《2024年度邮件安全报告》：绕过安全电子邮件网关的恶意邮件增加了105%

近日，电子邮件安全公司Cofense发布的《2024年度邮件安全报告》指出，在2023年，绕过安全电子邮件网关（SEG）的恶意电子邮件威胁增加了100%以上。换句话说，电子邮件安全解决方案并未有效地阻止威胁。

这种安全威胁不仅是真实存在，而且还在持续增长，它们很可能通过电子邮件渗透到组织中。我们都知道，只需一个漏洞就足以损害公司的财务状况、品牌声誉和/或与员工和客户的关系。而糟糕的是，组织根本无法实现“足够好”的电子邮件安全，而仅仅依赖SEG显然是不够的。

要点概述

• 在过去的12个月里，安全电子邮件网关（SEG）根本无法跟上当今网络钓鱼活动不断发展和复杂的本质；
• Cofense检测到每分钟都有恶意邮件绕过其客户的SEG；
• Cofense发现，绕过SEG的恶意电子邮件数量平均增加了5%；
• 凭据网络钓鱼是2023年的首要威胁，与2022年相比，数量增长了67%；
• 电子邮件仍然是网络犯罪的头号威胁媒介，90%的数据泄露始于网络钓鱼；
• 医疗保健和金融仍然是受灾最严重的行业，绕过SEG的恶意电子邮件分别增加了5%和118%；
• 网络钓鱼活动正在不断发展，诸如语音钓鱼（vishing）、短信钓鱼（smishing）、品牌假冒和QR码网络钓鱼等绕过SEG的策略都在不断增加。Cofense报告称，2023年QR码活跃威胁报告增长了331%；
• 新的恶意软件家族（包括DarkGate和PikaBot）已经出现，填补了联邦调查局拆除Qakbot基础设施留下的空白；
• 在2023年，91%的活跃威胁报告都是由凭据网络钓鱼造成的。

2024年电子邮件安全现状

在过去的一年里，网络安全威胁持续增加，电子邮件是攻击的主要威胁交付机制。在这种情况下，对快速和可操作情报的需求成为保护组织免受网络犯罪分子侵害的关键任务。

在短短两年内，Cofense网络钓鱼检测和响应（PDR）解决方案在全球范围内发现了近80万个独特的恶意电子邮件活动，检测到的电子邮件超过1500万封。数据显示，检测到的恶意电子邮件数量逐年大幅增长，2023年比2022年增长了37%，比2021年增长了310%

【恶意邮件整体走势变化图】

如今的组织无法实现“足够好”的电子邮件安全

数据显示，SEG只能捕获一小部分恶意威胁，其余的都进入了目标的收件箱。随着电子邮件攻击的频率和严重程度不断增加，培训员工识别和报告恶意电子邮件，同时部署行业领先的解决方案来识别和修复主动绕过SEG的威胁成为至关重要的步骤。

【绕过SEG的恶意邮件增长比例，按供应商划分】

在经历了创纪录的一年后，行业特定的SEG绕过率全面上升

近年来，金融和医疗保健这两个最易受攻击的行业再次成为主要的威胁对象。但是，随着房地产和管理行业的恶意电子邮件数量急剧增加，新行业成为2023年的主要目标。

【绕过SEG的恶意邮件增长比例，按行业划分】

凭据网络钓鱼威胁比2022年增长了49%

这一数据比2021年呈现出了大幅增长趋势。在2023年，凭据网络钓鱼占已发布的活跃威胁报告（ATR）的91%，恶意软件远远落后。基于这些数据，我们得出结论，凭据网络钓鱼是2023年的首要威胁。

【Cofense网络钓鱼检测和响应（PDR）观察到的恶意威胁】

ATR的热门主题与去年相似

金融主题和通知主题分别以48%和33%的比例占据了前两名的位置。Cofense还发现了一个新主题——旅游援助，虽然该主题的贡献很小，仅占2%，但十分值得关注。

【ATR的热门主题】

当涉及到网络钓鱼攻击时，组织不能低估简单的力量。虽然我们经常听说高度先进和破坏性的网络攻击，但事实是，其中许多攻击都是从基本的网络钓鱼活动开始的。这些活动似乎与更复杂的威胁无关，但它们仍然可以成为严重入侵的门户。

值得关注的电子邮件安全趋势

网络安全领域总是在不断发展，因此必须掌握最新的趋势和策略。以下是组织需要在2024年保持关注的电子邮件安全趋势。

凭据网络钓鱼成为头号威胁媒介

当我们展望未来的网络威胁时，很明显，凭据网络钓鱼仍将是人们最关心的问题。Cofense团队发现，2023年发布的活跃威胁报告中有91%是围绕凭据网络钓鱼的，与前一年相比，这一比例增加了67%。

这种复杂的攻击形式通常涉及说服个人放弃他们的登录信息或其他敏感数据，然后用其访问安全的系统和网络。

凭据网络钓鱼不仅会导致毁灭性的勒索软件攻击和数据泄露，还会为商业电子邮件妥协（BEC）计划铺平道路，从而骗取公司数百万美元。组织必须认真对待这一威胁，并努力实施强大的安全协议，以防止各种形式的凭据网络钓鱼，如钓鱼、诈骗、二维码网络钓鱼和其他危险的网络攻击。

