近日，電子郵件安全公司Cofense發(fā)布的《2024年度郵件安全報(bào)告》指出，在2023年，繞過安全電子郵件網(wǎng)關(guān)（SEG）的惡意電子郵件威脅增加了100%以上。換句話說，電子郵件安全解決方案并未有效地阻止威脅。

這種安全威脅不僅是真實(shí)存在，而且還在持續(xù)增長，它們很可能通過電子郵件滲透到組織中。我們都知道，只需一個(gè)漏洞就足以損害公司的財(cái)務(wù)狀況、品牌聲譽(yù)和/或與員工和客戶的關(guān)系。而糟糕的是，組織根本無法實(shí)現(xiàn)“足夠好”的電子郵件安全，而僅僅依賴SEG顯然是不夠的。

一、要點(diǎn)概述

• 在過去的12個(gè)月里，安全電子郵件網(wǎng)關(guān)（SEG）根本無法跟上當(dāng)今網(wǎng)絡(luò)釣魚活動(dòng)不斷發(fā)展和復(fù)雜的本質(zhì)；
• Cofense檢測到每分鐘都有惡意郵件繞過其客戶的SEG；
• Cofense發(fā)現(xiàn)，繞過SEG的惡意電子郵件數(shù)量平均增加了5%；
• 憑據(jù)網(wǎng)絡(luò)釣魚是2023年的首要威脅，與2022年相比，數(shù)量增長了67%；
• 電子郵件仍然是網(wǎng)絡(luò)犯罪的頭號(hào)威脅媒介，90%的數(shù)據(jù)泄露始于網(wǎng)絡(luò)釣魚；
• 醫(yī)療保健和金融仍然是受災(zāi)最嚴(yán)重的行業(yè)，繞過SEG的惡意電子郵件分別增加了5%和118%；
• 網(wǎng)絡(luò)釣魚活動(dòng)正在不斷發(fā)展，諸如語音釣魚（vishing）、短信釣魚（smishing）、品牌假冒和QR碼網(wǎng)絡(luò)釣魚等繞過SEG的策略都在不斷增加。Cofense報(bào)告稱，2023年QR碼活躍威脅報(bào)告增長了331%；
• 新的惡意軟件家族（包括DarkGate和PikaBot）已經(jīng)出現(xiàn)，填補(bǔ)了聯(lián)邦調(diào)查局拆除Qakbot基礎(chǔ)設(shè)施留下的空白；
• 在2023年，91%的活躍威脅報(bào)告都是由憑據(jù)網(wǎng)絡(luò)釣魚造成的。

二、2024年電子郵件安全現(xiàn)狀

在過去的一年里，網(wǎng)絡(luò)安全威脅持續(xù)增加，電子郵件是攻擊的主要威脅交付機(jī)制。在這種情況下，對(duì)快速和可操作情報(bào)的需求成為保護(hù)組織免受網(wǎng)絡(luò)犯罪分子侵害的關(guān)鍵任務(wù)。

在短短兩年內(nèi)，Cofense網(wǎng)絡(luò)釣魚檢測和響應(yīng)（PDR）解決方案在全球范圍內(nèi)發(fā)現(xiàn)了近80萬個(gè)獨(dú)特的惡意電子郵件活動(dòng)，檢測到的電子郵件超過1500萬封。數(shù)據(jù)顯示，檢測到的惡意電子郵件數(shù)量逐年大幅增長，2023年比2022年增長了37%，比2021年增長了310%

【惡意郵件整體走勢變化圖】

1.如今的組織無法實(shí)現(xiàn)“足夠好”的電子郵件安全

數(shù)據(jù)顯示，SEG只能捕獲一小部分惡意威脅，其余的都進(jìn)入了目標(biāo)的收件箱。隨著電子郵件攻擊的頻率和嚴(yán)重程度不斷增加，培訓(xùn)員工識(shí)別和報(bào)告惡意電子郵件，同時(shí)部署行業(yè)領(lǐng)先的解決方案來識(shí)別和修復(fù)主動(dòng)繞過SEG的威脅成為至關(guān)重要的步驟。

【繞過SEG的惡意郵件增長比例，按供應(yīng)商劃分】

2.在經(jīng)歷了創(chuàng)紀(jì)錄的一年后，行業(yè)特定的SEG繞過率全面上升

近年來，金融和醫(yī)療保健這兩個(gè)最易受攻擊的行業(yè)再次成為主要的威脅對(duì)象。但是，隨著房地產(chǎn)和管理行業(yè)的惡意電子郵件數(shù)量急劇增加，新行業(yè)成為2023年的主要目標(biāo)。

