

1.2. 整体态势要点

根据数据统计与分析，2023年的邮件威胁态势如下：

l  钓鱼邮件占所有邮件攻击类型的三分之二，高达66.3%。紧随其后的是勒索和诈骗邮件攻击；第一季度，钓鱼邮件攻击非常活跃，累计多达1,624,144个。第二季度和第三季度的攻击数量相对减少，但是在第四季度再次升高，检测到全年最多的钓鱼邮件攻击数量，累计多达1,652,381个钓鱼邮件攻击。

l  遭受钓鱼邮件攻击数量最多的行业仍然是“金融机构”。而“云服务/云邮箱”作为开放式的对外公共服务，也承受了大量的钓鱼邮件攻击。在其之后，“社交网络”与“物流/运输”两个行业分列第三和第四位。尤其值得一提的是，“物流/运输”行业相较于2022年相比，钓鱼攻击数量增长了328%。

l  美国和中国仍然是遭受钓鱼邮件攻击最多的两个国家。其中，美国所占百分比为39%，而中国占比为23%。与此同时，俄罗斯和韩国，因为近年来地缘竞争和战争风险因素的影响，其遭受的钓鱼邮件攻击数量也保持大量增长。

l  含恶意软件的攻击大幅下降了近47%，占所有邮件攻击类型的2.6%；其中，"HTML/Phishing.Agent" 特洛伊木马占所有恶意软件的三分之一；而"DOC/fraud" 木马占所有恶意软件的15.4%。

l  脚本和可执行文件类型占所有恶意附件类型的三分之二；与此同时，为进一步提升恶意附件的欺骗性，攻击者会将恶意附件伪装成常见的文件类型，例如：伪装为Office办公文档（11.1%）、PDF文档（10%）、打包到压缩文件（3%）等。

l  BEC邮件攻击数量有所下降，相比2022年减少了近25%，占所有邮件攻击类型的3.5%；在过去的一年中每1000个邮箱，平均每月遭受的BEC邮件攻击数量为3.86次。

l  拥有1000名员工以下的企业经历了最多的商业电子邮件攻击（BEC攻击），每1000个邮箱每月平均发生5.75次BEC攻击。而当企业规模上升到2万或以上员工时，每1000个邮箱仅仅发生不到1次的BEC攻击。

l  科技行业是BEC攻击最受欢迎的目标，过去一年每1,000个邮箱平均每月发生近五次攻击。其他受欢迎的行业包括建筑工程、广告营销、金融、交通运输、以及媒体与娱乐，每1,000个邮箱每月都有超过三次的攻击。

2. 钓鱼邮件威胁

钓鱼邮件是指邮件正文中包含恶意链接、带有恶意附件或者钓鱼网站的具有攻击性的电子邮件。网络攻击者通过社会工程学构造邮件正文，并以此诱导用户点击其中的恶意链接、打开恶意附件或向攻击者回复邮件用户的个人隐私信息。攻击者也因此能够植入木马或间谍程序，进而窃取用户的银行账户或密码等个人敏感数据，或者在设备上执行恶意代码从而实施进一步的网络攻击活动。

网际思安小贴士：据统计，成功的网络攻击有 90% 都是源于电子邮件网络钓鱼

图4. 典型钓鱼邮件入侵流程

2.1. 整体趋势统计

麦赛邮件安全实验室（MailSec Lab）对下列2023年钓鱼邮件数据进行了统计，以分析钓鱼邮件攻击的活跃程度和趋势。

l  独立钓鱼网站。我们以网站域名为单位，而不是以URL地址为单位统计钓鱼网站的数量。因为成千上万个定制化的钓鱼URL地址，可能实际上都指向了相同的网站域名，所以通过网站域名可以更准确衡量钓鱼网站的数量。

l  独立钓鱼邮件主题。我们只统计具有唯一邮件主题的钓鱼邮件数量，从而避免重复统计相同的钓鱼邮件攻击，因为同一批网络钓鱼攻击很可能使用相同的邮件主题，但邮件正文中根据收件人地址的不同包含不同的钓鱼URL地址。

