时间进入2024年，网际思安及麦赛安全实验室（MailSec Lab）团队基于2023年在邮件安全威胁领域的数据积累与研究分析，以及观察和收集到的全球前沿信息和数据，再次全新整理了《2023年全球邮件威胁报告》。本文是下篇。

4. BEC邮件威胁

商业电子邮件攻击（Business Email Compromise，简称BEC）是一种高级的电子邮件攻击手段，它主要通过社会工程学技巧，利用假冒身份来欺骗受害者。这类攻击不涉及传统的恶意软件或钓鱼邮件中的URL和附件，因此很难被传统的安全防御措施检测到。在BEC攻击中，犯罪分子通常会伪装成受害者的同事、合作伙伴或供应商，通过发送邮件要求进行付款或披露敏感信息。

BEC攻击的特点是高度的定制化和真实性，使得它能够轻易地绕过电子邮件安全系统和人类的警觉性。这种攻击不仅针对大型企业，也对中小型企业乃至个人构成了严重威胁。

4.1. 整体趋势统计

在2023年，BEC攻击数量有所下降，相比2022年减少了近25%。在过去的一年中每1000个邮箱，平均每月遭受的BEC邮件攻击数量为3.86次。 

图42. 2023年每1000个邮箱每月遭受的BEC攻击数量

4.2. 企业规模分析

在2023年，拥有1000名员工以下的企业经历了最多的商业电子邮件攻击（BEC攻击），每1000个邮箱每月平均发生5.75次BEC攻击。而当企业规模上升到2万或以上员工时，每1000个邮箱仅仅发生不到1次的BEC攻击。

图43. 2023年按企业规模每1000个邮箱每月遭受的BEC攻击数量

这可能与很多IT管理员的感觉正好相反，因为一般认知中更大的企业应该拥有更多的邮箱，因此更容易成为攻击目标。然而和大面积滥发的传统攻击不同，BEC邮件攻击通常是有针对性目标，所以相较于大型企业，小型企业每年会收到更多的攻击。

4.3. 基于行业分析

BEC攻击在整体上呈上升趋势，但攻击数量在各行业之间并不均匀分布。尽管攻击类型相对与行业无关，但网络犯罪分子可能会将重点放在一些之前取得成功或安全措施较少的行业。科技行业是BEC攻击最受欢迎的目标，过去一年每1,000个邮箱平均每月发生近五次攻击。这个行业非常创新，市场迅速增长，包括拥有有价值的知识产权的组织。由于技术行业的不断发展，攻击者可能认为他们能够利用这些不断变化的过程中的漏洞。

其他受欢迎的行业包括建筑工程、广告营销、金融、交通运输、以及媒体与娱乐，每1,000个邮箱每月都有超过三次的攻击。另外，在遭受BEC邮件攻击的行业中，政府和体育行业成为BEC攻击者最少攻击的行业。

 图44. 2023年遭受BEC攻击最多的行业

5. 2024年邮件安全预测

过去的一年，网际思安保护了全球上千家企业和组织，每天检测邮件上亿封，涵盖了对传统滥发性钓鱼到高度定向的BEC欺诈邮件威胁的防护。基于过去十多年的邮件安全行业实践经验和大数据分析，以及与行业友商的信息分享，我们对邮件安全威胁格局在未来一年将如何演变进行了预测，并提供了关于企业如何在2024年进行防御的洞察。

5.1. 内部钓鱼邮件难以检测

内部钓鱼邮件已成为一种危害很大的网络欺诈手段。内部钓鱼邮件是一种网络安全威胁，通常发生在员工或学校内部人员的电子邮件帐号被盗用后。在这种情况下，攻击者利用内部人员的合法身份，向企业内的其他员工发送欺诈性邮件。这些邮件通常伪装成内部通知、紧急事务提醒或是其他重要信息，诱导收件人点击恶意链接或下载病毒附件。2023年，内部钓鱼邮件相较2022年激增了156%。从趋势来看，我们相信2024年，内部钓鱼邮件攻击数量将保持持续增长。