【繞過SEG的惡意郵件增長比例，按行業(yè)劃分】

3.憑據(jù)網(wǎng)絡(luò)釣魚威脅比2022年增長了49%

這一數(shù)據(jù)比2021年呈現(xiàn)出了大幅增長趨勢。在2023年，憑據(jù)網(wǎng)絡(luò)釣魚占已發(fā)布的活躍威脅報(bào)告（ATR）的91%，惡意軟件遠(yuǎn)遠(yuǎn)落后?；谶@些數(shù)據(jù)，我們得出結(jié)論，憑據(jù)網(wǎng)絡(luò)釣魚是2023年的首要威脅。

【Cofense網(wǎng)絡(luò)釣魚檢測和響應(yīng)（PDR）觀察到的惡意威脅】

4.ATR的熱門主題與去年相似

金融主題和通知主題分別以48%和33%的比例占據(jù)了前兩名的位置。Cofense還發(fā)現(xiàn)了一個(gè)新主題——旅游援助，雖然該主題的貢獻(xiàn)很小，僅占2%，但十分值得關(guān)注。

【ATR的熱門主題】

當(dāng)涉及到網(wǎng)絡(luò)釣魚攻擊時(shí)，組織不能低估簡單的力量。雖然我們經(jīng)常聽說高度先進(jìn)和破壞性的網(wǎng)絡(luò)攻擊，但事實(shí)是，其中許多攻擊都是從基本的網(wǎng)絡(luò)釣魚活動(dòng)開始的。這些活動(dòng)似乎與更復(fù)雜的威脅無關(guān)，但它們?nèi)匀豢梢猿蔀閲?yán)重入侵的門戶。

三、值得關(guān)注的電子郵件安全趨勢

網(wǎng)絡(luò)安全領(lǐng)域總是在不斷發(fā)展，因此必須掌握最新的趨勢和策略。以下是組織需要在2024年保持關(guān)注的電子郵件安全趨勢。

1.憑據(jù)網(wǎng)絡(luò)釣魚成為頭號(hào)威脅媒介

當(dāng)我們展望未來的網(wǎng)絡(luò)威脅時(shí)，很明顯，憑據(jù)網(wǎng)絡(luò)釣魚仍將是人們最關(guān)心的問題。Cofense團(tuán)隊(duì)發(fā)現(xiàn)，2023年發(fā)布的活躍威脅報(bào)告中有91%是圍繞憑據(jù)網(wǎng)絡(luò)釣魚的，與前一年相比，這一比例增加了67%。

這種復(fù)雜的攻擊形式通常涉及說服個(gè)人放棄他們的登錄信息或其他敏感數(shù)據(jù)，然后用其訪問安全的系統(tǒng)和網(wǎng)絡(luò)。

憑據(jù)網(wǎng)絡(luò)釣魚不僅會(huì)導(dǎo)致毀滅性的勒索軟件攻擊和數(shù)據(jù)泄露，還會(huì)為商業(yè)電子郵件妥協(xié)（BEC）計(jì)劃鋪平道路，從而騙取公司數(shù)百萬美元。組織必須認(rèn)真對(duì)待這一威脅，并努力實(shí)施強(qiáng)大的安全協(xié)議，以防止各種形式的憑據(jù)網(wǎng)絡(luò)釣魚，如釣魚、詐騙、二維碼網(wǎng)絡(luò)釣魚和其他危險(xiǎn)的網(wǎng)絡(luò)攻擊。

2.QR碼在網(wǎng)絡(luò)釣魚活動(dòng)中的使用率正在迅速增加

在網(wǎng)絡(luò)釣魚威脅領(lǐng)域，QR碼是一個(gè)值得密切關(guān)注的主要話題。QR碼改變了攻擊媒介，使威脅者能夠欺騙受害者使用他們的智能手機(jī)，而這些智能手機(jī)通常沒有受到企業(yè)級(jí)控制措施的保護(hù)，因此更容易受到攻擊。去年，Cofense報(bào)告稱，在ATR中，Q碼的使用率增加了331%。

隨著使用QR碼的活動(dòng)規(guī)模和復(fù)雜性的增長，組織不僅要跟蹤QR碼本身，還要跟蹤發(fā)送QR碼的電子郵件的上下文。一些帶有QR碼的電子郵件以附件形式（如HTM、pdf或Word文檔）發(fā)送，其他郵件則使用嵌入在電子郵件中的圖像或從外部來源渲染的QR碼。最近的QR碼活動(dòng)利用了廣泛的電子郵件主題，而非局限于早期主要使用多因素身份驗(yàn)證來引誘受害者的方式。