表1. 2023年钓鱼邮件攻击数量

图5. 独立钓鱼网站的数量趋势

图6. 独立钓鱼邮件主题数量

在2023年第一季度，MailSec Lab观察到非常活跃的钓鱼邮件攻击，累计多达1,624,144个。第二季度和第三季度的攻击数量相对减少，但是在第四季度再次升高，检测到全年最多的钓鱼邮件攻击数量，累计多达1,652,381个钓鱼邮件攻击。

2.2. 基于行业分析

从行业来看，2023年全球遭受钓鱼邮件攻击数量最多的行业仍然是“金融机构”。作为全球最赚钱的行业，金融行业仍然是黑客眼里的最佳攻击目标。而“云服务/云邮箱”作为开放式的对外公共服务，因为暴露在互联网，也承受了大量的钓鱼邮件攻击。

在其之后，“社交网络”与“物流/运输”两个行业分列第三和第四位。尤其值得一提的是，“物流/运输”行业相较于2022年相比，钓鱼攻击数量增长了328%。“物流/运输”行业遭受大量钓鱼邮件攻击的原因主要包括其涉及的高价值信息，如货物追踪和客户数据，以及庞大的供应链网络，容易成为攻击目标；紧急性和高压力的工作环境使得攻击者能够利用员工的紧迫感，通过伪装成紧急通知来进行欺骗；此外，由于行业内大量的电子邮件通信，攻击者有机会伪装成合法业务邮件，引诱受害者采取不经过验证的行动；与此同时，社会工程学手法的运用，如伪装成熟悉的供应商或合作伙伴，使得钓鱼攻击更具欺骗性。

图7. 基于行业的钓鱼邮件攻击占比

2.3. 基于国家分析

从国家角度来看，一般来讲，一个国家被钓鱼邮件攻击的数量与经济规模和人口数量之间存在关系，主要涉及到攻击者选择目标的动机和策略。经济规模较大的国家通常成为攻击者的首选目标，因为这些国家存在更多的数字化活动和金融交易，给攻击者提供了更多的机会用于欺诈和窃取财务信息。此外，攻击者可能瞄准具有大规模人口的国家，从而可以在攻击中找到更多易受欺骗的个体；另一方面，经济发达国家通常拥有更多的高价值目标，如知识产权、商业机密和政府机密。攻击者可能以获取这些关键信息为目标，以谋求更高的经济回报或实施更有针对性的攻击。总体而言，经济规模和人口数量的增加通常意味着更广泛和更有吸引力的攻击面，因此这些国家更容易成为网络犯罪活动的焦点。

在2023年美国和中国仍然是遭受钓鱼邮件攻击最多的两个国家。其中，美国所占百分比为39%，而中国占比为23%。两个全世界经济规模最大，人口众多的国家遭受了全球三分之二的钓鱼邮件攻击。与此同时，俄罗斯和韩国，因为近年来地缘竞争和战争风险因素的影响，其遭受的钓鱼邮件攻击数量也保持大量增长。

图8. 基于国家的钓鱼邮件攻击排名

中国在2023年遭受的钓鱼邮件攻击数量仍居世界第二位，相比2022年减少了18%。据麦赛邮件安全实验室（MailSec Lab）的分析，疫情后企业远程办公的减少、经济的不活跃、地缘竞争的缓和是钓鱼邮件数量减少的主要推动力。

2.4. 典型攻击案例

2023年7月份，MailSec Lab观察到大量增加的“薪资调整”类钓鱼邮件。关于此批“薪资调整”类钓鱼邮件的典型样本邮件，如下图所示：

图9. 关于薪资调整通知的钓鱼邮件

该邮件通过伪造“薪资调整”通知，诱导员工点击邮件正文中URL超链接，从而访问精心构造的钓鱼网站。当员工输入其邮箱帐号和密码后，攻击者将获得该私人账户信息，并可利用该信息成功登陆员工的私人邮件账户。

