coremailCACTER編寫組組長主要編寫人員司與奇安信集團聯(lián)合為您提供，本聯(lián)合報告的編撰獲得了Coremail郵件安全人工智能實驗室、Coremail郵件安全大數據中心以及奇安coremailCACTER主要觀點不論是從企業(yè)郵箱注冊域名數、活躍用戶數、還是郵件收發(fā)量等方面來看，國內企業(yè)級電子郵箱應用市場，都呈現(xiàn)出持續(xù)、穩(wěn)定發(fā)展的態(tài)勢。盡管垃圾郵件、釣魚郵件的總量也有小幅增長，但帶毒郵件數量已經呈現(xiàn)出逐年下降的趨勢。這主要得益于郵件安全技術，特別是郵件反病毒技術的持續(xù)進步。郵箱盜號問題仍然十分嚴重。2024年，全國被盜企業(yè)郵箱賬戶多達1074萬個，占全年活躍企業(yè)郵箱賬號總量的5.37%。由被盜企業(yè)郵箱賬號發(fā)出的垃圾郵件多達822.5億封。特別值得關注的是，郵箱盜號問題已經成為商業(yè)機密泄露、商業(yè)郵件詐騙等高危安全風險事件頻發(fā)的重要誘因。同時，由“盜號”+“同域釣魚”的攻擊方式，也已經成為釣魚郵件攻擊的流行手段。來自全球的郵件安全威脅仍然十分嚴峻。整體而言，全球垃圾郵件源呈現(xiàn)“核心收縮、邊緣擴張”的態(tài)勢，中美雖仍為主導但控制力減弱，東歐、東南亞等地區(qū)逐漸形成新的次級策源地，除Top5外的中小規(guī)模垃圾郵件源國在加速擴容，反監(jiān)測技術擴散趨勢明顯。郵箱賬號盜取已形成了專門的黑色產業(yè)，盜號測試信是黑產盜取賬號成功的重要標志；黑產暴力破解使用的口令字典，大部分通過目標郵箱賬號名變形生成，其他占比達到73.2%。域名劫持技術被大范圍應用于郵件攻擊，預計未來幾年內，此類攻擊還有可能愈演愈烈。企業(yè)想要減少此類攻擊造成的損害，應當在郵件防護系統(tǒng)中謹慎設置郵箱域名的白名單。生成式AI成釣魚郵件內容重要生產者，越來越多的攻擊者正在使用生成式AI，更加快速地制作更有針對性的惡意郵件文案內容。郵件攻擊者，開始采用AI技術進行自動化的郵件攻擊，主要體現(xiàn)在目標人群選擇、投放策略制定和口令爆破攻擊等方面。coremailCACTER摘要截至2024年底，國內注冊的企業(yè)郵箱獨立域名約為530萬個，活躍的國內企業(yè)郵箱用戶規(guī)模約為2億。2024年，全國企業(yè)郵箱用戶共收發(fā)各類電子郵件約8188.4億封。其中，正常郵件占比46.8%、普通垃圾郵件38.3%、釣魚郵件9.2%、帶毒郵件5.4%、謠言郵件0.08%，色情、賭博等違法信息推廣郵件約0.17%。從正常郵件的發(fā)送量上來看，工業(yè)制造類企業(yè)全年發(fā)送的郵件數量最多，約為全國郵件教育培訓、IT信息技術、互聯(lián)網等也都是郵件發(fā)送量較多的行業(yè)。從域名歸屬來看，國內企業(yè)郵箱收到的所有垃圾郵件、釣魚郵件和帶毒郵件，美國都是最大的海外發(fā)送源。同時，自2022年以來，俄羅斯、烏克蘭也成為頭部的惡意郵件發(fā)送源。2024年，由于某些中文郵件黑產團伙的突然活躍，國內企業(yè)郵箱收到的釣魚郵件數量同比大幅增長30.8%。年度最為流行的三種釣魚郵件類型分別是補貼/退稅（32.1%）、升級/擴容（25%）和身份驗證/備案（15.6%），三者之和占到了所有釣魚郵件總量的72.7%。2024年，國內電子郵箱賬號被盜規(guī)模高達1074萬個，占全年活躍郵箱賬號總量的5.37%；暴力破解是郵箱盜號最主要的手段，占到2024年郵箱異常登錄行為檢出總量的53.7%；由被盜號的電子郵箱發(fā)出的垃圾郵件，占到國內企業(yè)郵箱收到的所有垃圾郵件總量的26.2%。黑產暴力破解最常使用的工具為sanmaoSmtpCracker.exe，占54.9%。同時該工具應為國內黑產使用的最主要暴力破解工具。黑產暴力破解使用的IP國內和國外數量接近。黑產國內IP資源呈現(xiàn)明顯的地區(qū)聚集性，集中于江蘇、湖北、遼寧三個省份，其中江蘇省達45.8%。除了生成式AI釣魚內容之外，監(jiān)測顯示，已經有越來越多的郵件攻擊者，開始采用AI技術進行自動化的郵件攻擊，主要體現(xiàn)在目標人群選擇、投放策略制定和口令爆破攻擊等方面。關鍵詞：企業(yè)郵箱、垃圾郵件、釣魚郵件、帶毒郵件、暴力破解、生成式AI、域名攻擊coremailCACTER研究背景 1第一章電子郵箱應用形勢 2一、電子郵箱的使用規(guī)模 2二、電子郵箱用戶行業(yè)分布 3三、電子郵件的地域分布 5四、電子郵件安全防護重要性 5第二章垃圾郵件形勢分析 6一、垃圾郵件的規(guī)模 6二、垃圾郵件發(fā)送源 6三、垃圾郵件受害者 7第三章釣魚郵件形勢分析 9一、釣魚郵件的規(guī)模 9二、釣魚郵件發(fā)送源 9三、釣魚郵件受害者 四、釣魚郵件年度主題榜 五、釣魚郵件的類型 第四章帶毒郵件形勢分析 22一、帶毒郵件的規(guī)模 22二、帶毒郵件發(fā)送源 22三、帶毒郵件受害者 23四、帶毒郵件的類型 24第五章電子郵箱賬號安全 25一、郵箱盜號的規(guī)模 25二、暴力破解的形勢 25三、郵箱盜號的影響 26四、基于盜號測試信的黑產攻擊分析 26第六章郵件攻擊典型案例 31一、變化多端的二維碼補貼詐騙類郵件 31二、最為常見的系統(tǒng)升級/擴容釣魚郵件 34三、賊喊捉賊的身份驗證釣魚郵件 35四、突然爆發(fā)的日語銀行卡詐騙郵件 36第七章郵件風險趨勢分析 38一、域名劫持技術被大范圍應用于郵件攻擊 38二、郵件系統(tǒng)成為APT攻擊活動的重要目標 38三、郵件成為通往巨額商業(yè)詐騙的高速公路 39四、生成式AI成釣魚郵件內容重要生產者 39附件1CACTER郵件安全品牌 41附件2CACTER郵件安全網關 42附件3CACTER郵件數據防泄露EDLP 44附件4奇安信網神郵件威脅檢測系統(tǒng) 46附錄5奇安信觀星實驗室 49CACTERcoreCACTER1研究背景在中國當前網絡空間形勢下，社交網絡日益發(fā)達，電子郵件發(fā)展至今已有幾十年歷史，但仍是最重要的現(xiàn)代互聯(lián)網應用之一。從個人生活到工作場景的使用，郵件都在現(xiàn)階段人們的生活中扮演著不可或缺的角色。近年來中國企業(yè)信息化辦公程度逐年升高，更是大大促進了企業(yè)郵箱的使用，同時也使企業(yè)郵箱系統(tǒng)成為黑客入侵機構內部網絡的首選入口。