《2024年度邮件安全报告》：绕过安全电子邮件网关的恶意邮件增加了105%

近日，电子邮件安全公司Cofense发布《2024年度邮件安全报告》，指出绕过安全电子邮件网关（SEG）的恶意电子邮件威胁在2023年增加了100%以上。换句话说，电子邮件安全解决方案并不能有效阻止威胁。

这种安全威胁不仅真实存在，而且还在不断增长，而且它们很可能通过电子邮件渗透到组织中。我们都知道，只需一次违规行为就会损害公司的财务健康、品牌声誉和/或与员工和客户的关系。更糟糕的是，组织根本无法实现“足够好”的电子邮件安全，并且仅仅依靠SEG 显然是不够的。

## 要点总结

- 在过去12 个月中，安全电子邮件网关(SEG) 根本无法跟上当今网络钓鱼活动不断发展和复杂的性质；

- Cofense 每分钟都会检测到绕过客户SEG 的恶意电子邮件；

- Cofense 发现绕过SEG 的恶意电子邮件数量平均增加了5%；

- 凭证网络钓鱼是2023 年的最大威胁，数量较2022 年增加67%；

- 电子邮件仍然是网络犯罪的第一大威胁媒介，90% 的数据泄露都是从网络钓鱼开始的；

- 医疗保健和金融仍然是受影响最严重的行业，绕过SEG 的恶意电子邮件分别增加了5% 和118%；

- 网络钓鱼活动不断发展，绕过SEG 的策略（例如网络钓鱼、网络钓鱼、品牌假冒和二维码网络钓鱼）均呈上升趋势。 Cofense 报告称，2023 年二维码主动威胁报告增加了331%；

- 新的恶意软件家族（包括DarkGate 和PikaBot）的出现填补了FBI 拆除Qakbot 基础设施后留下的空白；

- 到2023 年，91% 的主动威胁报告将归因于凭证网络钓鱼。

## 2024 年电子邮件安全状况

过去一年，网络安全威胁持续增加，电子邮件成为攻击的主要威胁传递机制。在这种背景下，对快速且可操作的情报的需求成为保护组织免受网络犯罪分子侵害的关键任务。

在短短两年内，Cofense 网络钓鱼检测和响应(PDR) 解决方案已在全球范围内识别出近800,000 个独特的恶意电子邮件活动，检测到超过1500 万封电子邮件。数据显示，检测到的恶意电子邮件数量逐年大幅增长，2023年较2022年增长37%，较2021年增长310%。

【恶意邮件总体趋势图】

### 当今的组织无法实现“足够好”的电子邮件安全

数据显示，SEG 只能捕获一小部分恶意威胁，其余威胁会进入目标的收件箱。随着电子邮件攻击的频率和严重性不断增加，培训员工识别和报告恶意电子邮件，同时部署行业领先的解决方案来识别和修复主动绕过SEG 的威胁是关键的一步。

[绕过SEG 的恶意电子邮件的增长（按供应商划分）

### 行业特定SEG 绕过率在创纪录的一年后全面上升

近年来，金融和医疗保健这两个最脆弱的行业再次成为威胁的主要目标。然而，随着房地产和管理行业恶意电子邮件数量急剧增加，新兴行业正在成为2023 年的主要目标。

【绕过SEG的恶意邮件增长比例，按行业划分】

### 凭证网络钓鱼威胁较2022 年增加49%

该数据显示与2021 年相比呈现显着增长趋势。到2023 年，凭证网络钓鱼将占已发布的主动威胁报告(ATR) 的91%，恶意软件远远落后。根据这些数据，我们得出结论，凭据网络钓鱼是2023 年的最大威胁。

[Cofense 网络钓鱼检测和响应(PDR) 观察到的恶意威胁]

### ATR 的热门话题与去年类似

财经类话题和通知类话题分别以48%和33%占据前两位。 Cofense 还发现了一个新主题—— Travel Assistance。虽然这个话题的贡献很小，只占2%，但是非常值得关注。

【ATR热门话题】

当涉及网络钓鱼攻击时，组织不能低估简单性的力量。虽然我们经常听说高度先进和破坏性的网络攻击，但现实情况是，许多攻击都是从基本的网络钓鱼活动开始的。这些活动可能看起来与更复杂的威胁无关，但它们仍然可以作为严重入侵的门户。

## 值得关注的电子邮件安全趋势

网络安全领域总是在不断发展，因此了解最新趋势和策略非常重要。以下是组织在2024 年需要关注的电子邮件安全趋势。

### 凭证网络钓鱼成为头号威胁

当我们展望网络威胁的未来时，很明显，凭证网络钓鱼仍将是最令人担忧的问题。 Cofense 团队发现，2023 年发布的主动威胁报告中有91% 与凭证网络钓鱼有关，与上一年相比增加了67%。

这种复杂的攻击形式通常涉及说服个人放弃其登录信息或其他敏感数据，然后使用这些数据来访问安全系统和网络。

凭据网络钓鱼不仅会导致毁灭性的勒索软件攻击和数据泄露，还会为商业电子邮件泄露(BEC) 计划铺平道路，从而诈骗公司数百万美元。组织必须认真对待这一威胁，并努力实施强大的安全协议，以防止一切形式的凭据网络钓鱼，例如网络钓鱼、诈骗、二维码网络钓鱼和其他危险的网络攻击。