QR码在网络钓鱼活动中的使用率正在迅速增加

在网络钓鱼威胁领域，QR码是一个值得密切关注的主要话题。QR码改变了攻击媒介，使威胁者能够欺骗受害者使用他们的智能手机，而这些智能手机通常没有受到企业级控制措施的保护，因此更容易受到攻击。去年，Cofense报告称，在ATR中，Q码的使用率增加了331%。

随着使用QR码的活动规模和复杂性的增长，组织不仅要跟踪QR码本身，还要跟踪发送QR码的电子邮件的上下文。一些带有QR码的电子邮件以附件形式（如HTM、pdf或Word文档）发送，其他邮件则使用嵌入在电子邮件中的图像或从外部来源渲染的QR码。最近的QR码活动利用了广泛的电子邮件主题，而非局限于早期主要使用多因素身份验证来引诱受害者的方式。

• 当涉及到来自实际QR码的URL时，往往有许多不同的特征，例如它们的目的是作为合法重定向，链接缩短器等，或者其中一个重定向页面使用Cloudflare CAPTCHA。
• 与嵌入QR码的URL相关的最常见特征是CAPTCHA、多因素认证（MFA）和开启重定向到凭据网络钓鱼页面的URL。
• QR码最常见的来源是嵌入在电子邮件内容中的代码或附加的.pdf、.htm或.doc文件。
• QR码邮件的主题很可能是MFA主题，包含日期和个人身份信息。
• 嵌入QR码的URL域类型可能是恶意的或受损的、合法的、与QR码相关的，以及标准的链接缩短服务。
• 嵌入QR码的合法URL域名涉及必应、谷歌、百度和其他5个小来源。

威胁行为者通过品牌仿冒和语音钓鱼来引诱受害者

品牌仿冒和语音钓鱼（vishing）活动是威胁行为者用来欺骗受害者点击恶意链接或提供敏感信息的主要手段。在品牌仿冒攻击中，网络犯罪分子会使用知名公司的名称、标志和其他品牌元素来欺骗受害者，使其相信通信是合法的。一旦成功获得受害者的信任，他们就会利用这种关系来进一步实施恶意活动。

另一方面，语音钓鱼运动通常从电子邮件开始，但涉及使用语音呼叫或自动电话信息来操纵受害者提供机密信息。攻击者可能会冒充受信任的组织或金融机构的代表，并使用社会工程策略来获取个人数据，如登录凭据或信用卡号码。考虑到通过电话号码访问个人信息的便利性，以及智能手机的普及性，语音钓鱼正变得越来越流行。

Cofense发现，这两种战术在2023年都有所上升。无论是语音钓鱼还是品牌仿冒策略都都能有效地绕过SEG；它们通常没有附件或明显的链接，这使得传统的基于文件和文本的检测软件很难发现这些形式的网络钓鱼。此外，由于用户通过个人智能手机和电话等非传统方法与这些策略进行交互，这些类型的网络钓鱼通常将用户置于公司环境及其安全协议的保护之外。

恶意软件战术仍在继续演变

【2023年顶级恶意软件家族】

DarkGate和PikaBot

从2023年9月开始传播DarkGate恶意软件的网络钓鱼活动已经演变成威胁领域中最先进的网络钓鱼活动之一，从那时起，该活动开始不断发展，并使用规避策略和反分析技术继续传播DarkGate恶意软件，以及最近的PikaBot恶意软件。

在QakBot活动消亡的一个月后，DarkGate活动开始激增，并且遵循了威胁行为者部署QakBot恶意软件和僵尸网络的相同趋势。该活动向广泛的行业传播了大量电子邮件，并且由于所交付的恶意软件的加载能力，目标可能面临更复杂的威胁。

2023年8月，联邦调查局和司法部宣布他们已经关闭了QakBot的基础设施，从那以后，QakBot一直保持沉默，并未出现恶意软件基础设施的重大活动。虽然找到QakBot威胁参与者和新的DarkGate活动之间的直接联系可能很困难，但我们可以展示两者之间的相似之处。

从活动的时间线开始，Cofense最后一次报道QakBot是在6月底，而DarkGate的报道是在7月首次出现。新的攻击活动采用了与QakBot网络钓鱼活动相同的策略，包括劫持电子邮件线程作为初始感染，具有限制用户访问的独特模式的URL，以及与QakBot几乎相同的感染链。此外，该恶意软件家族使用的方法也与研究人员预期的QakBot分支机构使用的方法相同。除了许多其他功能外，这两个恶意软件家族都可以充当加载程序，向未知的受感染机器添加额外的恶意有效载荷。

【Qakbot和DarkGate/PikaBot活动的时间线】

Emotet/Geodo

Emotet/Geodo听起来像是科幻电影里的名字，但它们代表了近年来最具破坏性的恶意软件活动之一。这种恶意软件于2014年首次在欧洲被发现，随着时间的推移，它变得越来越复杂，并已蔓延到全球，感染了无数计算机，对个人和专业网络造成了广泛的破坏。

