2024年电子邮件安全

对基于电子邮件的威胁的专家分析 特性：电子货币的崛起09文件附件 引言 03 概述：我们所发现的内容04在我们的网络中 垃圾邮件10 钓鱼攻击 06 特性：顶级恶意软件家族10按季度 特性：谷歌群组虚假07订单诈骗 结论 11 特性：这是一个愉快的假日08为垃圾邮件发送者 VIPRE 邮件威胁预测12对于2024年 引言 2024年电子邮件安全：从不断演变的电子邮件威胁格局中可以 期待什么。 凭借超过20年的电子邮件安全经验，我们在VIPRE安全集团深知一点——今年与众不同。 这种差异在考虑到快速的人工智能进步已经改变每个人的生活的背景下，应不足为奇，但仍需予以考量并做好应对准备。攻击者已经革新了他们的钓鱼方式，安全专家也需要革新我们的防御方式。 邮箱往往是员工早上第一眼看到的东西，也是他们在晚上结束工作前最后看的东西。 whoever controls it controls the high ground. Asattackers are getting stealthier, more creative, and more powerful in their schemes, it becomes vital to make data-driven decisions when planning a successful counter-strategy. 在我们的年度《电子邮件安全趋势报告》中，我们分析了过去十二个月由我们全球VIPRE网络收集的近10亿（953.39亿）恶意电子邮件。从充满深度伪造的钓鱼到新的文件扩展名、垃圾邮件清除、新兴的移动威胁等，我们向整个安全社区展示了我们的专有发现，并希望这份报告能为2024年保障企业电子邮件环境所需的先进方法提供一些启示。 |04概述：我们在网络中捕获到的内容 VIPRE总体检测 今年，VIPRE在全球处理了72亿封电子邮件。 在那之中，检测到了9.5039亿封恶意邮件（大约13%）。好消息？我们的一项功能——VIPRE电子邮件安全链接隔离，非常类似于电子邮件的URL沙盒技术——检测并保护了用户点击的超过4190万个链接。我们对此感到非常自豪。 现在，让我们来看看发现的约9.5亿封恶意邮件。其中约有50/50的比例是在内容（52%）和链接（48%）被捕获的。有2000万封邮件因为恶意附件而被标记，剩余的大约50万封仅因为VIPRE技术能够识别恶意行为而被检测到。这些都是以前未见过的威胁，其他基于签名的电子邮件安全解决方案可能无法检测到，但它们却未能逃过我们的检测。 950.39 百万美元是恶意的。 让我们深入分析那些由Link Isolation保护的4,200万条链接。其中，89%因内容被标记，11%由我们的网页行为分析工具DeepLink检测到。在点击时共检测到超过300,000条，证明了零延迟的覆盖范围。 好消息？ VIPRE电子邮件安全链接隔离功能，我们的一个特性，已检测并保护了超过41.9百万链接被用户点击。 最后，我们的YARA规则识别出数百万次恶意尝试。YARA规则寻找统计模式和指标，这些模式和指标遵循特定的恶意软件家族，有助于捕捉可能被遗漏的恶意利用。去年，我们的YARA规则每个季度捕捉到一百万至两百万个通用恶意软件实例，在第四季度增长了近20%。对于特定实例的数量明显较少，范围在7万至40万之间，但第四季度的增长超过了200%。 我们对此感到非常自豪。 电子邮件安全报告分解 本报告中，VIPRE实验室从44913封邮件样本中抽取样本，其中41,716封（占比95%）被归类为垃圾邮件（包括钓鱼、恶意软件、欺诈、成人、招聘、健康、金融和商业等类别）。 各种垃圾邮件类型相应地被分解如下： •35% 商业垃圾邮件（14,738）•35% 欺诈 (14,658)•22% 钓鱼攻击（9,182）•5% 恶意软件（1,967）•少于3% 成人、工作、健康、财务 按季度划分的目标行业 按季度划分的垃圾邮件趋势 值得注意的是，每个季度和全年范围内，受青睐的垃圾邮件类型都有起伏。