• 當(dāng)涉及到來自實(shí)際QR碼的URL時(shí)，往往有許多不同的特征，例如它們的目的是作為合法重定向，鏈接縮短器等，或者其中一個(gè)重定向頁面使用Cloudflare CAPTCHA。
• 與嵌入QR碼的URL相關(guān)的最常見特征是CAPTCHA、多因素認(rèn)證（MFA）和開啟重定向到憑據(jù)網(wǎng)絡(luò)釣魚頁面的URL。
• QR碼最常見的來源是嵌入在電子郵件內(nèi)容中的代碼或附加的.pdf、.htm或.doc文件。
• QR碼郵件的主題很可能是MFA主題，包含日期和個(gè)人身份信息。
• 嵌入QR碼的URL域類型可能是惡意的或受損的、合法的、與QR碼相關(guān)的，以及標(biāo)準(zhǔn)的鏈接縮短服務(wù)。
• 嵌入QR碼的合法URL域名涉及必應(yīng)、谷歌、百度和其他5個(gè)小來源。

3.威脅行為者通過品牌仿冒和語音釣魚來引誘受害者

品牌仿冒和語音釣魚（vishing）活動(dòng)是威脅行為者用來欺騙受害者點(diǎn)擊惡意鏈接或提供敏感信息的主要手段。在品牌仿冒攻擊中，網(wǎng)絡(luò)犯罪分子會(huì)使用知名公司的名稱、標(biāo)志和其他品牌元素來欺騙受害者，使其相信通信是合法的。一旦成功獲得受害者的信任，他們就會(huì)利用這種關(guān)系來進(jìn)一步實(shí)施惡意活動(dòng)。

另一方面，語音釣魚運(yùn)動(dòng)通常從電子郵件開始，但涉及使用語音呼叫或自動(dòng)電話信息來操縱受害者提供機(jī)密信息。攻擊者可能會(huì)冒充受信任的組織或金融機(jī)構(gòu)的代表，并使用社會(huì)工程策略來獲取個(gè)人數(shù)據(jù)，如登錄憑據(jù)或信用卡號(hào)碼。考慮到通過電話號(hào)碼訪問個(gè)人信息的便利性，以及智能手機(jī)的普及性，語音釣魚正變得越來越流行。

Cofense發(fā)現(xiàn)，這兩種戰(zhàn)術(shù)在2023年都有所上升。無論是語音釣魚還是品牌仿冒策略都都能有效地繞過SEG；它們通常沒有附件或明顯的鏈接，這使得傳統(tǒng)的基于文件和文本的檢測軟件很難發(fā)現(xiàn)這些形式的網(wǎng)絡(luò)釣魚。此外，由于用戶通過個(gè)人智能手機(jī)和電話等非傳統(tǒng)方法與這些策略進(jìn)行交互，這些類型的網(wǎng)絡(luò)釣魚通常將用戶置于公司環(huán)境及其安全協(xié)議的保護(hù)之外。

4.惡意軟件戰(zhàn)術(shù)仍在繼續(xù)演變

【2023年頂級(jí)惡意軟件家族】

5.DarkGate和PikaBot

從2023年9月開始傳播DarkGate惡意軟件的網(wǎng)絡(luò)釣魚活動(dòng)已經(jīng)演變成威脅領(lǐng)域中最先進(jìn)的網(wǎng)絡(luò)釣魚活動(dòng)之一，從那時(shí)起，該活動(dòng)開始不斷發(fā)展，并使用規(guī)避策略和反分析技術(shù)繼續(xù)傳播DarkGate惡意軟件，以及最近的PikaBot惡意軟件。

在QakBot活動(dòng)消亡的一個(gè)月后，DarkGate活動(dòng)開始激增，并且遵循了威脅行為者部署QakBot惡意軟件和僵尸網(wǎng)絡(luò)的相同趨勢。該活動(dòng)向廣泛的行業(yè)傳播了大量電子郵件，并且由于所交付的惡意軟件的加載能力，目標(biāo)可能面臨更復(fù)雜的威脅。

2023年8月，聯(lián)邦調(diào)查局和司法部宣布他們已經(jīng)關(guān)閉了QakBot的基礎(chǔ)設(shè)施，從那以后，QakBot一直保持沉默，并未出現(xiàn)惡意軟件基礎(chǔ)設(shè)施的重大活動(dòng)。雖然找到QakBot威脅參與者和新的DarkGate活動(dòng)之間的直接聯(lián)系可能很困難，但我們可以展示兩者之間的相似之處。

