信息化觀察網(wǎng)

受新冠疫情影響，全球大部分企業(yè)開啟遠程辦公模式，企業(yè)對電子郵件的依賴也達到了前所未有的地步。與此同時，電子郵件也成為網(wǎng)絡犯罪分子的主要攻擊目標，他們通過各種手段竊取敏感數(shù)據(jù)，并通過一系列復雜攻擊手段傳播危險的惡意軟件。日前，北京網(wǎng)際思安科技有限公司麥賽郵件安全實驗室（MailSec Lab）對過去一年全球郵件威脅狀況進行研究與分析，并發(fā)布《2021年網(wǎng)際思安全球郵件威脅報告》（以下簡稱“報告”）。

一、持續(xù)增長的郵件威脅

根據(jù)凱捷研究院（Capgemini Research Institute）的《未來遠程混合工作模式的挑戰(zhàn)和機會2021》報告，目前約40%的組織有超過70%的員工正在遠程辦公，并且大約三分之一的組織期望他們的員工在未來的兩到三年內(nèi)有超過70%的比例遠程辦公，而在疫情前，這一比例僅為十分之一。

圖1采用遠程辦公模式的組織占比（來源：凱捷研究院）

報告數(shù)據(jù)顯示，全球郵件威脅總數(shù)量相對2020年同比上升4.4%，相對2019年同比上升56.3%。

圖2 2021年全球郵件威脅趨勢圖

具體來看，2021年各類別的郵件威脅概況如下：

•垃圾郵件在全球郵件總數(shù)量中的占比約為45%；

•在全球前十大垃圾郵件制造國中，俄羅斯仍然長期排列第一位，制造了全球約四分之一的垃圾郵件；

•與我國域名“.cn”關聯(lián)的釣魚網(wǎng)站數(shù)量急劇增加；

•釣魚網(wǎng)站域名中，仿冒知名“門戶網(wǎng)站”和“在線購物”網(wǎng)站的域名分列第一和第二位，兩者合計占據(jù)了接近50%的釣魚網(wǎng)站比例；

•通過微軟EXCEL類型文檔傳播病毒的數(shù)據(jù)急劇上升，占到所有病毒文件總數(shù)的39.19%；

•RAR和ZIP仍然是風險較大的兩種惡意壓縮文件類型，合計占據(jù)高達72%的比例；

•通過郵件傳播的僵尸網(wǎng)絡軟件類型總數(shù)，相對2020年同比上漲82%，每月新增約700個新僵尸網(wǎng)絡軟件類型。

二、垃圾郵件威脅

2021年，垃圾郵件在全球郵件總數(shù)量中的占比約為45%。其中在2021年6月經(jīng)歷了垃圾郵件的峰值，約占全球郵件總數(shù)量的48.03%。

圖3 2021年各月份垃圾郵件占比趨勢圖

而在全球前十大垃圾郵件制造國中，俄羅斯仍然長期排列第一位，制造了全球約四分之一的垃圾郵件。

圖4 2021年各個國家的垃圾郵件占比

三、釣魚郵件威脅

在2021年，郵件中釣魚鏈接所使用的域名后綴中，“.com”和“.xyz”仍然排名前兩位，分別占據(jù)了29.17%和14.17%的比例。而與我國域名“.cn”所關聯(lián)的釣魚網(wǎng)站數(shù)量急劇增加，占比9.01%。

圖5 2021年與各類域名關聯(lián)的釣魚網(wǎng)站占比

而在黑客使用的釣魚網(wǎng)站域名中，仿冒知名“門戶網(wǎng)站”和“在線購物”網(wǎng)站的域名分別排列第一和第二位，兩者合計占據(jù)了接近50%的釣魚網(wǎng)站比例。而金融類的“銀行”和“在線支付”分列第三和第四位，兩者合計占據(jù)了接近20%的釣魚網(wǎng)站比例。另外，社交類的“社交網(wǎng)絡與博客”和“即時聊天”分列第五和第六位。

圖6 2021年釣魚網(wǎng)站仿冒的行業(yè)類型占比

四、APT與病毒威脅

2021年通過微軟EXCEL類型文檔傳播病毒的數(shù)據(jù)急劇上升，占到所有病毒文件總數(shù)的39.19%。而因為全球反病毒軟件的升級，曾經(jīng)在2020年占據(jù)高達46.48%傳播途徑的微軟WORD文檔類型，在2021年只占所有病毒文件總數(shù)的4.48%。但無論黑客攻擊手段如何變化，辦公文檔類型仍然是黑客喜歡的攻擊通道。