針對郵件系統(tǒng)在使用時存在的問題，奇安信行業(yè)安全研究中心聯(lián)合Coremail郵件安全人工智能實驗室、CACTER郵件安全研究團隊，自2016年起合作編撰《中國企業(yè)郵箱安全性研究報告》，截至今年已連續(xù)發(fā)布十年。報告數據主要來自Coremail與奇安信集團聯(lián)合監(jiān)測，報告內容以電子郵箱的使用、垃圾郵件、釣魚郵件、帶毒郵件為主體，從規(guī)模、發(fā)送源、受害者及典型案例等方面分析中國企業(yè)郵箱安全性。本報告結合了Coremail、CACTER郵件安全與奇安信集團多年在企業(yè)郵箱領域的豐富實踐經驗及研究經驗，相關研究成果具有很強的代表性。希望此份報告能夠對各個行業(yè)、單位，開展以郵件防護為基礎，增強完善整體網絡安全建設，提供一定參考。CACTERcoreCACTER2第一章電子郵箱應用形勢根據Coremail郵件安全人工智能實驗室與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測，同時綜合網易、騰訊、阿里巴巴等主流企業(yè)郵箱服務提供商的公開數據進行分析評估，截止2024年底，國內注冊的企業(yè)郵箱獨立域名約為530萬個，相比2023年的528萬個增長了0.4%?；钴S的國內企業(yè)郵箱用戶規(guī)模約為2億，與2023年用戶規(guī)模相比增長約5.3%。2018年至2024年國內企業(yè)級電子郵箱獨立域名與活躍用戶規(guī)模變化趨勢如下圖所示：從電子郵箱的使用情況來看，2024年，全國企業(yè)級郵箱用戶共收發(fā)各類電子郵件約8188.4億封，同比增長了4.8%，日均收發(fā)電子郵件約22.4億封。其中，正常郵件占比約為46.8%、普通垃圾郵件占比為38.3%、釣魚郵件9.2%、帶毒CACTERcoreCACTER3僅就正常郵件而言，統(tǒng)計顯示，全國企業(yè)郵箱用戶在2024年共收發(fā)正常電子郵件約3828.9億封，比2023年增長7.2%，平均每天收發(fā)正常電子郵件約10.5億封。不同于個人郵箱，企業(yè)郵箱的主要用途是辦公。因此，同一機構內部郵件互發(fā)往往會比較頻繁。抽樣統(tǒng)計顯示，2024年企業(yè)用戶發(fā)送的電子郵件中，約34.1%為機構內部郵件，24.5%為外部郵件，41.4%為內外通發(fā)郵件（收件人既有機構內部，也有機構外部）。對中國政企機構獨立郵箱域名的抽樣分析顯示，從域名注冊量來看，工業(yè)制造類企業(yè)注冊的郵箱域名最多，占比為31%，其次是交通運輸行業(yè)占比11.8%，外資機構占比8%；還有IT信息技術占比7.9%，互聯(lián)網企業(yè)占比6.4%，金融行業(yè)占比6.1%等，這些都屬于電子coremailCACTER4郵箱使用獨立域名較多的行業(yè)。如果從正常郵件的發(fā)送量上來看，工業(yè)制造和交通運輸行業(yè)發(fā)送的郵件數量最多。工業(yè)制造類企業(yè)全年發(fā)送的郵件數量，約為全國郵件發(fā)送總量的18.7%，排名第一；交通運輸占比16.7%，排名第二；其次是媒體占比為12.6%；教育培訓、互聯(lián)網、IT信息等也都是郵件發(fā)送量較多的行業(yè)。具體占比如下圖所示：對比獨立郵箱域名注冊量和郵件發(fā)送量，可以看出，就單個政企機構而言，媒體、教育培訓與醫(yī)療衛(wèi)生等行業(yè)對郵件辦公的依賴度最高。特別的，本次報告對.edu（教育）、.org（組織機構）和.gov（政府）三個域名的郵箱使用情況進行了分析。其中，.郵箱域名在全國占比為0.08%，.的郵箱域名占比約為0.08%，.郵箱域名占比為0.03%。而從正常郵件發(fā)送量上來看，.郵箱占2.95%，.郵箱占0.96%，.郵箱占0.18%。CACTERcoreCACTER5統(tǒng)計顯示，2024年全國企業(yè)郵箱用戶收發(fā)的郵件以境內收發(fā)為主。國內收發(fā)占73%；海外收發(fā)27%。從服務器的所在地來看，2024年，國內企業(yè)郵箱服務器設在北京的數量排名第一，占比為17.2%；上海排第二，占比為15.1%；杭州排名第三，占比6.9%。等惡意內容占比近15%，日均威脅量超3.3億封。盡管病毒、謠言類郵件比例下降，但釣魚郵件同比激增1.8個百分點，攻擊手段持續(xù)復雜化。此類高風險郵件可能導致商業(yè)機密泄露、財務欺詐甚至關鍵系統(tǒng)癱瘓，對高度依賴郵件辦公的行業(yè)（如媒體、教育、政府）沖擊尤為顯著。值得注意的是，.edu（教育）、.gov（政府）等敏感域名雖注冊量不足0.1%，但郵件發(fā)送量占比顯著（如.占正常郵件2.95%）。這類機構作為公共信息樞紐，一旦安全防線失守，不僅會引發(fā)敏感數據外泄，更可能削弱公眾對數字政務、在線教育等服務的信任基礎。由此可見，強化郵件安全防護（如反釣魚技術、內容過濾）對維護企業(yè)持續(xù)運營、保護用戶信息安全、保障社會網絡空間穩(wěn)定愈發(fā)重要。coremailCACTER6第二章垃圾郵件形勢分析根據Coremail郵件安全人工智能實驗室與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測評估，2024年，全國企業(yè)郵箱用戶共收到各類普通垃圾郵件3139.4億封，約占企業(yè)級用戶郵件收發(fā)總量的38%，是企業(yè)級用戶正常郵件數量的82%。普通垃圾郵件的收發(fā)量下降，而其他惡意郵件的收發(fā)量增多。具體分布如下圖所示：從發(fā)送者郵箱域名歸屬情況來看，2024年，全國企業(yè)郵箱收到的垃圾郵件中，來自國內的垃圾郵件最多，占總數的35.5%，來自美國的垃圾郵件次之，占總量約17.7%，第三是俄羅斯，約占5.9%。下表給出了按照垃圾郵件數量統(tǒng)計的，歷年垃圾郵件發(fā)送源國別歸屬排行Top5。整體而言，全球垃圾郵件源呈現(xiàn)“核心收縮、邊緣擴張”的態(tài)勢，中美雖仍為主導但控制力減弱，東歐、東南亞等地區(qū)逐漸形成新的次級策源地，“其他”國家合計占比從27.1%增至30.3%，表明除Top5外的中小規(guī)模垃圾郵件源國在加速擴容，反監(jiān)測技術擴散趨勢明顯。