2022年郵件安全威脅態勢回顧和分析

家修

近日，北京網際思安科技有限公司麥賽郵件安全實驗室（MailSec Lab）研究發布了《2022年全球郵件威脅報告》（以下簡稱“報告”），報告數據顯示：在2022年，全球每1 000個郵箱，平均每月遭受的郵件攻擊數量為299.27次（不含垃圾郵件），同比增加12.36 %。

根據報告研究人員的統計與分析，2022年全球郵件安全威脅概況如下：

釣魚郵件占郵件攻擊的絕大部分，高達68.47 %，緊隨其后的是病毒攻擊和商業電子郵件（BEC）攻擊；

來自我國域名.cn所關聯的釣魚網站數量正在快速上升，目前已位居全球第2位，占比為15.24 %；

全球遭受釣魚郵件攻擊數量最多的行業是批發與零售業，相比2021年攻擊數量激增359 %；

Office文件類型的病毒附件同比大幅下降，占病毒郵件總數的19 %。Windows可執行文件類型仍然是最常見的病毒附件類型，占比近50 %；

BEC攻擊持續高速增長，同比增長近60 %。在過去的一年中每1 000個郵箱，平均每月遭受的BEC郵件攻擊數量為3.32次。

釣魚郵件威脅

根據麥賽郵件安全實驗室的監測數據，美國已多年位居榜首，2022年遭受了釣魚郵件攻擊數量的41 %，相比2021年占比增長了5 %。俄羅斯相比2021年，遭受的釣魚郵件攻擊數量激增427 %，且增長主要集中在俄烏地區沖突爆發之后。與此同時，隨著新加坡經濟持續繁榮發展，該國遭受的釣魚郵件攻擊數量也保持持續增長，2022年比2021年增加了245 %。

我國在2022年遭受的釣魚郵件攻擊數量仍居世界第2位，相比2021年的增長達到了78 %。2022年，國內重大釣魚郵件事件包括：

西北工業大學郵件系統遭受境外網絡攻擊

6月22日西北工業大學發布聲明稱，近期學校電子郵件系統遭受網絡攻擊，有來自境外的黑客組織和不法分子向學校師生發送包含木馬程序的釣魚郵件，企圖竊取相關師生郵件數據和公民個人信息，給學校正常工作和生活秩序造成重大風險隱患。初步判定，此次事件為境外黑客組織和不法分子發起的網絡攻擊行為。

搜狐內部郵箱被盜

搜狐全體員工在5月18日收到一封來自“搜狐財務部”名為《5月份員工工資補助通知》的郵件，大量員工按照附件要求掃碼，并填寫了銀行賬號等信息，最終不但沒有等到所謂的補助，工資卡內的余額也被劃走。經調查，實為某員工使用郵件時被意外釣魚導致密碼泄露，進而被冒充財務部盜發郵件。據統計共有24名員工被騙。

StrivePhish組織發起大規模郵件釣魚

5月13日開始，StrivePhish組織發起針對國內公司企業、高校和事業單位的大規模釣魚郵件攻擊，涉及范圍極廣，群發內嵌釣魚鏈接的郵件進行郵箱賬號密碼竊取。通過其后臺數據推斷，至少已獲取1 500多條對應的賬戶密碼，受害者主要集中在公司集團、大學學院以及事業單位。

澳門17家豪華酒店遭遇郵件攻擊

4月，研究人員發現針對中國澳門17家豪華酒店的釣魚郵件攻擊行動，主要目的是竊取有較高知名度客人的敏感隱私數據。

從行業角度來看，2022年全球遭受釣魚郵件攻擊數量最多的行業是“批發與零售業”，數量激增359 %，工業制造與服務2個行業分列第2和第3位。

在2022年，釣魚郵件包含的風險URL地址中，.com仍然排名第一位，占據了29.07 %的比例。來自中國的域名.cn所關聯的釣魚網站數量上升到了第2位，占比15.24 %。而.xyz域名從去年的第2位，下降到第3位。

病毒郵件威脅

病毒郵件是指電子郵件內包含病毒，在瀏覽郵件中的鏈接或下載附件的過程中觸發病毒文件，導致計算機被病毒感染。在2022年，Windows可執行文件類型仍然是排第一的病毒附件類型，占據了近50 %；而腳本類型緊隨其后，占據了23 %；Office文件類型的病毒附件與2021年相比大幅下降，占比19 %。

值得關注的是，Emotet病毒目前已取代VBA macros成為Office文檔攜帶病毒的主要方式。Emotet病毒常以宏附件的形式包含在Office文檔之中，通過誘使收件人打開Office文檔來觸發病毒，從而對計算機進行遠程控制和盜取數據。

BEC郵件威脅

在2022年，商業電子郵件攻擊（BusinessEmailCompromise，BEC）持續高速增長，相比2021年增長了近60 %。在過去的一年中每1 000個郵箱，平均每月遭受的BEC郵件攻擊數量為3.32次。在遭受BEC郵件攻擊的行業中，政府成為攻擊者最少攻擊的行業，而廣告與營銷行業成為遭受BEC郵件攻擊最多的行業。

郵件安全態勢預測

基于過去10多年的郵件安全行業實踐經驗和大數據分析，以及與行業友商的信息分享，麥賽郵件安全實驗室研究人員總結出了一些2023年的郵件安全威脅趨勢。

全球經濟衰退中，郵件安全將面臨更大挑戰

低迷的經濟狀況下，企業將把更多的預算投入影響營收的業務中，而降低對郵件安全的財務預算。與之相反的是，黑客將加速對惡意軟件的技術更新。二者疊加的話，全球郵件安全防護將面臨更大的挑戰，2023年我們將面對更多的網絡安全事件。

高級威脅檢測技術被廣泛應用

如今90 %的黑客攻擊從郵件發起，通過引誘客戶點擊惡意軟件或者騙取機密信息，從而為進一步攻擊做準備，其中，勒索病毒主要通過郵件傳播便是一個很好的例子。隨著惡意軟件躲避安全檢測技術的提高，郵件安全產品將越來越多的采用高級威脅檢測技術，例如：沙箱安全檢測、威脅情報、人工智能與自然語言處理等技術。在2023年，一個郵件安全產品是否采用了高級威脅檢測技術將成為評判安全防護能力的重要標準。

以人為中心的行為分析將助力防護釣魚郵件

在2022年，釣魚郵件被更精心的構造，通過傳統的“以郵件為中心”的檢測方式已經很難進行檢測。在2023年，“以人為中心”的檢測方式將逐步被采用。郵件安全產品將通過大數據分析和人工智能技術，以人為單位，對員工的長期郵件收發行為進行分析并繪制個人肖像。從而更好地發現與員工日常行為不一致的偽造釣魚郵件。

國家之間的郵件攻擊將持續增長

伴隨近年來全球地緣政治的改變，無論是俄烏戰爭，還是中美競爭，都打破了多年來的全球平衡。國家之間的郵件安全攻擊將在未來持續增長。2022年4月，中國西北工業大學遭受病毒郵件攻擊，判明相關攻擊活動源自美國國家安全局“特定入侵行動辦公室”，涉及盜竊中國軍事機密信息。

訂閱式云郵件安全服務仍將持續增長

因為低迷的全球經濟以及有限的信息安全財務預算，2023年全球中小企業在郵件威脅防護方向的資金投入仍然會十分有限，而日益精密和頻繁的郵件威脅攻擊將導致很多中小企業難以應對。因此，預測2023年訂閱式云郵件安全服務仍將持續增長，在全球經濟不景氣的情況下，為中小企業提供最具性價比的選擇。