### 网络钓鱼活动中二维码的使用正在迅速增加

在网络钓鱼威胁的世界中，二维码是一个值得密切关注的主要话题。二维码改变了攻击向量，使威胁行为者能够诱骗受害者使用他们的智能手机，而这些智能手机通常不受企业级控制的保护，因此更容易受到攻击。去年，Cofense 报告称，ATR 中Q 码的使用量增加了331%。

随着使用QR 码的活动规模和复杂性不断增加，组织不仅必须跟踪QR 码本身，还必须跟踪发送QR 码的电子邮件的上下文。一些带有二维码的电子邮件作为附件（例如HTM、PDF 或Word 文档）发送，其他电子邮件则使用嵌入在电子邮件中的图像或从外部源呈现的二维码。最近的二维码活动利用了广泛的电子邮件主题，而不是仅限于早期主要使用多因素身份验证来引诱受害者的方法。

- 当涉及来自实际QR 码的URL 时，往往有许多不同的特征，例如它们的目的是合法重定向、链接缩短器等，或者重定向页面之一使用Cloudflare CAPTCHA。

- 与嵌入QR 代码的URL 相关的最常见特征是验证码、多重身份验证(MFA) 以及能够重定向到凭据网络钓鱼页面的URL。

- QR 码最常见的来源是嵌入在电子邮件内容或附加的.pdf、htm 或.doc 文件中的代码。

- QR 码电子邮件的主题可能是MFA 主题，并包含日期和个人身份信息。

- QR 码中嵌入的URL 域类型可能是恶意的或受损的、合法的、QR 码相关的以及标准链接缩短服务。

- 二维码嵌入的合法URL域名涉及Bing、Google、百度等5个小来源。

### 威胁行为者通过品牌和语音网络钓鱼来引诱受害者

品牌推广和网络钓鱼活动是威胁行为者用来诱骗受害者点击恶意链接或提供敏感信息的主要手段。在品牌攻击中，网络犯罪分子使用知名公司的名称、徽标和其他品牌元素来欺骗受害者，让他们相信通信是合法的。一旦他们成功获得受害者的信任，他们就会利用这种关系来进一步开展恶意活动。

另一方面，语音网络钓鱼活动通常从电子邮件开始，但涉及使用语音呼叫或自动电话消息来操纵受害者提供机密信息。攻击者可能冒充受信任组织或金融机构的代表，并使用社会工程策略来获取登录凭据或信用卡号等个人数据。鉴于通过电话号码轻松访问个人信息以及智能手机的普及，语音网络钓鱼变得越来越流行。

Cofense 发现，这两种策略在2023 年都呈上升趋势。语音网络钓鱼和品牌策略都可以有效绕过SEG；它们通常没有附件或明显的链接，使得传统的基于文件和文本的检测软件很难发现这些形式的网络钓鱼。此外，由于用户通过个人智能手机和电话等非传统方法与这些策略进行交互，因此这些类型的网络钓鱼通常会将用户置于企业环境及其安全协议的保护之外。

### 恶意软件策略不断演变

【2023 年顶级恶意软件家族】

**DarkGate 和PikaBot**

2023 年9 月开始传播DarkGate 恶意软件的网络钓鱼活动已发展成为威胁领域中最先进的网络钓鱼活动之一。从那时起，该活动不断发展并使用规避策略和反分析技术来继续传播DarkGate 恶意软件，以及最近的PikaBot 恶意软件。

DarkGate 活动激增是在QakBot 活动结束一个月后出现的，并且与威胁行为者部署QakBot 恶意软件和僵尸网络的趋势相同。该活动向各个行业分发了大量电子邮件，由于所传递的恶意软件的加载能力，目标可能面临更复杂的威胁。

2023 年8 月，FBI 和司法部宣布关闭QakBot 的基础设施。从那时起，QakBot 一直保持沉默，恶意软件基础设施中也没有任何重大活动。虽然找到QakBot 威胁行为者和新的DarkGate 活动之间的直接联系可能很困难，但我们可以证明两者之间的相似之处。

回到事件的时间线，Cofense 上次报道QakBot 是在6 月下旬，而DarkGate 的报道首次出现是在7 月。新活动采用与QakBot 网络钓鱼活动相同的策略，包括劫持电子邮件线程作为初始感染、具有限制用户访问的独特模式的URL，以及与QakBot 几乎相同的感染链。此外，该恶意软件家族使用的方法与研究人员预期QakBot 附属公司使用的方法相同。除许多其他功能外，这两个恶意软件系列都可以充当加载程序，向未知的受感染计算机添加额外的恶意负载。

[Qakbot 和DarkGate/PikaBot 活动时间表]

**表情/Geodo**

Emotet/Geodo 听起来像是科幻电影中的名字，但它们代表了近年来最具破坏性的恶意软件活动之一。这种恶意软件于2014 年在欧洲首次被发现，随着时间的推移，它变得越来越复杂，并在全球范围内传播，感染了无数计算机，并对个人和专业网络造成了广泛的损害。