表1歷年垃圾郵件發(fā)送源國別歸屬排行Top5（按照垃圾郵件數量統(tǒng)計）2022年2023年2024年排名141.9%38.6%35.5%2美國19.4%美國20.4%美國17.7%3俄羅斯6.7%俄羅斯7.2%俄羅斯5.9%4英國烏克蘭3.7%烏克蘭3.0%5烏克蘭英國2.8%英國2.3%其他28.3%其他27.1%其他30.3%CACTERcoreCACTER7僅就國內情況來看，從發(fā)送者的域名歸屬地來看，來自北京的垃圾郵件發(fā)送者最多，占國內垃圾郵件發(fā)送總量的14.5%，其次為江蘇，占比8.4%，廣東排第三，占比8.4%。下圖給出了國內垃圾郵件發(fā)送源域名歸屬省份Top10及其垃圾郵件發(fā)送量占比情況：對發(fā)送垃圾郵件的郵箱域名進行抽樣行業(yè)分析顯示，2024年，國內垃圾郵件發(fā)送源中教育培訓占比最高，為8.7%；其次為工業(yè)制造類企業(yè)，占比5.6%；互聯(lián)網企業(yè)排名第三，占比3.2%。下圖給出了國內垃圾郵件發(fā)送源行業(yè)分布：從收到垃圾郵件的受害者服務器所在地來看，2024年北京用戶收到的垃圾郵件最多，共收到了占比高達全國17.9%的垃圾郵件；其次為廣東，收到了全國14.3%的垃圾郵件；上海排名第三，收到了全國13.1%的垃圾郵件。下圖給出了國內企業(yè)郵箱用戶中垃圾郵件受害者的省級行政區(qū)分布Top10。coremailCACTER8國內垃圾郵件受害者所在行業(yè)也比較集中，排名前十的行業(yè)收到的垃圾郵件數量，占垃圾郵件總數的73.5%。其中，工業(yè)制造行業(yè)排名第一，約占垃圾郵件總數的20.3%；教育培訓排名第二，約占15.1%；排名第三的行業(yè)為交通運輸，占11.5%。具體Top10行業(yè)排名如下圖所示。CACTERcoreCACTER9第三章釣魚郵件形勢分析在本章內容中，釣魚郵件是指含有惡意欺詐信息的郵件，包括OA釣魚郵件、魚叉郵件、釣鯨郵件、CEO仿冒郵件和其他各類釣魚欺詐郵件，但不包括帶毒郵件、非法郵件等。其中，魚叉郵件是指針對特定目標投遞特定主題及內容的欺詐電子郵件。相比一般的釣魚郵件，魚叉郵件往往更具迷惑性，同時也可能具有更加隱秘的攻擊目的。而釣鯨郵件則是指那些專門針對企業(yè)高管或重要部門進行的魚叉郵件攻擊。而CEO仿冒郵件則是指冒充企業(yè)高管對公司員工或某些部門進行的魚叉郵件攻擊。根據Coremail郵件安全人工智能實驗室與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測評估，2024年，全國企業(yè)郵箱用戶共收到各類釣魚郵件約755.0億封，相比2023年收到各類釣魚郵件的577.1億封增加了30.8%。網絡釣魚攻擊事件逐年增加，釣魚郵件數量在2021年短暫抑制后，持續(xù)迅猛增長。釣魚郵件作為網絡攻擊最常用的手段，可以說是自電子郵件誕生以來一直存在的安全威脅。2024年全國企業(yè)郵箱用戶收到的釣魚郵件數量約占企業(yè)級用戶郵件收發(fā)總量的9.2%，平均每天約有2.1億封釣魚郵件被發(fā)出和接收。換種說法，即平均每個企業(yè)郵箱用戶每月會收到約31封釣魚郵件。根據Coremail郵件安全人工智能實驗室與奇安信行業(yè)安全研究中心聯(lián)合監(jiān)測，釣魚郵件的發(fā)送者遍布全球，其中，來自中國的釣魚郵件最多，占國內企業(yè)用戶收到釣魚郵件總量的42.9%；其次是美國，約占13.9%；俄羅斯排名第三，約占8.4%。下表給出了按照釣魚郵件數量統(tǒng)計的，歷年釣魚郵件發(fā)送源國別歸屬排行Top5。coremailCACTER表2歷年釣魚郵件發(fā)送源國別歸屬排行Top5（按照釣魚郵件數量統(tǒng)計）2022年2023年2024年排名1美國31.50%48.40%42.90%218.40%美國12.40%美國13.90%3俄羅斯3.30%俄羅斯7.90%俄羅斯8.40%4英國3.10%烏克蘭2.70%荷蘭2.60%5羅馬尼亞2.90%西班牙1.80%新加坡2.50%其他40.80%其他26.80%其他29.70%可以看出，2024年，來自國內發(fā)送源的釣魚郵件數量占比雖小幅下降至42.9%，但仍穩(wěn)居第一。具體來看，以下幾個因素是導致這一情況出現(xiàn)的主要原因：1.新的中文郵件黑產團伙出現(xiàn)。自2023年第三季度開始，有大量專門針對中文用戶的釣魚郵件黑產團伙開始變得活躍，一直持續(xù)到2024年，從而導致來自國內的釣魚郵件數量占比快速增長。2.新的攻擊節(jié)點被利用。2024年出現(xiàn)了大量通過我國香港地區(qū)服務器發(fā)送的釣魚郵件，黑產團伙通過香港地區(qū)作為新的攻擊節(jié)點，發(fā)動了大規(guī)模的釣魚攻擊，嚴重威脅到企業(yè)用戶的信息安全。3.生成式AI加劇釣魚郵件威脅?？焖侔l(fā)展的生成式人工智能顯著提升了釣魚攻擊的復雜度與隱蔽性，攻擊者通過AI自動化生成發(fā)送高度擬人化的釣魚郵件，精準模仿企業(yè)/個人語言風格，實現(xiàn)低成本而高成功率的攻擊鏈。這種動態(tài)演進的威脅模式對傳統(tǒng)防御策略提出了更高的挑戰(zhàn)，推動企業(yè)與安全廠商加速研發(fā)AI驅動的防御工具以應對持續(xù)升級的威脅。4.云服務平臺濫用問題依舊。雖然有部分云服務平臺在用戶的持續(xù)舉報中加強了安全監(jiān)管，但仍有不少漏洞被黑產團伙鉆了空子，導致釣魚郵件泛濫。5.盜號問題依舊嚴峻。大量被入侵的境內設備（如物聯(lián)網設備、個人電腦等）被用作釣魚郵件發(fā)送節(jié)點。上述多種因素，最終也導致2024全年釣魚郵件數量有一個明顯的增長。從國內釣魚郵件發(fā)送源的服務器所在地來看，香港特別行政區(qū)超越了江蘇省成為國內發(fā)送釣魚郵件最多的省級行政區(qū)，有17.8%的釣魚郵件來自香港的郵箱；江蘇的釣魚郵件活動依舊活躍，有約14.9%的釣魚郵件來自江蘇；另有約9.6%的釣魚郵件來自廣東。國內釣魚郵件發(fā)送源發(fā)送釣魚郵件數量Top10省級行政區(qū)分布如下圖所示：從收到釣魚郵件的受害者服務器所在地來看，北京用戶收到的釣魚郵件最多，有24.7%的釣魚郵件被發(fā)送至北京的企業(yè)郵箱用戶；另有約15.3%的釣魚郵件被發(fā)送給廣東用戶；約13.9%的釣魚郵件被發(fā)送給上海用戶。