從活動(dòng)的時(shí)間線開始，Cofense最后一次報(bào)道QakBot是在6月底，而DarkGate的報(bào)道是在7月首次出現(xiàn)。新的攻擊活動(dòng)采用了與QakBot網(wǎng)絡(luò)釣魚活動(dòng)相同的策略，包括劫持電子郵件線程作為初始感染，具有限制用戶訪問的獨(dú)特模式的URL，以及與QakBot幾乎相同的感染鏈。此外，該惡意軟件家族使用的方法也與研究人員預(yù)期的QakBot分支機(jī)構(gòu)使用的方法相同。除了許多其他功能外，這兩個(gè)惡意軟件家族都可以充當(dāng)加載程序，向未知的受感染機(jī)器添加額外的惡意有效載荷。

【Qakbot和DarkGate/PikaBot活動(dòng)的時(shí)間線】

6.Emotet/Geodo

Emotet/Geodo聽起來像是科幻電影里的名字，但它們代表了近年來最具破壞性的惡意軟件活動(dòng)之一。這種惡意軟件于2014年首次在歐洲被發(fā)現(xiàn)，隨著時(shí)間的推移，它變得越來越復(fù)雜，并已蔓延到全球，感染了無數(shù)計(jì)算機(jī)，對(duì)個(gè)人和專業(yè)網(wǎng)絡(luò)造成了廣泛的破壞。

聯(lián)邦調(diào)查局于2017年展開了首次相關(guān)調(diào)查。在調(diào)查過程中，F(xiàn)BI發(fā)現(xiàn)，在某些情況下，該惡意軟件以銀行木馬的形式傳播，記錄在線銀行憑據(jù)，然后從受害者的賬戶中竊取信息。在其他情況下，Emotet允許安裝惡意軟件，從而實(shí)現(xiàn)勒索軟件攻擊。

2021年，執(zhí)法部門拆除了Emotet運(yùn)營的基本組成部分，成功關(guān)閉了全球160萬臺(tái)計(jì)算機(jī)上被惡意打開的訪問權(quán)限。

Emotet受到了重創(chuàng)，但與其他惡意攻擊一樣，攻擊者似乎總能活到最后。Emotet活動(dòng)的長時(shí)間中斷很常見，隨后往往是惡意電子郵件傳播的激增。

在2023年，Cofense研究人員在Emotet中觀察到新的活動(dòng)，Emotet使用幾個(gè)稱為“epoch”的僵尸網(wǎng)絡(luò)，且每個(gè)僵尸網(wǎng)絡(luò)都被分配了自己的命令和控制（C2）基礎(chǔ)設(shè)施。今年1月，Cofense又觀察到.dll文件更新被發(fā)送到每個(gè)epoch，幾乎可以肯定地是配置機(jī)器人來聯(lián)系新的基礎(chǔ)設(shè)施。

正如預(yù)測的那樣，在經(jīng)歷幾個(gè)月的中斷之后，Emotet僵尸網(wǎng)絡(luò)于2023年3月7日恢復(fù)了電子郵件活動(dòng)。

7.Agent Tesla

Agent Tesla，一個(gè)用.NET編寫的鍵盤記錄程序，可以監(jiān)視擊鍵，截取屏幕截圖，從各種應(yīng)用程序竊取密碼，并通過通用協(xié)議將這些數(shù)據(jù)泄露回威脅行為者，同時(shí)在用戶的計(jì)算機(jī)上保持隱蔽。

Agent Tesla首次出現(xiàn)在2014年，從那以后便一直是惡意軟件領(lǐng)域的主要產(chǎn)品。這個(gè)鍵盤記錄程序最初是在一個(gè)土耳其網(wǎng)站上宣傳的，作為一款遠(yuǎn)程訪問工具，它不僅可以編譯密碼，監(jiān)控按鍵，還可以避免被殺毒軟件捕獲。Agent Tesla鍵盤記錄程序可執(zhí)行文件通常通過電子郵件的直接附件發(fā)送。

Agent Tesla多年來經(jīng)歷了各種各樣的升級(jí)，除了旨在確保每個(gè)新版本都可以繞過反病毒掃描的變化之外，它現(xiàn)在還宣傳能夠從超過55個(gè)應(yīng)用程序竊取憑據(jù)，包括web瀏覽器，VPN應(yīng)用程序，F(xiàn)TP應(yīng)用程序和郵件客戶端。它還繼續(xù)提高其規(guī)避或避免沙箱技術(shù)的能力。雖然最初只使用SMTP與攻擊者通信，但它現(xiàn)在也支持通過FTP、HTTP、DiscordWebhooks和Telegram進(jìn)行通信。