图10. 点击超链接后访问的钓鱼网站

图11. 记录帐号信息，并模拟系统繁忙

MailSec Lab的专家从源IP、URL链接、邮件头、邮件内容等方面，对此邮件的风险特征进行了详尽的技术分析，及时对规则库进行了更新，并立即提醒企业。

l  邮件头分析：X-Mailer字段

此类风险邮件的头部包含的“X-Mailer”字段值为“Supmailer 38.1.2”。

       图12. 邮件头部X-Mailer字段展示

X-Mailer字段表明了攻击者通过Supmailer软件的38.1.2版本来发送钓鱼邮件。Supmailer是由一家德国公司研发的，用于批量创建和发送广告邮件的软件。该软件的官方网站是“https://int.supermailer.de/”。该文件头字段表明邮件发送者通过使用Supmailer软件群发钓鱼邮件，而非正常使用Outlook, Foxmail等邮件客户端发送邮件。

图13. Supmailer官方网站

 图14. Supmailer广告邮件群发软件界面截图

l  邮件头分析：源IP字段

通过对邮件头字段的分析可知，在该钓鱼邮件到达公司之前，分别先后经过了221.235.220.134和218.70.153.165两跳IP地址。

图15. 邮件头部源IP字段展示

查询覆盖全球的91个RBL数据源，检测结果如下。两个外部IP地址被列入了多达10多个的RBL黑名单。

l  URL超链接分析

对URL链接的Whois信息进行查询。该网站于1个多月前建立（2023年5月22日），并且服务器位于香港，因此不用进行公安注册。此类新建设且未进行公安部注册的网站大概率被用于发起黑客攻击。

图16. 邮件中URL链接的Whois信息

对该IP进行域名反查，可得知该IP地址下共服务了42个域名，其中有近20个域名被威胁情报识别为恶意域名。由此可见，该IP下的服务器被攻击者用于批量建设钓鱼网站。

图17. 同一个IP下有近20个恶意域名

并且该URL超链接的域名被知名威胁情报也列为恶意域名：

图18. 该域名被威胁情报列为恶意域名

邮件正文中URL链接格式如下：https://mail-al.cn/#contact@xxxxxx.com

该URL包含了“域名”与“收件人邮件地址”两部分信息。“域名”被用于访问钓鱼网站，而“收件人邮件地址”用于告知攻击者是谁访问了钓鱼网站。因此，针对不同收件人所发送的邮件，其中的URL链接都不相同。

如果对该IP地址进行网络爬虫，可以列出该IP地址下所提供服务的所有URL。这些URL中所含的“收件人邮件地址”，即为被攻击的收件人邮件地址。

图19. 被攻击的收件人邮件地址

l  发件人分析

通过邮件头分析可知，为了增加钓鱼邮件的可信度，攻击者从一个已被攻陷的第三方企业邮箱帐号来发送钓鱼邮件，以此躲避邮件安全设备的检测。与此同时，攻击者故意设置发件人的显示名称为“财务”来增加邮件的可信度。

尽管如此，因为邮件是从第三方企业邮箱帐号发送的，因此发件人地址是第三方企业的域名，非收件人公司的域名。如果员工仔细辨认是可以识别出问题的。

图20. 发件人域名为第三方企业的域名

l  总结与攻击溯源：

经思安麦赛安全实验室的分析测试，此“薪资调整”邮件为高危邮件。总结来看，其含有的风险特征包括：

ü  该文件头字段表明邮件发送者通过使用Supmailer软件群发钓鱼邮件，而非正常使用Outlook, Foxmail等邮件客户端发送邮件；

ü  该邮件的两个外部源IP地址被列入了多达10多个的RBL黑名单；

ü  邮件中所含的网站为新建设且未在公安部进行注册；

ü  该网站所在IP地址下的服务器被用于批量建设恶意网站；

ü  邮件中所含的网站被知名威胁情报也列为恶意域名；

ü  发件人地址是第三方企业的域名，非收件人公司的域名。

ü  此邮件的完整攻击溯源图如下所示：

图21. 攻击溯源图

3. 病毒邮件威胁

病毒邮件是一种通过电子邮件传播的恶意软件。这类邮件的的目的多种多样，包括窃取敏感信息（例如用户名、密码、财务信息）、加密文件并勒索受害者（勒索软件攻击）、控制受感染计算机形成僵尸网络（用于发动更大规模的网络攻击）等。