2024年國內釣魚郵件受害者數量Top10省級行政區(qū)分布如下圖所示：國內釣魚郵件受害者所在行業(yè)也比較集中，排名前十的行業(yè)收到的釣魚郵件數量，占釣魚郵件總數的75.3%。其中，工業(yè)制造行業(yè)排名第一，約占釣魚郵件總數的23.6%；教育培訓排名第二，約占12.7%；排名第三的行業(yè)為交通運輸，占10.8%。具體Top10行業(yè)排名如下圖所示。從主題分布榜單分析，當前釣魚郵件攻擊呈現(xiàn)兩個顯著特征：一是以系統(tǒng)通知類主題為主導誘騙方式，通過模仿正規(guī)郵件系統(tǒng)的服務提醒實施定向欺詐；二是日文語言類釣魚郵件數量呈現(xiàn)爆發(fā)式增長，顯示攻擊者正針對特定語言群體進行精準化滲透。從具體內容來看，2024年流行的釣魚郵件主要有8種類型，分別是：補貼/退稅、升級/擴容、身份驗證/備案、銀行卡信息詐騙、虛假發(fā)票、冒充詢盤、虛假快遞、系統(tǒng)退信。其中，補貼/退稅類釣魚郵件數量最多，占比約為32.1%；其次是升級/擴容類釣魚郵件，占比約為25.0%；身份驗證/備案類釣魚郵件排第三，占比約為15.6%。Top3之和占到了所有釣魚郵件總量的72.7%。具體分布，詳見下圖。下面將對2024年流行的釣魚郵件類型做詳細說明并舉例。1.補貼/退稅這是一類專門冒充國家有關部門或公司人力資源部門，打著給員工發(fā)放補貼、辦理退稅等借口，誘騙企業(yè)員工登錄釣魚網站，以騙取受害人個人信息的釣魚郵件。下面幾圖是此類釣魚郵件的真實案例。CACTERcoreCACTER2.升級/擴容這是一類專門以系統(tǒng)升級或系統(tǒng)擴容等理由，誘騙受害者在釣魚網站上登錄，從而盜取受害者賬號、口令等信息的釣魚郵件。下面幾圖是此類釣魚郵件的真實案例。CACTERcoreCACTER3.身份驗證/備案這是一類專門誘騙受害者在虛假的釣魚網站上，進行身份驗證或身份備案的釣魚郵件，目的是盜取受害者的賬號、口令和個人信息。此類郵件誘騙受害者的理由多種多樣，最為常見的是以保護郵件系統(tǒng)安全性為由要求用戶進行身份驗證/備案，具體理由包括但不限于離職員工郵箱管理、賬號密碼重置、異常登錄通知等。下面幾圖是此類釣魚郵件的真實案例。CACTERcoreCACTER4.銀行卡信息詐騙這是一類冒充銀行或者支付平臺，以銀行卡信息需要驗證、支付功能故障、信用卡到期等為借口，誘導收件用戶進入釣魚鏈接，以騙取受害人個人信息及錢財的釣魚郵件。下面幾圖是此類釣魚郵件的真實案例。CACTERcoreCACTER5.虛假發(fā)票這是一類專門通過發(fā)送虛假發(fā)票信息，誘騙受害者下載電子發(fā)票，從而盜取受害者個人信息和公司財務信息的釣魚郵件。其中，還有部分此類郵件誘導受害下載的所謂電子發(fā)票，實際上是木馬、病毒等惡意程序。需要說明的是，由于電子發(fā)票目前在生活、工作中的應用非常廣泛，所以不論是單位或個人，收到電子發(fā)票相關的郵件，一般都不會感到意外，下載發(fā)票或點開附件都是常事。但如果總是習慣性地忽視正常發(fā)票郵件中可能夾雜的釣魚郵件，就有可能給個人或企業(yè)造成重大的損失。下面幾圖是此類釣魚郵件的真實案例。CACTERcoreCACTERcoremailCACTER6.虛假快遞這是一類專門冒充快遞公司，以結算、包裹等名義發(fā)出的釣魚郵件。此類郵件或者是夾帶惡意附件，或者是通過釣魚網站鏈接盜取受害者個人信息。下圖是此類釣魚郵件的真實案例。CACTERcoreCACTER7.其他詐騙郵件除了上述最為典型的6種釣魚郵件外，2024年，還有其他很多不同類型的詐騙郵件出現(xiàn)。不過由于整體數量不大，這里不再做詳細分類，只是把一些典型案例做個舉例。下圖是聲稱你侵權需要你在線申訴的釣魚郵件。下圖是一封冒充績效報告誘導點擊的釣魚郵件。CACTERcoreCACTER下圖是冒充律師事務所，發(fā)送虛假律師函件的釣魚郵件。coremailCACTER第四章帶毒郵件形勢分析根據Coremail郵件安全人工智能實驗室與奇安信行業(yè)安全研究中心聯(lián)合監(jiān)測評估，2024年，全國企業(yè)級用戶共收到約444.6億封帶毒郵件，相比2023年收到的452.3億封帶毒郵件相比，同比減少了1.7%。2024年企業(yè)級用戶收到的帶毒郵件量約占用戶收發(fā)郵件總量的5.4%。平均每天約有1.2億封帶毒郵件被發(fā)出和接收。Coremail郵件安全人工智能實驗室與奇安信行業(yè)安全研究中心對帶毒郵件的發(fā)送源頭進行了分析。據統(tǒng)計，帶毒郵件的發(fā)送者多集中于北美洲與歐亞。其中，來自美國的帶毒郵件最多占全球帶毒郵件的28.2%；荷蘭排名第二，占18%；保加利亞排名第三，占6.1%。最近三年針對國內企業(yè)級用戶發(fā)送帶毒郵件的發(fā)送源全球分布及占比情況如下表所示。表3歷年帶毒郵件發(fā)送源國別歸屬排行Top5（按照帶毒郵件數量統(tǒng)計）2022年2023年2024年排名1美國22.40%美國23.70%美國28.20%2保加利亞10.90%匈牙利18.50%荷蘭18.00%39.30%俄羅斯7.00%保加利亞6.10%4匈牙利3.80%德國3.70%英國4.80%5俄羅斯3.20%3.10%土耳其2.90%其他50.40%其他44.00%其他40.10%對比過去三年的情況可以發(fā)現(xiàn)，美國始終是全球最大的帶毒郵件發(fā)源地。而中國服務商對于帶毒郵件的治理則有顯著成效，帶毒郵件發(fā)送量從2021年的占比20.8%，連續(xù)數年大幅下降至2024年的2.6%，排名下降至第七。這也表明，在郵件反病毒領域，國內各大郵件服務商已取得重大進展。從收到帶毒郵件的受害者服務器所在地來看，2024年北京用戶收到的帶毒郵件最多，全國占比高達33.6%的帶毒郵件；其次為廣東，全國占比14.6%；上海排名第三，全國占比12.9%。下圖給出了國內企業(yè)郵箱用戶中帶毒郵件受害者的省級行政區(qū)分布Top10。國內帶毒郵件受害者所在行業(yè)也比較集中，排名前十的行業(yè)收到的帶毒郵件數量，占帶毒郵件總數的78.2%。