一、2022年Q1垃圾郵件宏觀態(tài)勢

　　僅就正常郵件而言，統(tǒng)計顯示，全國企業(yè)郵箱用戶在2022第一季度年共收發(fā)正常郵件僅占6億2785萬，占比48.17%。普通垃圾郵件占比44.82%，嚴重影響郵件交流。

　　根據(jù)CAC郵件安全大數(shù)據(jù)中心評估，2022 Q1全國企業(yè)郵箱用戶共收到各類垃圾郵件6.75億封，相比2021年Q4季度環(huán)比下降11.5%，但對比去年Q1同比增長17.28%。

　　根據(jù)Coremail監(jiān)測，垃圾郵件的發(fā)送者遍布全球。其中，來自境外的垃圾郵件占企業(yè)用戶收到的垃圾郵件的55.74%，向全球發(fā)送了3.76億封垃圾郵件;境內(nèi)發(fā)送占比44.2%，向全球發(fā)送了2.99億封垃圾郵件。

　　二、2022年Q1釣魚郵件宏觀態(tài)勢

　　2022年第一季度的釣魚郵件數(shù)量環(huán)比增長10.74%。2021年至今，釣魚郵件發(fā)送數(shù)量持續(xù)增長，相較去年同期增長甚至高達81.31%，釣魚郵件攻擊已成為目前郵件系統(tǒng)的主要威脅之一。

　　第一季度的釣魚郵件發(fā)送源81.68%來自境外，高達4952.5萬。境內(nèi)發(fā)送僅占比18.32%，只發(fā)送了1110.6萬封釣魚郵件。

　　三、釣魚攻擊IP歸屬地分析

　　從釣魚攻擊IP發(fā)送源分析，整個Q1季度，來自美國的攻擊IP來源始終保持，合計攻擊次數(shù)高達408萬。其余區(qū)域排名存在波動，總體而言，越來越多的釣魚郵件正在被發(fā)送給企業(yè)郵箱。

　　2022年Q1企業(yè)用戶收到的釣魚郵件量約占用戶收發(fā)郵件總量的4.65%。平均每天約有67萬封釣魚郵件被發(fā)出和接收。

　　四、暴力破解IP歸屬地分析

　　目前全球網(wǎng)絡環(huán)境錯綜復雜，企業(yè)郵箱面對的威脅同等嚴峻，原通過“反垃圾郵件”進行單一的郵件安全保護，已經(jīng)難以應對。

　　為此，Coremail新增監(jiān)測“郵箱賬號暴力破解監(jiān)測與防護，加強對賬號安全的保護，根據(jù)大數(shù)據(jù)中心監(jiān)測，2022年Q1季度，境外暴力破解IP主要來源于美國，俄羅斯以及印度。

　　IP來自國內(nèi)的暴力破解次數(shù)持續(xù)上漲，3月環(huán)比增幅高達157%，3月主要集中地區(qū)是江蘇，安徽，福建和江西。

　　五、工資補貼型釣魚郵件溯源

　　1、概述

　　Q1 CAC郵件安全大數(shù)據(jù)中心&中睿天下郵件安全響應中心監(jiān)測到一批來自黑產(chǎn)組織的釣魚郵件，主題為【工資補貼】該組織通過誘導受害者輸入敏感信息進行實時詐騙，中睿天下該郵件進行了深度溯源，該黑產(chǎn)團伙的分析報告如下。

　　1.1郵件詳情

　　該封郵件正文是工資補貼通知，在正文中放置了一張二維碼圖片，誘導收件人掃描正文中二維碼。郵件附件的內(nèi)容和郵件正文一樣，并未攜帶病毒和可執(zhí)行文件。

　　圖-郵件正文

　　2、黑產(chǎn)釣魚手法分析

　　攻擊者通過在正文和附件放置惡意二維碼，誘導收件人掃描二維碼，收件人掃描該二維碼后會跳轉(zhuǎn)到仿冒銀聯(lián)的頁面，該頁面誘導用戶輸入個人信息及銀行卡信息，所以該網(wǎng)站主要為獲取用戶姓名、身份證號、手機號和銀行卡號等信息。

　　圖-釣魚頁面

　　通過查看釣魚頁面的前端JS發(fā)現(xiàn)該頁面調(diào)用api接口，域名為api.klh****.***，查詢api域名解析IP47.5*.*.***。

　　圖-API接口

　　對此域名進行端口掃描，發(fā)現(xiàn)開啟8888端口，訪問該端口為發(fā)現(xiàn)寶塔登錄面板，由此可得出此釣魚為寶塔統(tǒng)一部署，從正面滲透進入寶塔難度極高。

　　圖-寶塔面板

　　對IP47.5*.*.***反查域名發(fā)現(xiàn)關聯(lián)200多個域名，因為運用了cname，真實綁定在此IP上的域名只有api.klh***.***和new.****.***。登錄此域名發(fā)現(xiàn)為該黑產(chǎn)組織的總后臺。

　　圖-旁站查詢

　　圖-綁定域名查詢

　　3、黑產(chǎn)網(wǎng)站功能分析

　　通過總控后臺可以發(fā)現(xiàn)有眾多的分管后臺，同時由總控后臺可以編輯分管后臺的域名跳轉(zhuǎn)、續(xù)期、受害人提取等操作方式。因此可以判斷這是一個實行分銷制的黑產(chǎn)團伙。

　　圖-總控后臺

　　用戶功能處顯示所有受害者的姓名、銀行卡號、身份證號、手機號、支付密碼、IP地址\地區(qū)、在線狀態(tài)、使用設備、操作記錄和添加時間等信息。

　　圖-受害者詳情

　　提示跳轉(zhuǎn)處是釣魚網(wǎng)站收集受害者信息頁面跳轉(zhuǎn)的規(guī)則設置。通過此頁面可以控制受害者的網(wǎng)頁跳轉(zhuǎn)階段，以及網(wǎng)頁的彈窗提示。

　　圖-訪問IP

　　黑產(chǎn)管理后臺同時可配置釣魚頁面和釣魚模板正文選擇，可以用來針對不同的受害者定向編輯模版。

　　圖-釣魚后臺系統(tǒng)配置

　　4.1 黑產(chǎn)組織架構(gòu)

　　通過對黑產(chǎn)業(yè)務的摸排，還原出黑產(chǎn)團隊的組織架構(gòu)。由主團伙負責開發(fā)和維護建站模版，使用寶塔統(tǒng)一部署。在找到分銷的下線之后，為下線部署一個管理后臺，然后將一個隨機生成的域名綁定到釣魚服務器上。

　　圖-黑產(chǎn)架構(gòu)1

　　圖-黑產(chǎn)架構(gòu)2

　　4、相似黑產(chǎn)郵件預警

　　通過對黑產(chǎn)后臺的摸排，同時還掌握了一批未經(jīng)利用的郵件釣魚模版。

　　可用于提醒員工一但收到的類似的短信或者域名請不要輸入任何的敏感信息。

　　圖1-ETC模板

　　圖2-新ETC模板