病毒邮件通常采用欺骗性手法，引诱受害者点击包含恶意附件或链接的邮件内容，或者直接利用安全漏洞进行自动感染。恶意附件可能是伪装成常见文档、图像或压缩文件的可执行文件，一旦打开，便会释放恶意软件。链接则可能指向携带有恶意软件的网站，访问这些链接可能导致系统感染。

3.1.
整体趋势统计

根据数据统计分析，从2022年12月到2023年11月，恶意邮件的数量尽管波动，但整体趋势比较平稳。整体来看，2023年下半年的威胁水平较上半年下降了8%，直到11月时达到下半年的峰值。 

图22. 2023年病毒邮件趋势

3.2. 病毒种类分析

根据麦赛邮件安全实验室（MailSec Lab）搜集到的数据显示，2023年邮件中携带的前十大病毒家族是：

图23. 2023年TOP 10邮件病毒

其中，"HTML/Phishing.Agent" 特洛伊木马占比高达三分之一。该木马是一种HTML语言编写的邮件正文或邮件附件，通过伪装成银行登录页面、电子邮件服务登录页面或其他常见网站，并嵌入恶意代码来窃取用户的敏感信息，如用户名、密码、信用卡信息等。

而"DOC/fraud" 木马伪装为合法的邮件附件文档（通常是Microsoft Word文档，即DOC格式），通过引诱性的邮件内容诱使用户打开该恶意文件，从而入侵并控制用户的计算机。

3.3. 恶意附件类型

邮件附件中的病毒文件通常选择脚本（Scripts）或可执行文件（Executables）的格式。可执行文件和脚本为攻击者提供了在目标系统上执行恶意代码的能力，从而控制目标系统进行各种恶意操作。当然，攻击者可以通过混淆和加密的方式来进一步增强脚本和可执行文件的逃逸能力，从而规避传统安全工具的检查，使得检测变得更为困难。2023年，脚本和可执行文件类型占所有恶意附件类型的三分之二。

与此同时，为进一步提升恶意附件的欺骗性，攻击者会将恶意附件伪装成常见的文件类型，例如：伪装为Office办公文档（11.1%）、PDF文档（10%）、打包到压缩文件（3%）等，从而欺骗用户点击并触发其中的恶意代码。

图24. 2023年常见邮件恶意附件类型

3.4. 典型攻击案例

2023年，MailSec Lab观察到大量增加的“电子发票”类为主题的特洛伊木马邮件。关于此批“电子发票”类钓鱼邮件的典型样本邮件，如下图所示：

图25. “电子发票”为主题的特洛伊木马邮件

该邮件通过伪造下载电子发票通知，诱导员工点击邮件正文中的URL超链接，从而下载Trojan Droppers程序。当员工双击触发程序后，该恶意程序将自动连接攻击者搭建的恶意网站，进一步下载特洛伊木马病毒，并对计算机进行远程控制、数据盗窃、内网横向攻击等。

图26. 点击链接后下载Trojan Droppers程序

思安麦赛安全实验室的专家从URL链接、EXE文件风险性、源IP地址、邮件头字段、邮件内容等方面，对此邮件的风险特征进行了详尽的技术分析。

l  恶意链接的域名

通过浏览器直接访问邮件内URL链接的域名“welljoint.com”，可以了解到使用该域名的公司为一家位于上海的高科技公司，主要为银行、保险等金融机构提供联络中心系统解决方案，曾获“上海市科技小巨人”和“专精特新中小企业”荣誉。

图27. 某某科技公司官方网站

对“welljoint.com”域名的Whois信息进行查询。该域名于2011年5月11日注册，到期时间为2032年4月17日，域名持有者为“Xin Net Technology Corporation”。