其中，工業(yè)制造行業(yè)排名第一，約占帶毒郵件總數的20.2%；教育培訓排名第二，約占15.3%；排名第三的行業(yè)為交通運輸，占12.9%。具體Top10行業(yè)排名如下圖所示。通過對帶毒郵件附件文件的后綴分析發(fā)現(xiàn)，.rar和.zip兩種壓縮格式最為常見，占比分別為24.7%和13.5%。.gz、.tar和.7z分列第三到第五位。在排名Top5的后綴名中，4個都是壓縮文件格式。由此可見，壓縮包是郵件攻擊者最喜歡使用的病毒隱藏方式。不過，隨著郵件反病毒技術的日益成熟，一般的壓縮技術已經不能阻礙郵件反病毒引擎的查殺。CACTERcoreCACTER第五章電子郵箱賬號安全盜號，是電子郵箱賬號安全的主要問題。根據Coremail郵件安全人工智能實驗室與奇安信行業(yè)安全研究中心的聯(lián)合監(jiān)測顯示：2024年，國內電子郵箱賬號被盜規(guī)模高達1074萬個，占全年活躍郵箱賬號總量的5.37%。從過去幾年的總體情況來看，郵箱盜號問題仍在持續(xù)加?。?024年國內企業(yè)郵箱賬號被盜總量是2020年的近2.3倍；被盜賬號數量在當年活躍郵箱賬號中的占比也從2.97%猛增到5.37%。郵箱賬號安全管理問題亟待加強。暴力破解是郵箱盜號最主要的手段，占到2024年郵箱異常登錄行為檢出總量的53.7%。從歷年趨勢來看，盡管暴力破解活動在所有異常登錄行為中的占比逐年下降，從2020年的56.6%逐步下降至2023年的53.1%，在2024年又小幅增長到53.7%，過去5年的占比始終保持在50%以上。這也就意味著：“防爆破”目前仍然是電子郵箱賬號安全的最大威脅。嚴格禁止弱口令，采取有效的防爆破措施，對于電子郵件系統(tǒng)來說非常重要。郵箱盜號問題帶來的一個直接影響，就是垃圾郵件、釣魚郵件、帶毒郵件數量的增加。統(tǒng)計顯示，自2020年以來，利用被盜號的郵箱發(fā)送垃圾郵件的活動就一直非?；钴S。2022年高峰時期，由被盜號的電子郵箱發(fā)出的垃圾郵件，曾一度占到國內企業(yè)郵箱收到的所有垃圾郵件的31.6%。2024年雖然比例有所下降，但占比也高達26.2%，共計約822.5億封。除此之外，郵箱賬號被盜，還會引發(fā)商業(yè)機密泄露、商業(yè)郵件詐騙等風險發(fā)生。2024年最新相關案例將在“第六章郵件攻擊典型案例”中進行介紹。2024年郵箱盜號攻擊頻發(fā)，為此Coremail對黑產盜號行為進行了專項研究。盜號測試信是黑產在盜取郵箱賬號后發(fā)送的測試性郵件，一些黑產在使用腳本爆破賬號成功后，會發(fā)送一封測試信到自己的郵箱，測試信通常會帶有用戶名、密碼、登錄地址等。其目的，一是測試郵箱能否對外發(fā)信，二是在大規(guī)模賬號破解時便于收集賬號信息。一個典型的盜號測試信內容如下：2024年Q4，Coremail郵件安全人工智能實驗室共監(jiān)測到盜號測試信12833封，涉及受害郵箱賬號3746個，受害域名1048個，攻擊者使用的郵箱933個，黑產使用的IP6524個。（一）黑產盜號攻擊綜述Coremail郵件安全人工智能實驗室經過長期在郵件安全領域與黑產攻防對抗發(fā)現(xiàn)，目前郵箱賬號盜取已形成了專門的黑色產業(yè)，從事郵箱盜號的黑產團伙已經掌握了專業(yè)工具和大量的IP資源池，同時分工合作形成了產業(yè)鏈。（二）黑產盜號使用的口令2024年Q4監(jiān)測到盜號測試信涉及的被盜郵箱賬號共3746個，針對包含口令信息的3156個樣本，我們分析了被盜賬號使用的口令特征。被盜賬號使用的口令主要分為以下三類：qwer@1234、asd123。常見弱口令導致被盜的賬號占比已經非常小。2.使用用戶名根據特定規(guī)則構造（重要此類口令并非常見的弱口令，甚至可能符合強口令復雜度要求，但是這類口令具有特定特征，攻擊者很容易構造出此類口令。例如：姓名縮寫@123456、姓名全拼2024、企業(yè)英文名稱888。3.其他規(guī)則口令：此類口令無特定規(guī)律，攻擊者無法通過郵箱賬號等要素來構造。因此判斷用戶被釣魚泄露，或者口令在社工庫中泄露。CACTERcoreCACTER使用特定規(guī)則的口令已經成為賬號被黑產盜取的主要原因，其占比高達73.2%。黑產根據郵箱賬號進行變形，構造暴力破解的口令字典?？诹顦嬙旎窘Y構有三種：“賬號名變形”+“常用數字組合”、“賬號名變形”+“@”+“常用數字組合”、“賬號名變形”+“常用數字組合”+“！”1.賬號名變形：包括郵箱賬號名、姓名縮寫、姓名縮寫大寫、姓名縮寫首字母大寫、郵箱域名。2.特殊字符：@通常在中間通常在結尾。3.常用數字組合：包括常見數字串12345、123、123456和年份2025、2024等。假設爆破目標賬號為lihua@，則根據黑產常用規(guī)則，將構造口令字典如下：lihua@123、lihua@123456、lihua@2024、lh@123、Lh1234、coremail23456、Lh1234!等。如果用戶規(guī)避掉上述口令構造方式，可以大幅提升賬號安全性。（三）黑產盜取賬號使用的工具本次監(jiān)測到的黑產使用的暴力破解工具主要包括“smtpcracker”“SMTPCracker”“MadCatsmtp-Checker”等開源工具，非開源工具主要包括“sanmaoMailCracker.exe”“SMTPTESTERALLINONE”。黑產使用最多的smtp暴力破解工具是sanmaoMailCracker，占比高達54.9%。使用該工具的黑產團伙通常使用國內代理IP和國內收信域名，代理IP集中于江蘇、湖北、遼寧三個省。推測該工具極可能是國內郵件盜號黑產最主要的暴力破解工具。（四）黑產盜取賬號使用的IP分布針對2024年Q4盜號測試信使用的IP分布進行分析。其中6749次攻擊記錄來自國內，6084次攻擊記錄來自國外。CACTERcoreCACTER攻擊IP共分布在多達2950個C段，在整個Q4平均每個C段用于發(fā)送盜號測試信僅4.35次！這說明黑產已經掌握了大量的IP池資源。同時，針對IP和C段的封禁策略針對當前的黑產資源規(guī)模已經難以奏效。（五）結論通過對2024年Q4黑產盜號測試信的研究得出以下關鍵結論：1.目前郵箱賬號盜取已形成了專門的黑色產業(yè)，盜號測試信是黑產盜取賬號成功的重要標志；2.黑產暴力破解使用的口令字典，大部分通過目標郵箱賬號名變形生成，其他占比達到73.2%。