图45. 内部钓鱼邮件样本

目前内部钓鱼事件，是邮件安全防护的薄弱环节。究其根本原因是由于内网邮箱账号被盗，导致黑客通过内部账号发送内部钓鱼邮件，而内部邮件通常无法检测，导致其危害很大。针对内部钓鱼邮件，企业应首先应加强事先对内部钓鱼邮件的预防，包括：

l  防止邮件SMTP认证攻击、防止邮箱账号暴力破解、邮箱弱密码扫描

l  周期性组织钓鱼邮件演练，加强员工对外网、域内的各种钓鱼邮件的安全防范意识

并且企业应在2024年增强对内部钓鱼邮件的事中检测和告警，增强及时发现并处理内部钓鱼邮件的能力。例如，网际思安提出的内部钓鱼预警防御解决方案可实时获取内部邮件，并对内部邮件进行安全检测，及时发现内部钓鱼邮件并发出告警通知或删除内部邮件，从而有效减少邮件安全风险。这套方案的高准确率、快速响应和简化管理流程等特点，在教育、金融、政府等行业客户中得到了验证。

5.2. 无特征攻击占比将增加

无特征邮件攻击，也称为无文件或无负荷邮件攻击，在过去一年的邮件攻击占比中显著增加。与传统邮件攻击不同，无特征邮件攻击并不携带恶意可执行文件，使它们更为隐秘且更难以被传统电子邮件安全设备检测到。在大多数这类攻击中，电子邮件本身不仅未包含附件，甚至不包含任何的恶意链接，仅仅提供了一个虚假的付款收据或即将到期的付款请求，并告诉收件人拨打提供的号码以撤销或停止交易。当收件人这样做时，攻击者会引导收件人下载并安装恶意文件。

图46. 无特征邮件攻击示例

在如上的无特征邮件攻击样例中，该电子邮件看起来像是由PayPal发出的一份关于购买加密货币的发票。该电子邮件是从一个Gmail帐户发送的，并包含详细交易信息，例如：ID号码、支付金额（863.50美元）等。与此同时，该邮件提醒收件人，如果他没有授权该笔交易，应该立即通过拨打邮件中提供的电话号码通知Paypal的相关服务人员。如果用户被欺骗并拨打了这个热线，攻击者可以引导用户安装恶意软件，从而使他们能够下载恶意应用程序、打开不安全的网页并窃取信息。

通过避免使用容易识别的恶意软件和链接，无特征攻击可以规避传统的邮件安全解决方案，使攻击者能够执行复杂和持久的攻击活动。因为此类恶意邮件是基于文本的，没有其他可识别的恶意特征。传统的邮件安全设备几乎没有足够的信息来确定恶意意图。例如，以上的恶意邮件是从一个Gmail账户发送的，这是一个任何人都可以使用的公共邮件服务。因此，传统邮件安全检测无法通过域名的声誉进行检测，并且该邮件通过了SPF、DKIM和DMARC的所有身份验证检查。

基于麦赛邮件安全实验室（MailSec Lab）的研究，网际思安邮件安全产品通过自然语言分析和人工智能检测此类攻击，这些方法能帮助邮件安全产品理解邮件所描述的内容，并与其他提取的邮件信息一起，综合判断该封邮件是否包含恶意意图。

5.3. 二维码攻击稳定增长

在这个现代化时代，我们可以在许多不同的地方看到二维码，包括购物中心、小摊位、广告单、支付柜台、在线网站等等，被用于访问网站、移动APP、餐厅菜单、进行支付、拨打电话、连接Wi-Fi、发送邮件、添加联系方式以及许多其他功能。正因为近年来QR码变得更加普遍，网络犯罪分子也越来越多的将二维码用于网络钓鱼攻击。二维码最初设计用于方便，但现在网络犯罪分子可以利用它们引导用户访问精心设计的钓鱼网站，或下载恶意文件。

图47. 二维码攻击链条

实际上，网际思安搜集的数据显示，在2023年绕过传统邮件安全检测的攻击中，有17%利用了二维码，而这预计在2024年将持续增加。例如，在2023年年初，关于补贴类的二维码类钓鱼邮件非常的流行，员工收到的典型的恶意邮件样本如下：

图48. 补贴类钓鱼邮件样本

一旦附件被打开，用户会看到诱惑性文本和一个位于文档中心的二维码。

图49. 钓鱼邮件样本的附件内容

当员工使用移动设备、平板电脑或台式机扫描二维码时，会自动打开浏览器访问一个由攻击者精心构造的钓鱼网站。该网站仿冒了钉钉（DingTalk）的登录页面。钉钉是阿里巴巴集团开发的知名企业通讯平台。考虑到该平台的影响力和庞大的用户数量，获取钉钉的登录凭证对攻击者来说具有很高的价值。