图28. welljoint.com的Whois信息

进一步调查可知，该域名的持有者“Xin Net Technology Corporation”（新网互联）为一家提供域名注册、虚拟主机、网站建设等服务的公司。而通过“天眼查”可以了解到，在welljoint.com域名上建设官方网站的某高科技公司成立于2011年4月21日。结合以上信息，我们可以推断：该高科技公司成立1个月以后，通过新网互联公司注册了域名。

图29. 通过新网互联注册域名

邮件样本中的恶意URL链接为：

 http://mail.welljoint.com:81/download/attachment/xxxxxx

也就是说，子域名“mail.welljoint.com”被黑客用于放置Trojan Droppers程序。通过查询可知，“mail.welljoint.com”通过DNS的CNAME记录指向“mx171.dns.com.cn”。而“mx171.dns.com.cn”为“welljoint.com”域名的DNS MX记录，用于解析邮件服务器的IP地址。

图30. 查询mail.welljoint.com的信息

进一步追踪“mx171.dns.com.cn”域名可知，新网互联为该公司提供了在线邮箱服务。

图31. 新网互联提供的在线邮箱服务

与此同时，通过IP反向查询域名可知，该被攻陷IP不仅为welljoint.com域名提供邮箱服务，还为其他公司的域名也提供邮件箱服务。这些域名都可能被黑客恶意利用，引诱员工下载病毒程序。

图32. 被攻陷IP下提供邮箱服务的域名

l  下载的EXE文件

“电子发票.exe”文件被下载双击后，首先触发了大量检测注册表中网络相关配置的行为，如下表所示。此类检测，经常被恶意程序用于确定自身的运行环境是否安全。如果恶意程序发现自身是在虚拟环境中执行（例如：沙箱），将不运行病毒行为，从而躲避安全设备的检测。

图33.“电子发票.exe”检测注册表中网络相关配置

在确定自身是在员工的真实物理机上运行后，“电子发票.exe”通过修改注册表恶意关闭了Windows操作系统的各类日志监控功能，从而隐藏后续的攻击行为。

图34.“电子发票.exe”恶意关闭各类日志监控

在成功完成一些系列的准备工作后，“电子发票.exe”连接外网的僵尸控制服务器，尝试下载木马程序（http://134.122.133.51:80/Client.bin）。该僵尸控制服务器位于香港，其所在的邻近公网IP网段（极可能在同一机房），存在大量的类似僵尸控制服务器。

图35. “电子发票.exe”恶意下载病毒

图36. 134.122.133.0网段存在大量僵尸控制服务器

l  源IP地址

通过对邮件头字段的分析可知，该恶意邮件的来源IP地址是119.28.25.25。

图37. 邮件头部源IP字段展示

查询覆盖全球的91个RBL数据源，检测结果如下。此IP地址被列入了多达12个RBL黑名单。

l  发件人域名

对该发件人域名“yunpiaoxitong.com”的Whois信息进行查询。该网站于1个多月前新注册（2023年6月4日）。此类新创建且未进行公安部注册的网站大概率被用于发起黑客攻击。

图38. 发件人域名的Whois信息

另外，邮件的正文仿造了“发票通”电子发票网站（www.fapiao.com）的邮件样式。很明显，发件人的域名“yunpiaoxitong.com”与发票通网站的域名“fapiao.com”完全不一样。

图39. 仿造“发票通”的邮件样式

需要补充说明的是，从邮件头字段可以看到，发件人的邮件服务器启用了DKIM签名和SPF记录。我们猜测是攻击者为了证明发件域名的有效性，从而躲避邮件安全设备的检测。

图40. 攻击者启用了DKIM签名和SPF记录

经思安麦赛安全实验室的分析测试，我们认为此“电子发票”样本邮件为高危邮件。此邮件的完整攻击溯源图如下所示：

图41. “电子发票”类木马邮件攻击溯源图

网际思安发布《2023年度全球邮件威胁报告》（下）

https://www.dwcon.cn/post/3395