钓鱼邮件翻倍！2021年Q4企业邮箱安全报告出炉！

12月频繁出现的病毒邮件攻击以及诈骗邮件层出不穷，又该如何提升员工的防范意识？

根据CAC邮件安全大数据中心统计，2021年Q4季度中，垃圾邮件占比来源53.71%。

超过4.08亿封垃圾邮件来自境外，境内垃圾邮件来源则占46.29%，超过3.5亿封。

但是钓鱼邮件总量同比去年同期增长95.43%，邮件安全威胁的形势不容乐观。

攻击者发送带宏病毒附件的恶意邮件，受害者打开附件后计算机会被木马感染，其历史邮件、邮件通讯录信息泄露。

得到用户的历史邮件及通讯录等敏感信息后，攻击者再利用历史邮件信息构造更多的恶意邮件，通过僵尸网络发送大量的恶意邮件给域内用户，严重影响正常办公。

攻击者使用僵尸网络投递恶意邮件，使用户服务器在短时间内收到巨量恶意邮件，综合而言，此次Emotet病毒邮件攻击有以下几个特点：

(1) 信息攻击者利用历史邮件收发关系构造病毒邮件，部分邮件使用了历史邮件正文，目的是获取收件人的信任关系。

(2) 使用了大量僵尸账号、攻击IP资源，实现了发信账号、攻击IP的高频率切换，目的是绕过反钓鱼的IP限制机制。

(3) 病毒样本为宏病毒，进行了免杀处理。部分邮件通过下载链接、加密压缩等形式进一步加强免杀，目的是绕过当前反病毒的特征查杀。

根据以上的攻击规模、手法可以判断，此次emotet是一次大规模病的毒邮件攻击，攻击范围广泛，Coremail的多个客户遭受到攻击。

(5) 目前CAC云安全中心通过添加邮件特征规则、设置yara二进制特征识别规则、部署奇安信杀毒引擎并持续向奇安信反馈样本，针对性加强拦截能力。

此钓鱼邮件设计地非常粗糙，攻击者仿冒为邮件管理员，简单粗暴命令要求用户回复账号密码。

尽管十分可疑，但未接受过反钓鱼演练，意识防护低的用户无法察觉，仍会有用户如实进行回复。

发件人为admin的伪造用户，无法正常用于邮件交互。而最后需要用户回复的邮箱则为foxmail个人邮箱，用于搜集信息。攻击者使用这类免费的个人邮箱，会导致溯源工作难度增大。

（2）根据邮件内容，它规避了反钓鱼常用的URL链接检查和附件代码检查，仅使用文本进行钓鱼，增加了反钓鱼的检测难度。

（3）基于以上两点可以判断，攻击者使用特制的纯文本邮件用于诱导用户回复，反钓鱼只能通过文本指纹技术去检测，若再次收到此类钓鱼邮件，可反馈给反钓鱼厂商，用于提升钓鱼邮件文本指纹库的数据质量。

Q4季度，中睿天下通过睿眼分析监控到新型绕过钓鱼邮件，通过云检测平台不完全统计，在各大基础设施单位共发起过万次该邮件的url检测请求，目前还在持续增加中。

此邮件通过登录已失陷的账户，伪造From字段为电信的通知账户，让收件人以为该邮件是来自电信发送的验证账户的通知邮件，以此来诱骗收件人点击正文中的钓鱼链接，正文通过文本混淆的方式来绕过网关的检测。

链接访问后会获取当前用户的IP地址，攻击者以此来判断邮箱是否存活。钓鱼链接为安全系统的登录页面，诱使用户输入账户密码以及经常登录地点。

该攻击手法通过在正文中插入大量的混淆字体，并且通过将混淆字体大小font-size设置为0，使网关等设备能识别，邮件正文不显示，且只有通过十六进制转文本字符串才能还原邮件正文，目前能绕过市面上大部分邮件网关。

对多封恶意邮件源码分析，发现多个发件IP为49.85.233.229、49.84.233.227、221.225.117.169，180.107.4.66对以上IP进行分析发现均为代理秒拨，判断该组织使用代理池对多个单位批量发送钓鱼邮件。

通过用户点击正文的确认链接，跳转到网址[，该网址为钓鱼网站，模仿安全系统登录页面。

主要目的诱骗用户的账户密码，目前该组织所有钓鱼网址反查IP均为43.155.117.247，154.23.134.86，钓鱼网址为、。

邮件头分析发件IP均为国内江苏省IP，ipip打上的标签均为代理秒拨，钓鱼域名为godaddy购买，前期钓鱼域名绑定IP为43.155.117.247，腾讯云的VPS；近期发现钓鱼域名绑定IP为154.23.134.86，Cogent的VPS。

该组织前期使用VPS为腾讯云的，后期更换为国外Cogent的VPS，VPS地址均为香港，编码绕过用的中文，钓鱼目标主要为国内各大基础设施单位，推断为国内的黑产组织。返回搜狐，查看更多