联邦调查局于2017年展开了首次相关调查。在调查过程中，FBI发现，在某些情况下，该恶意软件以银行木马的形式传播，记录在线银行凭据，然后从受害者的账户中窃取信息。在其他情况下，Emotet允许安装恶意软件，从而实现勒索软件攻击。

2021年，执法部门拆除了Emotet运营的基本组成部分，成功关闭了全球160万台计算机上被恶意打开的访问权限。

Emotet受到了重创，但与其他恶意攻击一样，攻击者似乎总能活到最后。Emotet活动的长时间中断很常见，随后往往是恶意电子邮件传播的激增。

在2023年，Cofense研究人员在Emotet中观察到新的活动，Emotet使用几个称为“epoch”的僵尸网络，且每个僵尸网络都被分配了自己的命令和控制（C2）基础设施。今年1月，Cofense又观察到.dll文件更新被发送到每个epoch，几乎可以肯定地是配置机器人来联系新的基础设施。

正如预测的那样，在经历几个月的中断之后，Emotet僵尸网络于2023年3月7日恢复了电子邮件活动。

Agent Tesla

Agent Tesla，一个用.NET编写的键盘记录程序，可以监视击键，截取屏幕截图，从各种应用程序窃取密码，并通过通用协议将这些数据泄露回威胁行为者，同时在用户的计算机上保持隐蔽。

Agent Tesla首次出现在2014年，从那以后便一直是恶意软件领域的主要产品。这个键盘记录程序最初是在一个土耳其网站上宣传的，作为一款远程访问工具，它不仅可以编译密码，监控按键，还可以避免被杀毒软件捕获。Agent Tesla键盘记录程序可执行文件通常通过电子邮件的直接附件发送。

Agent Tesla多年来经历了各种各样的升级，除了旨在确保每个新版本都可以绕过反病毒扫描的变化之外，它现在还宣传能够从超过55个应用程序窃取凭据，包括web浏览器，VPN应用程序，FTP应用程序和邮件客户端。它还继续提高其规避或避免沙箱技术的能力。虽然最初只使用SMTP与攻击者通信，但它现在也支持通过FTP、HTTP、DiscordWebhooks和Telegram进行通信。

谷歌AMP：一种新的、规避式网络钓鱼策略

一种利用谷歌加速移动页面（AMP）的新型网络钓鱼策略已经进入威胁领域，并被证明在达到预定目标方面非常成功。Google AMP是一个开源的HTML框架，用于构建针对浏览器和移动设备进行优化的网站。研究人员在这些活动中观察到的网站托管在Google.com或Google.co.uk上，这两个网站都被认为是大多数用户信任的域名。这种网络钓鱼活动不仅使用Google AMP URL来逃避安全，而且还结合了许多其他已知的成功绕过电子邮件安全基础设施的TTP。

Cofense观察到，与前六个月相比，在2023年的最后六个月，绕过SEG的谷歌AMP邮件增加了1092%。

BEC：耗费企业数百亿美元

虽然商务邮件泄露（BEC）并没有进入我们最值得关注的趋势名单，但它仍然是企业面临的一个明确而现实的危险。值得一提的是，BEC连续第八年成为“最具破坏性的网络犯罪活动”之一。美国联邦调查局的数据显示，由于商业电子邮件泄露，为全球企业造成了510亿美元的损失。全球90%的国家都存在BEC受害者，而且骗子们仍在继续利用这种犯罪方式获取巨大成功。美国联邦调查局(FBI)的数据显示，由于商业电子邮件泄露，造成了510亿美元的损失

虽然垃圾邮件过滤器已经转变为恶意软件检测器，但它们往往无法捕捉到基于对话的网络钓鱼攻击，导致年复一年数十亿美元被盗。

BEC是凭据网络钓鱼的一个子集，但鉴于其流行和成功记录，它经常被当作一个单独的类别来讨论。通过访问组织的电子邮件帐户，骗子可以执行“man-in-the-mailbox”攻击。当他们找到重定向交易的机会时，他们会用新的信息回复电子邮件，这些信息通常来自类似的域名或受损的基础设施。通过修改带有新账户详细信息的发票，骗子成功地重定向了资金，使交易难以逆转。

双因素身份验证（2FA）是针对这些攻击的推荐防御措施。然而，骗子已经找到了一种通过“adversary-in-the-middle”技术绕过2FA方法，通过劫持会话cookie获得对用户帐户的访问权限。

另一种不为人知的技术是工资转移骗局。攻击者以人力资源部门为目标，操纵财务记录来转移员工的直接存款。这些攻击通常未被广泛报道和注意，从而给予骗子继续其欺诈活动的机会。

传统的防御措施已不足以抵御BEC攻击。企业必须保持警惕，并实施强大的安全措施，以保护其财务和敏感信息。

原文链接：

https://cofense.com/pdf/2024-cofense-annual-state-of-email-security-report.pdf