黑產構造口令常用的規(guī)則為：“賬號名變形”+“常用數字組合”、“賬號名變形”+“@”+“常用數字組合”、“賬號名變形”+“常用數字組合”+“！”,用戶如果規(guī)避掉這種口令規(guī)則可以大幅降低賬號被暴力破解的風險。coremailCACTER3.黑產暴力破解最常使用的工具為sanmaoSmtpCracker.exe，占54.9%，同時該工具應為國內黑產使用的最主要暴力破解工具。4.黑產暴力破解使用的IP國內和國外數量接近。黑產國內IP資源呈現(xiàn)明顯的地區(qū)聚集性，集中于江蘇、湖北遼寧三個省份，其中江蘇省達45.8%。CACTERcoreCACTER第六章郵件攻擊典型案例本章主要介紹2024年，各種流行的郵件攻擊典型案例，并結合案例實際情況，給出鑒別相關郵件真?zhèn)蔚姆椒鞍踩ㄗh。2024年11月某企業(yè)員工小李收到了一封關于“五險一金補貼資格認證”的郵件。郵件的附件是一張圖片，內容看起來是非常正式的政府通知?？吹絿胰松绮康臉祟}和備案信息，小李沒有再懷疑，非常高興地掃描二維碼。coremailCACTER掃碼后，小李根據指引，填入了自己收款的銀行卡信息、姓名、身份證號、手機號、支付密碼，并且根據指引進行短信驗證碼的認證。完成一系列操作后，小李非常開心地等待著收款。然而很快，他卻收到通知，發(fā)現(xiàn)自己銀行卡的余額居然被轉走了！小李這才意識到原來這是一封詐騙郵件，他追悔莫及。原來小李在掃碼后進入了釣魚網站，已經將自己在銀行預留的全部驗證信息都泄露給了騙子，甚至幫助騙子完成了短信認證！2024年以補貼、報稅、年終獎等主題的二維碼詐騙類郵件依然大行其道。這種攻擊手法自2021年起就一直處于持續(xù)流行狀態(tài)。2024年，此類釣魚郵件已經成為數量最多危害最大的釣魚郵件。此類郵件大多打著人力資源部或財政部的名義發(fā)放“補貼”，只不過掃碼之后的釣魚網站大多都會套取身份信息和銀行卡信息。騙子們在獲得關鍵信息后，就會開始盜刷網銀，并誘騙受害者在釣魚頁面上填寫驗證碼，從而完成盜刷轉賬活動。2024年此詐騙郵件出現(xiàn)了非常多的變種，一些詐騙郵件采用了加密，并將密碼標注在了標題中，解密后才能看到通知內容；一些詐騙郵件將“補貼通知”包含在圖片中；還有一些郵件中附帶超鏈接，點擊超鏈接進入的網站有“補貼通知”和二維碼。由于這些變種對通知正文進行了各種隱藏，因此沒有專業(yè)的郵件安全網關設備的情況下很難有效對其進行識別和攔截。以下是一些此類詐騙郵件的變種。CACTERcoreCACTER雖然此類詐騙手法狡猾多變，但也是有明顯的特征的，只要掌握識別方法，還是可以通過“肉眼”輕松識破的。以下幾點可以參考。鑒別方法1.任何國家部委機關都不可能直接給普通的個人郵箱發(fā)送郵件。所以，來自任何國家機關的“廣告式”郵件一定都是詐騙。2.人社部從未通過郵件發(fā)放過任何補貼，任何以人社部、財務部為名義的涉及補貼的CACTERcoreCACTER郵件都是詐騙。3.任何政府通知、人力資源部通知都不會使用加密的方式發(fā)送。4.需要同時輸入銀行卡號、銀行卡密碼、短信驗證碼的除網上銀行以外的頁面都是詐騙網站。2024年11月某知名制造業(yè)公司員工小王在垃圾郵件箱中發(fā)現(xiàn)了一封“備案升級通知”。為了確保郵箱正常使用，他立即點擊鏈接，輸入了賬號和密碼進行“備案”。第二天郵件管理員通知小王，他的郵箱在異常地點登錄，并且對外發(fā)送了大量的垃圾郵件。管理員已經將他的郵箱鎖定。鑒別方法以系統(tǒng)升級、擴容、備案為話題的釣魚郵件是最為常見的類型。對于此類郵件可以使用以下方法鑒別：1.系統(tǒng)通知郵件認清發(fā)信人域名在收到各類“系統(tǒng)通知”時，注意認清發(fā)信人域名，辦公系統(tǒng)和管理員不可能使用外部域名發(fā)送通知。CACTERcoreCACTER2.備案、升級等都是釣魚話術但凡使用郵箱備案、安全升級、郵箱搬家、幽靈賬號（長期無人使用的賬號）清理等借口，要求用戶通過指定鏈接進行登錄的，全部都是釣魚郵件。正常情況下，IT部門或網絡安全部門只會要求員工正常登錄自己的郵箱系統(tǒng)后再進行安全操作或升級操作。3.垃圾郵件箱中郵件的處理應格外謹慎2024年有多起案例是由于員工查看垃圾箱中的釣魚郵件導致。對于垃圾箱郵件的處理一定要格外小心，不要點擊其中的任何鏈接，不要下載其中的任何附件。2024年12月某知名IT企業(yè)員工小張突然收到一封“郵件異常登錄提醒”，郵件顯示他的郵箱幾天前在一個加拿大的IP被異常登錄。小張心中一驚，難道自己的賬號被盜了？于是他立即點擊鏈接，對賬號進行了“安全認證”。然而第二天小張發(fā)現(xiàn)自己的郵箱已經無法登錄，于是聯(lián)系了郵箱管理員。管理員排查日志，發(fā)現(xiàn)他的賬號在前一天晚上被異常登錄并修改了口令。原來所謂的“安全認證”才是口令泄露的罪魁禍首。鑒別方法CACTERcoreCACTER企業(yè)防范郵箱盜號最好的方法還是部署雙因子認證。不過，對于撒網式釣魚郵件，也還是可以通過一些安全意識提升來進行防范的。1.系統(tǒng)通知、安全提醒類郵件認清發(fā)信人域名在收到各類“系統(tǒng)通知”時，注意認清發(fā)信人域名，辦公系統(tǒng)和管理員不可能使用外部域名發(fā)送通知。2.認證不可能在外部網站進行任何系統(tǒng)的安全認證不可能在外部網站進行，識別所謂“安全網站”的域名可以規(guī)避大部分釣魚網站。3.系統(tǒng)安全機制只會要求重置口令而不會要求“認證”郵箱系統(tǒng)對于異常登錄的賬號，要么會直接進行鎖定，要么會要求重置口令，但不會要求用戶輸入口令進行“認證”。因此以賬號異常登錄需要認證為主題的郵件都是釣魚郵件。翻譯為中文后內容是：感謝您使用AEON銀行。我們需要確認是否為您本人進行的交易，因此我們暫時限制了您的部分卡片使用，并與您聯(lián)系進行確認。請通過以下鏈接進行訪問，并協(xié)助我們確認卡片的使用情況。對于給您帶來的不便和擔憂，我們深感抱歉。coremailCACTER鑒別方法沒有辦理過日本銀行卡業(yè)務的用戶自然不會收到此類釣魚郵件威脅，但是由于釣魚郵件數量龐大，部分真的有辦理日本銀行卡業(yè)務的用戶可以用以下方法鑒別：1.認清發(fā)信人域名所有銀行都只會用官方域名的郵箱聯(lián)系自己的用戶。