在2023年，我们观察到： 在2023年，金融服务（22%）是钓鱼和恶意垃圾邮件主要针对的领域，其次是信息技术（14%）、医疗保健（14%）、教育（10%）和政府（8%）。 • 第一季度到第四季度恶意软件增长了276% •Q1和Q4之间诈骗邮件数量上升23%，Q2激增179%。 季度统计数据揭示，尽管金融服务、医疗保健和教育在数量上排名较高，但攻击的总体频率在第一季度和第四季度之间有所下降。然而，IT%在同一时间段内增长了59%，政府邮箱的攻击增长了惊人的16,000%。 •第一季度至第四季度钓鱼邮件下降了6.4%，在第二季度和第三季度之间有一个解决的低谷。 不论百分比有所下降，钓鱼邮件在数量上依然与诈骗邮件并列，这使得它们成为了黑客的长期偏爱，以及对电子邮件收件箱的持续威胁。 钓鱼 钓鱼链接按类型分类 链接、附件和二维码 2023年，恶意链接主要由受侵害网站（45%）组成，相比去年略有下降，其次是URL重定向（34%），而在2022年这一类别并不存在。 关于钓鱼攻击，绝大多数（71%）的电子邮件仍然将链接作为其主要诱饵。在22%的情况下出现附件，剩余的7%归因于嵌入式二维码或_quishing_。 接下来是新增的域（13%），相比去年39%的比例大幅下降，以及文件存储/云共享（8%），这两个选项也未出现在2022年的名单中。 有趣的是，在2022年第一季度至第四季度之间，基于附件的钓鱼活动略有增加（4%），基于链接的钓鱼活动大幅下降（43%），而quishing从零实例增加到417个，记录的增长超过41,000%。 主要区别是什么？URL重定向和文件存储/云共享是今年新增的，而去年的一项类别（子域名抢注）在2023年并未出现。 谁被恶作剧了？ 当观察季度趋势时，我们发现所有类别（受损害网站下降80%）均出现下降，唯独URL重定向类别上升了463%。 正如去年一样，我们的研究（和其他人）揭示了微软以压倒性的优势成为最受伪造的URL，获得了2,400个伪造链接，而苹果则以大约350个位居第二。 与去年不同，接下来的列表如下： 诱饵附件 1.微软 2.苹果 HTML附件占所有恶意附件的一半以上（52%）。 DHL 4. 谷歌 •HTML (52%)•PDF (26%)•EML (20%)•ZIP (2%) 5. DocuSign 6.亚马逊 7.Dropbox 以往的数据显示Spotify和Zoom名列前茅；而今年，它们却不见踪影。可能的原因包括我们在2022年依然感受强烈的远程化趋势，而到了2023年8月，这种趋势已不再明显。简历构建器调查结果显示，90%的企业计划在本年内让员工重返办公室。 这是首次以任何显著方式进入列表的 .eml 附件。公司若能察觉这一趋势并提前为用户做好准备，将是明智之举。去年，我们指出 HTML 使用量有所增加，而今年它成为了我们的主要竞争对手。值得注意的是，HTML附件在年底下降了 27%，但 PDF 附件增长了超过 100%，而 EML 附件则剧增了 4600%。 特性：谷歌群组虚假订单骗局 关于购买确认有什么无害的呢？如果这种诡计是为了让你购买某物（从而输入你的凭证），那么似乎危险已经过去了。 然而，网络罪犯已经开始依赖虚假订单诈骗，尤其是在通过谷歌群组进行诈骗，以谋取他们能在你来电“取消”时获取的收益。他们利用谷歌群组，因为这个平台允许他们对标题进行自定义，在本例中是“最佳购买关爱团队”，同时希望你别太在意“@”符号后面的内容。 尽管上述电子邮件可能看似无害，但危险在于当你意识到你从未购买过XYZ产品，而你点击链接或打电话来取消订单时。毕竟，一笔未知的购买可能是你已经受骗的迹象。当你打电话时，有帮助的“客户服务”代表随时准备着，等待获取你的个人信息（电子邮件地址、电话号码、可能被使用的卡号）以“解决”问题。 •类似电子邮件确认模板被大量发送给谷歌群组的所有成员。如果您不希望未经您的允许被添加到谷歌群组，您可以按照以下指示关闭此功能。 •伪造详细资料，如发票号、保修到期日、交易数据、订单号和客户ID，以增加其真实性。 •当心“亲爱的顾客。”如果这是一张合法的收据，它将会包含顾客的名字。 •行动号召的形式可以是任何你可以拨打或点击的内容。请不要拨打提供的电话号码或点击“客户服务”链接。如果你有任何疑问，请通过谷歌搜索实际电话号码或支持网站，查看是否匹配。 想保持警觉吗？以下是明显的迹象，您可以在上述现实世界示例中进行交叉参考。 |08特性：垃圾邮件发送者享受愉快的假日 在年末的繁忙喧嚣中，人们很容易陷入“自动导航”状态，尤其是在做些平凡的事情，比如确保包裹准时送达的时候。 正如哈佛大学的弗雷德里克·海丁博士和研究员指出，“钓鱼攻击之所以有效，是因为它们利用了你大脑中的捷径。但如果你停下来仔细考虑一封邮件的内容，你的理性大脑就会接管。” 在2023年第四季度，我们注意到了针对万圣节、感恩节和圣诞节的节日诈骗邮件。在这些邮件中，嵌入的链接往往会导致网络钓鱼和诈骗尝试。这些链接通常利用新注册的域名成功绕过网络过滤器。再次提醒，如果您有任何疑问，请查找发送该邮件的公司实际网站，以确认该销售、交易或订单是否真的存在。 特性：EML文件附件的兴起 我们注意到恶意软件数量显著增长。去年第四季度中的 .eml 文件附件。 这是电子邮件以纯文本版本发送或保存时所采用的格式，例如，当您想将一批旧电子邮件转发到新地址时。 网络犯罪分子会将恶意内容放置在.eml文件中，该文件随后被附加到实际的钓鱼电子邮件中，并被许多电子邮件安全解决方案所忽视。这种类型的文件扩展名在商业世界中很少见（但确实存在），这增加了用户的 curiosity，因此，打开.eml文件并遵循其指示（无论是点击链接、打开网页还是提供凭证）的可能性也随之增加。 以下是一些.eml文件攻击的迹象： •The .eml file can contain plain ASCII text for the header and body, along with hyperlinks and attachments. •“共享文件”这个词组通常会出现在主题行中。 •这些诈骗喜欢包含一个带公司标志和合法公司员工姓名的企业电子邮件页脚。 当您在收件箱中看到它们时，它们看起来（并分解为）这样： 尽管全年都不断出现.eml诈骗，2023年第四季度这些诈骗活动增加了十倍。可以合理假设这一趋势将持续到2024年，因为没有任何黑客愿意停止一件好事。 恶意垃圾邮件 恶意垃圾邮件是一种携带恶意负载的垃圾邮件。 季度之间的分裂也值得关注；在第一季度，malspam附件的数量比链接多38倍。到年底，malspam链接以几乎两比一的优势胜出。在这些恶意链接中，57%属于受损害网站，而43%归因于云存储。在附件中，35%是PDF文件，20%是ONEs 16%为某种形式的DOC文件，其余的13%或更少分别属于XLSX、HTML、ISO和其他类型。 在我们的2023年调查中，带有恶意附件的malspam邮件和利用链接的那些邮件之间呈现出大致的均衡。这个均衡很有趣，因为去年的数据显示带有malspam附件的邮件更受青睐，多出了22%。 特性：按季度统计的主要恶意软件家族 今年，几个恶意软件家族每个季度都在争夺“头把交椅”。 在第一季度，AsyncRAT在恶意攻击中占据领先地位。以其远程监控和控制受感染系统的能力而闻名，它最初在GitHub上被介绍为一款合法的行政工具，但很快被其强大的功能所利用。其最新版本可以规避基于签名的防病毒工具的检测。 在第四季度，AgentTesla负责了大部分恶意软件攻击，其次是Redline，Remcos和NjRAT。本季度，我们遇到的恶意