2022年第二季度企业邮箱安全态势观察

日前，CAC邮件安全大数据中心（以下简称CAC中心）发布《2022年第二季度企业邮箱安全报告》，对当前企业邮箱的应用状况和安全风险进行了分析。

垃圾邮件同比上升16.55%

根据CAC中心研究发现，全国企业邮箱用户在2022第二季度年共收发正常邮件6.37亿封，占比45.7%。普通垃圾邮件收发量高达6.72亿封，占比48.2%，而色情赌博类邮件、谣言反动类邮件、钓鱼邮件数量分别为1137.4万，3413.0万，3949.0万，尽管占比较小，但社会危害性大，从业人员仍需重点关注。

图：2022 Q2 CAC 识别邮件类型分布

根据CAC中心统计，2022 Q2全国企业邮箱用户共收发各类垃圾邮件7.73亿封，环比上升14.50%，同比上升16.55%，其中，来自境外的垃圾邮件占企业用户收到的垃圾邮件的50.13%，共发送了3.88亿封垃圾邮件。

钓鱼邮件攻击环比下降34.87%

报告数据显示，2022年第二季度的钓鱼邮件数量环比下降34.87%。尽管钓鱼邮件数量有所下降，但攻击手法演变出了更多更复杂的攻击组合，尤其是引导用户扫码进入诈骗网站成为犯罪分子的新宠，这些变化都令安全从业人员面临艰巨的考验。

图：2021 Q2 -2022 Q2 CAC 识别钓鱼邮件数量

研究人员发现，通过用户反馈的钓鱼邮件样本分析，虽然发件来源是境外，但钓鱼邮件中的文本、行文规范均符合国内的中文使用习惯，且钓鱼网站也都以仿冒境内网站为主，由此说明部分攻击的真实来源应是境内，只不过攻击者使用了境外服务器做为跳板，最终导致钓鱼邮件的境外来源数量远高于境内。

钓鱼攻击IP归属地分析

从钓鱼攻击IP发送源分析，整个Q2季度，来自美国的攻击IP来源始终保持排名第一，合计攻击次数高达190.7万，是排名第二——韩国的1.32倍。

图：Q2,2022 境外钓鱼邮件攻击来源Top10国家

对比Q1季报境内IP归属地可以发现，攻击者正在使用IP池轮询的方式进行攻击，这也提醒广大安全从业人员，滞后性地添加IP黑名单很难起到理想的效果。

图：Q2,2022 钓鱼攻击来源IP归属地TOP 10(境内)

企业邮箱暴力破解问题突出

根据CAC邮件安全大数据中心监测，2022年Q2季度，Coremail共拦截了93亿4855万次暴力破解攻击。在邮箱系统盗号问题上，暴力破解是目前的突出难题。

图：2022 Q2 CAC拦截全域遭受暴力破解攻击次数

对比2022年Q2暴力破解IP来源的归属地，来自境内的暴力破解次数远高于境外，正好与钓鱼邮件来源相反，主要原因为：目前黑产进行暴力破解的主要手法为通过动态IP代理长时间持续对smtp端口进行爆破。

报告发现，容易面临暴力破解威胁的高危账号主要集中在教育行业和企业，主要原因包括：外部攻击面广、安全整改措施难推进、账号管控未能形成标准体系。