非官方域名發(fā)送的“銀行郵件”一定是釣魚郵件；2.認清鏈接的域名銀行都在官網以外的網站要求用戶進行賬戶安全認證，因此仔細辨別鏈接的域名是否為銀行官方網站即可識別是否是釣魚。CACTERcoreCACTER第七章郵件風險趨勢分析章將主要對2024年郵件安全風險形勢中的一些新特點，以及未來的發(fā)展變化趨勢展開分析。2024年2月底，GuardioLabs的安全研究人員披露了一個名為“SubdoMailing”的惡意郵件攻擊組織發(fā)動的大規(guī)模廣告欺詐活動。該組織使用8000多個“合法”的互聯(lián)網域名、1.3萬個子域名和2.2萬個獨立IP，大量發(fā)送垃圾郵件，平均每天發(fā)送量高達500萬封，用于詐騙和惡意廣告盈利。該組織的攻擊活動自2022年開始，一直持續(xù)至今。所謂域名，是指互聯(lián)網上用于標識和定位網站的唯一名稱，通常由一串用點分隔的字符組成。很多大型機構和大型企業(yè)，都會注冊幾十個乃至上百個網站域名用于經營活動或域名儲備。一般來說，每個域名都需要定期進行重新注冊，并繳納一定的費用。如果域名持有者放棄連續(xù)注冊，域名就會被釋放出來，可以被其他用戶重新注冊。而攻擊組織SubdoMailing就是利用了這一機制，對于知名品牌企業(yè)曾經使用，但不再持續(xù)注冊的域名進行惡意搶注，之后再以這些域名作為郵箱后綴名，注冊郵箱地址，綁定惡意服務器IP，對外發(fā)送垃圾郵件或欺詐郵件。由于很多郵件防火墻或郵件防護系統(tǒng)都會將一些知名大品牌企業(yè)的郵箱后綴名（域名）加入白名單，因此，以攻擊者惡意搶注域名做后綴的郵箱系統(tǒng)發(fā)出的郵件，就很有可能被郵件防火墻或郵件防護系統(tǒng)無條件放行。根據GuardioLabs發(fā)布的研究報告顯示，域名遭到SubdoMailing組織劫持的企業(yè)中包括大量知名品牌，例如MSN、VMware、McAfee、經濟學人、康奈爾大學、哥倫比亞廣播公司、NYC.gov、普華永道、培生、聯(lián)合國兒童基金會、美國公民自由聯(lián)盟、賽門鐵克、J、Marvel和易趣等。域名劫持技術也被廣泛應用于釣魚網站攻擊。從SubdoMailing組織的活動來看，域名劫持對于惡意郵件投放也十分有效。預計未來幾年內，此類攻擊還有可能愈演愈烈。企業(yè)想要減少此類攻擊造成的損害，應當在郵件防護系統(tǒng)中謹慎設置郵箱域名的白名單。以往，郵件系統(tǒng)在APT組織活動中的作用主要是被攻擊者用來發(fā)送魚叉郵件，即通過定向發(fā)送帶有惡意內容、惡意鏈接或惡意附件的郵件，實現(xiàn)對目標人郵箱的盜號或對目標人終端設備的控制。而2024年發(fā)生的多起APT攻擊事件則表明，越來越多的APT組織開始將郵件系統(tǒng)本身作為攻擊目標，批量盜取郵件系統(tǒng)中的數據資料，并通過對供應鏈企業(yè)郵件服務系統(tǒng)的控制，間接入侵目標機構。最為典型的案例是2024年8月發(fā)生的英國內政部遭網絡攻擊事件。據媒體報道，被認為是來自俄羅斯APT組織，侵入了英國內政部系統(tǒng)，盜取了內部電子郵件和個人數據。此前，同一攻擊組織突入了微軟公司的郵件系統(tǒng)，并利用微軟郵件系統(tǒng)中的某些特殊權限，進一步入侵和破壞了微軟的多個客戶系統(tǒng)。由于微軟公司也在為英國內政部提供企業(yè)系統(tǒng)，所以，安全專家分析認為，英國內政部遭遇的攻擊事件很可能與微軟郵件系統(tǒng)遭攻擊事件存在內在CACTERcoreCACTER關聯(lián)。無獨有偶，2024年卡巴斯基披露了疑似TheMask組織針對拉丁美洲的攻擊行動。攻擊WorldClient組件添加惡意擴展DLL文件，實現(xiàn)在目標網絡中的持久化，并進一步向目標系統(tǒng)植入FakeHMP木馬，從而實現(xiàn)文件檢索、鍵盤記錄、截屏以及部署更多有效載荷的攻擊目的。此外，2024年，奇安信威脅情報中心在日常的威脅監(jiān)控中，也發(fā)現(xiàn)多起攻擊者利用國內某些郵箱系統(tǒng)的0day漏洞，針對國內重點單位，竊取目標單位的核心數據的攻擊事件。2024年，兩起從郵件攻擊開始的巨額商業(yè)詐騙事件引起了業(yè)界的高度關注。在這兩起事件中，一家印度公司被騙5.2億盧比（約合人民幣4500萬元），一家中國香港的跨國公司被騙2億港幣。惡意郵件正在成為通往巨額商業(yè)詐騙的高速公路。2024年初，印度制藥巨頭阿爾肯實驗室（AlkemLaboratories）被證實發(fā)生一起網絡欺詐事件，導致其旗下一家子公司向欺詐分子轉賬5.2億盧比（約合人民幣4500萬元）。據阿爾肯實驗室透露，欺詐分子入侵了其子公司部分員工的業(yè)務電子郵箱賬號，并最終導致欺詐事件的發(fā)生。不過，阿爾肯實驗室堅稱，欺詐行為與當事人、董事或員工的任何內部不當行為無關。同樣是在2024年初，中國香港一家跨國公司也發(fā)生了一起令人瞠目結舌的商業(yè)詐騙事件。該公司某員工先是收到了一封仿冒英國總部CFO的郵件，稱總部正在計劃一個秘密交易，需要將公司資金轉到幾個香港本地賬戶中。該員工一開始認為這是釣魚郵件，未予理會。但是騙子反復發(fā)郵件強調項目重要性，使該員工的想法發(fā)生了動搖。隨后，騙子給該員工撥打了一個視頻電話。在視頻電話中，這位員工看到了公司的CFO和他認識的幾位同事。騙子還要求該員工進行自我介紹會。然后，視頻會議中的英國領導要求他趕快轉賬，之后就突然中斷了視頻。于是，信以為真的員工分15次向5個香港本地賬戶陸續(xù)匯款2億港幣。直到事發(fā)5天后該員工向領導核實此事，才發(fā)現(xiàn)被騙，如夢初醒。盡管在這起事件中，使用AI生成換臉仿冒視頻起到了至關重要的作用，但前期以內部郵件形式發(fā)出的虛假的項目說明，也起到了很大的迷惑和鋪墊作用。由郵件安全事件帶來的商業(yè)風險正在顯著提升。四、生成式AI成釣魚郵件內容重要生產者以DeepSeek為代表的新一代大模型技術加速了生成式AI的普及，卻也被惡意分子利用成為“新型武器”，成為各類惡意郵件的重要生產者，生成式AI正以每分鐘數萬封AI生成的惡意郵件突破傳統(tǒng)郵件防御體系。首先，越來越多的攻擊者正在使用生成式AI，更加快速地制作更有針對性的惡意郵件文案內容。