FBI 于2017 年启动了首次相关调查。在调查过程中，FBI 发现，在某些情况下，恶意软件以银行木马的形式传播，记录网上银行凭证，然后从受害者的账户中窃取信息。在其他情况下，Emotet 允许安装恶意软件，从而引发勒索软件攻击。

2021 年，执法部门拆除了Emotet 运营的基本组件，成功关闭了全球160 万台计算机上的恶意开放访问。

Emotet 受到了沉重打击，但与其他恶意攻击一样，攻击者似乎总是能活到最后。 Emotet 活动长时间中断很常见，随后恶意电子邮件的传播往往会激增。

2023 年，Cofense 研究人员观察到Emotet 中的新活动，该活动使用多个称为“epoch”的僵尸网络，每个僵尸网络都分配有自己的命令和控制(C2) 基础设施。今年1 月，Cofense 观察到每个时期都会发送.dll 文件更新，几乎可以肯定将机器人配置为联系新的基础设施。

正如预测的那样，Emotet 僵尸网络在中断数月后于2023 年3 月7 日恢复了电子邮件活动。

**特斯拉特工**

Agent Tesla 是一种用.NET 编写的键盘记录程序，可以监控击键、截取屏幕截图、从各种应用程序窃取密码，并通过通用协议将这些数据泄露回威胁参与者，同时在用户计算机上保持不可见状态。

Agent Tesla 于2014 年首次出现，从那时起就一直是恶意软件世界的主要内容。该键盘记录器最初在土耳其网站上推广为远程访问工具，不仅可以编译密码和监控击键，还可以避免被防病毒软件捕获。 Agent Tesla 键盘记录器可执行文件通常作为电子邮件的直接附件发送。

Agent Tesla 多年来经历了各种升级，除了旨在确保每个新版本可以绕过防病毒扫描的变化之外，它现在还宣传能够从超过55 个应用程序窃取凭据，包括Web 浏览器、VPN 应用程序、FTP 应用程序和邮件客户端。它还不断提高规避或避免沙箱技术的能力。虽然最初仅使用SMTP 与攻击者通信，但现在它还支持通过FTP、HTTP、DiscordWebhooks 和Telegram 进行通信。

### Google AMP：一种新的规避网络钓鱼策略

一种利用Google Accelerated Mobile Pages (AMP) 的新网络钓鱼策略已进入威胁领域，并且事实证明在达到其预期目标方面非常成功。 Google AMP 是一个开源HTML 框架，用于构建针对浏览器和移动设备优化的网站。研究人员在这些活动中观察到的网站托管在Google.com 或Google.co.uk 上，这两个域名都被认为是大多数用户信任的域名。此网络钓鱼活动不仅使用Google AMP URL 来规避安全性，还将其与许多其他已知可成功绕过电子邮件安全基础设施的TTP 结合起来。

Cofense 观察到，与前六个月相比，2023 年最后六个月绕过SEG 的Google AMP 电子邮件增加了1,092%。

### BEC：公司损失数百亿美元

虽然商业电子邮件泄露(BEC) 并未进入我们最值得关注的趋势列表，但它仍然是企业面临的一个明显而现实的危险。值得一提的是，BEC已连续第八年成为“最具破坏性的网络犯罪活动”之一。根据FBI 的数据，全球企业因企业电子邮件泄露而蒙受了510 亿美元的损失。 BEC 受害者存在于全球90% 的国家，诈骗者不断利用这种犯罪手段取得巨大成功。 FBI 数据显示商业电子邮件泄露造成510 亿美元损失

虽然垃圾邮件过滤器已转变为恶意软件检测器，但它们通常无法捕获基于会话的网络钓鱼攻击，导致年复一年被盗的数十亿美元。

BEC 是凭据网络钓鱼的一个子集，但鉴于其受欢迎程度和成功记录，它通常作为一个单独的类别进行讨论。通过访问组织的电子邮件帐户，骗子可以执行“邮箱中的人”攻击。当他们找到重定向交易的机会时，他们会回复电子邮件并提供新信息，这些信息通常来自类似的域或受损的基础设施。通过使用新的帐户详细信息修改发票，诈骗者成功地转移了资金，使交易难以逆转。

建议采用双因素身份验证(2FA) 防御这些攻击。然而，诈骗者已经找到了一种通过“中间对手”技术绕过2FA 的方法，通过劫持会话cookie 来访问用户帐户。

另一种鲜为人知的技术是工资转移骗局。攻击者以人力资源部门为目标，操纵财务记录以转移员工的直接存款。这些攻击通常不会被报告和注意到，从而为诈骗者提供了继续其欺诈活动的机会。

传统的防御措施已经不足以防御BEC攻击。企业必须保持警惕并实施强有力的安全措施来保护其财务和敏感信息。

原文链接：

https://cofense.com/pdf/2024-cofense-annual-state-of-email-security-report.pdf 转载自freebuf：[https://www.freebuf.com/articles/paper/392602.html](https://www.freebuf.com/articles/paper/392602.html) 作者：Jingyan 123