2022年邮件安全威胁态势回顾和分析

家修

近日，北京网际思安科技有限公司麦赛邮件安全实验室（MailSec Lab）研究发布了《2022年全球邮件威胁报告》（以下简称“报告”），报告数据显示：在2022年，全球每1 000个邮箱，平均每月遭受的邮件攻击数量为299.27次（不含垃圾邮件），同比增加12.36 %。

根据报告研究人员的统计与分析，2022年全球邮件安全威胁概况如下：

钓鱼邮件占邮件攻击的绝大部分，高达68.47 %，紧随其后的是病毒攻击和商业电子邮件（BEC）攻击；

来自我国域名.cn所关联的钓鱼网站数量正在快速上升，目前已位居全球第2位，占比为15.24 %；

全球遭受钓鱼邮件攻击数量最多的行业是批发与零售业，相比2021年攻击数量激增359 %；

Office文件类型的病毒附件同比大幅下降，占病毒邮件总数的19 %。Windows可执行文件类型仍然是最常见的病毒附件类型，占比近50 %；

BEC攻击持续高速增长，同比增长近60 %。在过去的一年中每1 000个邮箱，平均每月遭受的BEC邮件攻击数量为3.32次。

钓鱼邮件威胁

根据麦赛邮件安全实验室的监测数据，美国已多年位居榜首，2022年遭受了钓鱼邮件攻击数量的41 %，相比2021年占比增长了5 %。俄罗斯相比2021年，遭受的钓鱼邮件攻击数量激增427 %，且增长主要集中在俄乌地区冲突爆发之后。与此同时，随着新加坡经济持续繁荣发展，该国遭受的钓鱼邮件攻击数量也保持持续增长，2022年比2021年增加了245 %。

我国在2022年遭受的钓鱼邮件攻击数量仍居世界第2位，相比2021年的增长达到了78 %。2022年，国内重大钓鱼邮件事件包括：

西北工业大学邮件系统遭受境外网络攻击

6月22日西北工业大学发布声明称，近期学校电子邮件系统遭受网络攻击，有来自境外的黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息，给学校正常工作和生活秩序造成重大风险隐患。初步判定，此次事件为境外黑客组织和不法分子发起的网络攻击行为。

搜狐内部邮箱被盗

搜狐全体员工在5月18日收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件，大量员工按照附件要求扫码，并填写了银行账号等信息，最终不但没有等到所谓的补助，工资卡内的余额也被划走。经调查，实为某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件。据统计共有24名员工被骗。

StrivePhish组织发起大规模邮件钓鱼

5月13日开始，StrivePhish组织发起针对国内公司企业、高校和事业单位的大规模钓鱼邮件攻击，涉及范围极广，群发内嵌钓鱼链接的邮件进行邮箱账号密码窃取。通过其后台数据推断，至少已获取1 500多条对应的账户密码，受害者主要集中在公司集团、大学学院以及事业单位。

澳门17家豪华酒店遭遇邮件攻击

4月，研究人员发现针对中國澳门17家豪华酒店的钓鱼邮件攻击行动，主要目的是窃取有较高知名度客人的敏感隐私数据。

从行业角度来看，2022年全球遭受钓鱼邮件攻击数量最多的行业是“批发与零售业”，数量激增359 %，工业制造与服务2个行业分列第2和第3位。

在2022年，钓鱼邮件包含的风险URL地址中，.com仍然排名第一位，占据了29.07 %的比例。来自中国的域名.cn所关联的钓鱼网站数量上升到了第2位，占比15.24 %。而.xyz域名从去年的第2位，下降到第3位。

病毒邮件威胁

病毒邮件是指电子邮件内包含病毒，在浏览邮件中的链接或下载附件的过程中触发病毒文件，导致计算机被病毒感染。在2022年，Windows可执行文件类型仍然是排第一的病毒附件类型，占据了近50 %；而脚本类型紧随其后，占据了23 %；Office文件类型的病毒附件与2021年相比大幅下降，占比19 %。

值得关注的是，Emotet病毒目前已取代VBA macros成为Office文档携带病毒的主要方式。Emotet病毒常以宏附件的形式包含在Office文档之中，通过诱使收件人打开Office文档来触发病毒，从而对计算机进行远程控制和盗取数据。

BEC邮件威胁

在2022年，商业电子邮件攻击（BusinessEmailCompromise，BEC）持续高速增长，相比2021年增长了近60 %。在过去的一年中每1 000个邮箱，平均每月遭受的BEC邮件攻击数量为3.32次。在遭受BEC邮件攻击的行业中，政府成为攻击者最少攻击的行业，而广告与营销行业成为遭受BEC邮件攻击最多的行业。

邮件安全态势预测

基于过去10多年的邮件安全行业实践经验和大数据分析，以及与行业友商的信息分享，麦赛邮件安全实验室研究人员总结出了一些2023年的邮件安全威胁趋势。

全球经济衰退中，邮件安全将面临更大挑战

低迷的经济状况下，企业将把更多的预算投入影响营收的业务中，而降低对邮件安全的财务预算。与之相反的是，黑客将加速对恶意软件的技术更新。二者叠加的话，全球邮件安全防护将面临更大的挑战，2023年我们将面对更多的网络安全事件。

高级威胁检测技术被广泛应用

如今90 %的黑客攻击从邮件发起，通过引诱客户点击恶意软件或者骗取机密信息，从而为进一步攻击做准备，其中，勒索病毒主要通过邮件传播便是一个很好的例子。随着恶意软件躲避安全检测技术的提高，邮件安全产品将越来越多的采用高级威胁检测技术，例如：沙箱安全检测、威胁情报、人工智能与自然语言处理等技术。在2023年，一个邮件安全产品是否采用了高级威胁检测技术将成为评判安全防护能力的重要标准。

以人为中心的行为分析将助力防护钓鱼邮件

在2022年，钓鱼邮件被更精心的构造，通过传统的“以邮件为中心”的检测方式已经很难进行检测。在2023年，“以人为中心”的检测方式将逐步被采用。邮件安全产品将通过大数据分析和人工智能技术，以人为单位，对员工的长期邮件收发行为进行分析并绘制个人肖像。从而更好地发现与员工日常行为不一致的伪造钓鱼邮件。

国家之间的邮件攻击将持续增长

伴随近年来全球地缘政治的改变，无论是俄乌战争，还是中美竞争，都打破了多年来的全球平衡。国家之间的邮件安全攻击将在未来持续增长。2022年4月，中国西北工业大学遭受病毒邮件攻击，判明相关攻击活动源自美国国家安全局“特定入侵行动办公室”，涉及盗窃中国军事机密信息。

订阅式云邮件安全服务仍将持续增长

因为低迷的全球经济以及有限的信息安全财务预算，2023年全球中小企业在邮件威胁防护方向的资金投入仍然会十分有限，而日益精密和频繁的邮件威胁攻击将导致很多中小企业难以应对。因此，预测2023年订阅式云邮件安全服务仍将持续增长，在全球经济不景气的情况下，为中小企业提供最具性价比的选择。