盡管目前還沒有實際案例表明AI編寫的惡意郵件比詐騙分子人工編寫的惡意郵件更具欺騙性，但由AI生成文案的速度，顯然要比人工快得多，且平均質量有所保證，從coremailCACTER而可以大大提升攻擊者的攻擊效率。第二，某些帶毒郵件的惡意附件，疑似是使用生成式AI編寫而成的。部分惡意樣本還具有明顯的快速變異和免殺能力，這些都符合生成式AI編寫惡意程序的一些特征，這也給帶毒郵件的識別和檢測帶來了巨大的挑戰(zhàn)。除了生成內容之外，監(jiān)測顯示，已經有越來越多的郵件攻擊者，開始采用AI技術進行自動化的郵件攻擊，主要體現(xiàn)在目標人群選擇、投放策略制定和口令爆破攻擊等方面。CACTERcoreCACTER附件1CACTER郵件安全品牌CACTER郵件安全是由Coremail孵化的獨立品牌，隸屬于廣東盈世計算機科技有限公司。憑借26年的反垃圾反釣魚技術沉淀，CACTER致力于提供一站式郵件安全解決方案。產品涵蓋CACTER郵件安全網關V7.0、大模型郵件安全網關V7.0、CAC2.0反釣魚防盜號、安全海外中繼、郵件數據防泄露EDLP、安全管理中心SMC2、EmailWebriskAPI、重保服務、反釣魚演練等。CACTER的核心技術依托自研國產反垃圾引擎和國內頭部企業(yè)級郵件安全大數據中心，擁有多項發(fā)明專利與軟件著作權，與中國科學院成立郵件安全AI實驗室，并與清華大學、奇安信、網易等國內權威機構持續(xù)開展前沿研究與合作，為客戶提供從建立安全意識到數據保護的多層次郵件安全防護，為各領域提供更加安全、高效、自主可控的郵件安全解決方案?？蛻艉w國務院新聞辦公室、國家科技部、國家財政部、中科院、清華大學、北京大學、人民銀行、華潤集團等。lCACTER郵件安全網關：基于神經網絡平臺NERVE2.0惡意郵件檢測能力，對垃圾郵件、釣魚郵件、病毒郵件、BEC詐騙郵件等惡意郵件進行全方位檢測攔截；反垃圾郵件過濾準確率高達99.8%，誤判率低于0.02%。l安全海外中繼：依托全球優(yōu)質中繼服務器，智能選擇最優(yōu)質通道進行投遞和接收，融合反垃圾網關技術，保障海外交流安全通暢。l郵件數據防泄露系統(tǒng)EDLP：基于深度內容識別技術，對敏感數據通過郵件系統(tǒng)外發(fā)的行為，提供事后審計和提醒，以及事中審批和攔截，保障企業(yè)數據安全。l安全管理中心SMC2：郵件系統(tǒng)專屬安全管家，支持監(jiān)測失陷賬號、網絡攻擊、主機威脅，擁有郵件審計、用戶行為審計、用戶威脅行為分析等能力，并提供賬號鎖定、IP加黑、郵件召回、告警等處置手段。官方網站：服務熱線：400-000-8664、400-000-1631微信公眾號：CACTER郵件安全CACTERcoreCACTER附件2CACTER郵件安全網關CACTER郵件安全網關V7.0基于自主研發(fā)神經網絡平臺Nerve2.0惡意郵件檢測能力，實時攔截垃圾廣告、釣魚郵件、病毒郵件、BEC詐騙郵件等，反垃圾準確率高達99.8%，支持幾乎所有郵箱系統(tǒng)包含Exchange、Microsoft365、網易企業(yè)郵箱、Coremail，Eyou，安寧，139，Winmail等，為企業(yè)郵件通信保駕護航。l獨家域內安全解決方案針對用戶賬號被盜后、“域內互發(fā)”垃圾釣魚郵件等場景，獨家域內安全解決方案支持域內垃圾郵件過濾檢測、域內發(fā)信行為管控和告警，確保釣魚郵件、病毒郵件、垃圾郵件精準攔截，異常發(fā)信行為及時發(fā)現(xiàn)，以保障郵件系統(tǒng)不受惡意郵件威脅。l檢測能力實時更新?lián)碛袊鴥阮^部的企業(yè)級郵件安全數據中心，基于數億惡意郵件樣本，通過部署百萬探針郵箱搜集惡意郵件數據，實時更新郵件檢測引擎規(guī)則，為客戶提供最新郵件防護技術和能力。l惡意鏈接安全防護可開啟惡意鏈接保護功能，對投往郵件系統(tǒng)的每一封郵件的鏈接進行保護?；凇癠RL情報”的靜態(tài)檢測以及“遠程瀏覽器隔離”技術實時動態(tài)檢測首次過濾+二次檢測防護，事前攔截、事中提醒、事后追溯結合。coremailCACTERl附件全方位查殺與Coremail與頂尖反病毒廠商合作，提供郵件附件的多級防護支持病毒庫的自動更新和實時升級、解密加密附件，對文檔型附件拆解及深入檢測；采用附件全方位查殺云沙箱技術，在隔離環(huán)境中自動化檢測附件中的惡意代碼和可執(zhí)行文件，有效識別并隔離高級威脅。l高級威脅郵件事后處置方案與Coremail郵件系統(tǒng)深度聯(lián)動，當新型高級威脅郵件繞過反垃圾反釣魚反病毒引擎檢查，甚至是云沙箱檢測，成功投遞至郵件系統(tǒng)無法撤回時，CACTER郵件安全網關可基于Coremail郵件安全大數據中心的惡意威脅情報，對投遞到郵件系統(tǒng)的高級惡意威脅郵件自動召回，提高高級惡意威脅郵件處置時效性，守護郵箱系統(tǒng)安全最后一道防線。2025年，CACTER大模型郵件安全網關基于大模型技術突破傳統(tǒng)網關局限，精準攔截高級惡意威脅。創(chuàng)新推出三大核心模塊：高管保護方案（定向防御核心人員的惡意攻擊）、大模型URL沙箱（智能檢測新型惡意鏈接）、AI統(tǒng)計報告（深度解析郵件惡意數據，提出郵件防控策略）。在提升反垃圾/反釣魚/反病毒能力的同時，降低運維成本，適配企業(yè)多樣化安全需求。l新增能力模塊－高管保護AI深度語義威脅識別，及時攔截針對企業(yè)核心人員發(fā)起的新型惡意攻擊：檢測混淆文本類惡意郵件、罕見惡意后綴附件檢測；基于意圖理解的高級威脅二次篩查（從垃圾郵件中捕獲新型攻擊）；多語種支持：提升小語種惡意郵件檢出率；數據可視化統(tǒng)計：全局統(tǒng)計防護高管用戶的異常郵件總量；個體追蹤單高管用戶異常郵件明細分析。l新增大模型URL沙箱實現(xiàn)AI賦能的動態(tài)防御，通過AI驅動意圖級行為追蹤、多模態(tài)分析驗證識破偽裝，提升新型惡意URL檢出率，讓偽裝的釣魚鏈接無處遁形。l新增AI智能報告模塊支持AI數據分析，“自定義制作統(tǒng)計報告”和“定時推送統(tǒng)計報告”場景郵件過濾數據深度挖掘和可視化解讀；智能生成郵件安全防護策略；CACTERcoreCACTER附件3CACTER郵件數據防泄露EDLPCACTEREDLP，是獨立的網關類產品，垂直于郵件數據防泄露，是Coremail基于深度內容識別技術，根據不同安全級別