8.谷歌AMP：一種新的、規(guī)避式網(wǎng)絡(luò)釣魚策略

一種利用谷歌加速移動(dòng)頁面（AMP）的新型網(wǎng)絡(luò)釣魚策略已經(jīng)進(jìn)入威脅領(lǐng)域，并被證明在達(dá)到預(yù)定目標(biāo)方面非常成功。Google AMP是一個(gè)開源的HTML框架，用于構(gòu)建針對(duì)瀏覽器和移動(dòng)設(shè)備進(jìn)行優(yōu)化的網(wǎng)站。研究人員在這些活動(dòng)中觀察到的網(wǎng)站托管在Google.com或Google.co.uk上，這兩個(gè)網(wǎng)站都被認(rèn)為是大多數(shù)用戶信任的域名。這種網(wǎng)絡(luò)釣魚活動(dòng)不僅使用Google AMP URL來逃避安全，而且還結(jié)合了許多其他已知的成功繞過電子郵件安全基礎(chǔ)設(shè)施的TTP。

Cofense觀察到，與前六個(gè)月相比，在2023年的最后六個(gè)月，繞過SEG的谷歌AMP郵件增加了1092%。

9.BEC：耗費(fèi)企業(yè)數(shù)百億美元

雖然商務(wù)郵件泄露（BEC）并沒有進(jìn)入我們最值得關(guān)注的趨勢名單，但它仍然是企業(yè)面臨的一個(gè)明確而現(xiàn)實(shí)的危險(xiǎn)。值得一提的是，BEC連續(xù)第八年成為“最具破壞性的網(wǎng)絡(luò)犯罪活動(dòng)”之一。美國聯(lián)邦調(diào)查局的數(shù)據(jù)顯示，由于商業(yè)電子郵件泄露，為全球企業(yè)造成了510億美元的損失。全球90%的國家都存在BEC受害者，而且騙子們?nèi)栽诶^續(xù)利用這種犯罪方式獲取巨大成功。美國聯(lián)邦調(diào)查局(FBI)的數(shù)據(jù)顯示，由于商業(yè)電子郵件泄露，造成了510億美元的損失

雖然垃圾郵件過濾器已經(jīng)轉(zhuǎn)變?yōu)閻阂廛浖z測器，但它們往往無法捕捉到基于對(duì)話的網(wǎng)絡(luò)釣魚攻擊，導(dǎo)致年復(fù)一年數(shù)十億美元被盜。

BEC是憑據(jù)網(wǎng)絡(luò)釣魚的一個(gè)子集，但鑒于其流行和成功記錄，它經(jīng)常被當(dāng)作一個(gè)單獨(dú)的類別來討論。通過訪問組織的電子郵件帳戶，騙子可以執(zhí)行“man-in-the-mailbox”攻擊。當(dāng)他們找到重定向交易的機(jī)會(huì)時(shí)，他們會(huì)用新的信息回復(fù)電子郵件，這些信息通常來自類似的域名或受損的基礎(chǔ)設(shè)施。通過修改帶有新賬戶詳細(xì)信息的發(fā)票，騙子成功地重定向了資金，使交易難以逆轉(zhuǎn)。

雙因素身份驗(yàn)證（2FA）是針對(duì)這些攻擊的推薦防御措施。然而，騙子已經(jīng)找到了一種通過“adversary-in-the-middle”技術(shù)繞過2FA方法，通過劫持會(huì)話cookie獲得對(duì)用戶帳戶的訪問權(quán)限。

另一種不為人知的技術(shù)是工資轉(zhuǎn)移騙局。攻擊者以人力資源部門為目標(biāo)，操縱財(cái)務(wù)記錄來轉(zhuǎn)移員工的直接存款。這些攻擊通常未被廣泛報(bào)道和注意，從而給予騙子繼續(xù)其欺詐活動(dòng)的機(jī)會(huì)。

傳統(tǒng)的防御措施已不足以抵御BEC攻擊。企業(yè)必須保持警惕，并實(shí)施強(qiáng)大的安全措施，以保護(hù)其財(cái)務(wù)和敏感信息。

原文鏈接：https://cofense.com/pdf/2024-cofense-annual-state-of-email-security-report.pdf