圖7 2021年通過郵件傳播的病毒文件類型占比

惡意文件通常會被打包在壓縮文件中，用于躲避對惡意文件的檢測。圖8展示了在2021年涉及惡意文件的壓縮包格式，其中RAR和ZIP仍然是風險較大的兩種壓縮文件類型，合計占比高達72%。

圖8 2021年通過郵件傳播的壓縮文件類型占比

在所有通過郵件傳播的惡意軟件中，用于盜竊受害者設備密碼的Agensla特洛伊木馬病毒占比較大（9.74%）。而偽裝成電子文檔的Badun特洛伊木馬病毒位居第二位（6.89%）。

圖9 2021年通過郵件傳播的惡意軟件類型占比

五、僵尸網(wǎng)絡威脅

僵尸網(wǎng)絡是指采用一種或多種傳播手段，將大量主機感染僵尸病毒，可用于網(wǎng)絡犯罪分子的各種活動，包括發(fā)送垃圾郵件和進行分布式拒絕服務攻擊。任何連接互聯(lián)網(wǎng)的設備都可能被攻擊，包括筆記本電腦、臺式電腦、智能手機、無線路由器等。

圖10 2021年每月新增僵尸網(wǎng)絡軟件類型的數(shù)量

報告數(shù)據(jù)顯示，2021年通過郵件傳播的僵尸網(wǎng)絡軟件類型總數(shù)，相對2020年同比上漲82%，每月新增約700個新僵尸網(wǎng)絡軟件類型。

六、2022年郵件安全預測

該報告對2022年郵件安全威脅趨勢展開如下預測：

1.更嚴格的郵件安全合規(guī)監(jiān)管

2021年，《數(shù)據(jù)安全法》和《個人隱私保護法》相繼頒布?？梢灶A見的是，針對兩項新法律的具體監(jiān)管措施都將在2022年逐步落地。而郵件作為數(shù)據(jù)和個人隱私保護不可分割的一部分，必將面臨更嚴格的郵件安全合規(guī)監(jiān)管。

2.采用AI驅(qū)動的郵件威脅防護技術

人工智能技術已經(jīng)在網(wǎng)絡安全行業(yè)的其他領域證明了其有效性和預測性。而針對郵件威脅防護，人工智能技術無論是通過行為分析對當前郵件威脅的識別，還是通過大數(shù)據(jù)分析技術對未來威脅的預警都有很大優(yōu)勢。2022年，更多的企業(yè)將積極采用AI驅(qū)動的郵件威脅防護技術來提升防護效率。

3.針對云郵箱的威脅持續(xù)增長

隨著新冠疫情的延續(xù)和遠程辦公需求的持續(xù)增加，2021年云郵箱賬戶數(shù)量持續(xù)大幅度增長。而云郵箱因為處于企業(yè)外網(wǎng)，缺乏防火墻、IDS/IPS和郵件安全網(wǎng)關的防護，更容易被黑客滲透攻擊。根據(jù)對過往數(shù)據(jù)的分析，MailSec Lab預測2022年針對企業(yè)云郵箱的攻擊將成倍增長。

4.辦公文檔仍然是病毒的較大載體

微軟Office辦公文檔已持續(xù)多年成為病毒傳播的較大載體，占據(jù)了近50%的比例。隨著遠程辦公的持續(xù)增長，如何準確識別郵件附件中的惡意辦公文檔，仍然是IT管理員需要關注的點。

5.訂閱式云郵件安全服務將持續(xù)增長

因為中小企業(yè)在郵件威脅防護方向的資金投入有限，而日益復雜和頻繁的郵件威脅攻擊導致很多企業(yè)難以應對。我們預測2022年訂閱式云郵件安全服務將持續(xù)增長，在全球經(jīng)濟不景氣的情況下，它可以為中小企業(yè)提供較具性價比的選擇。

6.威脅情報輔助的郵件安全

郵件安全相關威脅情報的應用將更加成熟，從只是簡單的郵件服務器日志分析，逐步過渡到應用于郵件威脅的實時分析和對攻擊行為的研判。威脅情報的應用將進一步提升郵件威脅判斷的實時性、準確性和全面性。