企业应该从事前教育、事中防护和事后追溯三个方面，做到对二维码恶意邮件的全生命周期防护。在事前，企业首先应加强员工对二维码恶意邮件的防范意识教育，并通过“钓鱼邮件演练系统”来测试员工对二维码恶意邮件的安全意识。

在事中，企业通过使用含二维码识别防护功能的邮件安全网关可以增强对二维码恶意邮件的防范，阻止这些邮件进入员工的收件箱，减少员工扫描恶意二维码或输入凭证的风险。此外，邮件安全网关还可以提供实时监控和事件响应，及时发现并应对新的二维码攻击手段，提高整体邮件安全防护水平，保护企业免受恶意邮件带来的威胁和损害。例如，“思安邮件安全网关”推出了多种检测方法相结合的“思安二维码综合防护体系”，分为四个层次，从下到上对二维码进行全面的识别、检测、过滤、警示、追踪、标识等，从而将恶意二维码拒之千里之外，或是持续追踪发现风险行为。 

图50. 思安二维码综合防护体系

在事后，“思安邮件安全网关”可对含二维码图片的攻击邮件和正常邮件的原件进行留存，并在Web管理平台上进行标识，从而为事后的司法追责和技术溯源提供了强有力的支撑。

5.4. AI攻击日益增强

在过去的一年中，生成式人工智能技术的进步使得网络犯罪分子能够迅速生成独特的内容，提高了社交工程攻击和电子邮件威胁的复杂性。此外，威胁行为者已经开始创建他们自己恶意形式的生成式人工智能（如WormGPT），以部署高级攻击。我们已经开始看到网络犯罪分子利用这项技术，人工智能的进步预计将在2024年增加，使得这些攻击成为不断增加的安全风险。

图51. 黑客论坛里提供的WormGPT工具

研究团队利用WormGPT进行了BEC攻击的测试，以全面评估与WormGPT相关的潜在危险。在其中一个实验中，团队指示WormGPT生成一封旨在迫使一个毫不知情的客户经理支付一份欺诈性发票的电子邮件。结果令人不安。WormGPT生成的电子邮件不仅极具说服力，而且使用了非常狡猾的语言，展示了其在钓鱼和BEC邮件攻击方面的潜力。

图52. WormGPT创建BEC邮件

生成式人工智能技术对钓鱼和BEC邮件攻击行为有很大帮助，即使一个从未接触邮件攻击，并且不懂任何外语的人，也能随时构造针对世界上任何一个企业或个人的邮件攻击。使用生成式人工智能为邮件攻击带来了以下一些优势：

l  构造极具欺骗性的邮件内容：生成式人工智能可以创建内容和语法无可挑剔的电子邮件，使其看起来合法，降低了被标记为可疑的可能性。

l  降低攻击的门槛：使用生成式人工智能降低了执行复杂BEC攻击的门槛。即使是技能有限的攻击者也可以使用这项技术，使其成为可广泛使用的黑客工具。

5.5. SAAS服务仍将持续增长

因为低迷的中国经济以及有限的信息安全财务预算，2024年中国中小企业在邮件威胁防护方向的资金投入仍然会十分有限，而日益精密和频繁的邮件威胁攻击将导致很多中小企业难以应对。因此我们预测2024年订阅式云邮件安全服务仍将持续增长，在中国经济不景气的情况下，为中小企业提供最具性价比的选择。

6. MailSec Lab介绍

北京网际思安科技有限公司麦赛邮件安全实验室（MailSec Lab）依托于过去10+年积累的邮件威胁数据，汇集了一批10+年工作经验的行业专家，专注于新型邮件威胁的调研，和下一代邮件安全技术的创新性研究。在过去十多年中，MailSec Lab服务于3000+家各个行业领域的典范客户，获得客户的广泛赞誉。与此同时，实验室积极与国际和国内知名信息安全厂商合作，广泛开展威胁情报互换、共同研究等合作，构建共防御的威胁防护体系。

网际思安发布《2023年度全球邮件威胁报告》（上）

https://www.dwcon.cn/post/3394