近日，電子郵件安全公司Cofense發布的《2024年度郵件安全報告》指出，在2023年，繞過安全電子郵件網關（SEG）的惡意電子郵件威脅增加了100%以上。換句話說，電子郵件安全解決方案并未有效地阻止威脅。

這種安全威脅不僅是真實存在，而且還在持續增長，它們很可能通過電子郵件滲透到組織中。我們都知道，只需一個漏洞就足以損害公司的財務狀況、品牌聲譽和/或與員工和客戶的關系。而糟糕的是，組織根本無法實現“足夠好”的電子郵件安全，而僅僅依賴SEG顯然是不夠的。

一、要點概述

• 在過去的12個月里，安全電子郵件網關（SEG）根本無法跟上當今網絡釣魚活動不斷發展和復雜的本質；
• Cofense檢測到每分鐘都有惡意郵件繞過其客戶的SEG；
• Cofense發現，繞過SEG的惡意電子郵件數量平均增加了5%；
• 憑據網絡釣魚是2023年的首要威脅，與2022年相比，數量增長了67%；
• 電子郵件仍然是網絡犯罪的頭號威脅媒介，90%的數據泄露始于網絡釣魚；
• 醫療保健和金融仍然是受災最嚴重的行業，繞過SEG的惡意電子郵件分別增加了5%和118%；
• 網絡釣魚活動正在不斷發展，諸如語音釣魚（vishing）、短信釣魚（smishing）、品牌假冒和QR碼網絡釣魚等繞過SEG的策略都在不斷增加。Cofense報告稱，2023年QR碼活躍威脅報告增長了331%；
• 新的惡意軟件家族（包括DarkGate和PikaBot）已經出現，填補了聯邦調查局拆除Qakbot基礎設施留下的空白；
• 在2023年，91%的活躍威脅報告都是由憑據網絡釣魚造成的。

二、2024年電子郵件安全現狀

在過去的一年里，網絡安全威脅持續增加，電子郵件是攻擊的主要威脅交付機制。在這種情況下，對快速和可操作情報的需求成為保護組織免受網絡犯罪分子侵害的關鍵任務。

在短短兩年內，Cofense網絡釣魚檢測和響應（PDR）解決方案在全球范圍內發現了近80萬個獨特的惡意電子郵件活動，檢測到的電子郵件超過1500萬封。數據顯示，檢測到的惡意電子郵件數量逐年大幅增長，2023年比2022年增長了37%，比2021年增長了310%

【惡意郵件整體走勢變化圖】

1.如今的組織無法實現“足夠好”的電子郵件安全

數據顯示，SEG只能捕獲一小部分惡意威脅，其余的都進入了目標的收件箱。隨著電子郵件攻擊的頻率和嚴重程度不斷增加，培訓員工識別和報告惡意電子郵件，同時部署行業領先的解決方案來識別和修復主動繞過SEG的威脅成為至關重要的步驟。

【繞過SEG的惡意郵件增長比例，按供應商劃分】

2.在經歷了創紀錄的一年后，行業特定的SEG繞過率全面上升

近年來，金融和醫療保健這兩個最易受攻擊的行業再次成為主要的威脅對象。但是，隨著房地產和管理行業的惡意電子郵件數量急劇增加，新行業成為2023年的主要目標。

【繞過SEG的惡意郵件增長比例，按行業劃分】

3.憑據網絡釣魚威脅比2022年增長了49%

這一數據比2021年呈現出了大幅增長趨勢。在2023年，憑據網絡釣魚占已發布的活躍威脅報告（ATR）的91%，惡意軟件遠遠落后。基于這些數據，我們得出結論，憑據網絡釣魚是2023年的首要威脅。

【Cofense網絡釣魚檢測和響應（PDR）觀察到的惡意威脅】

4.ATR的熱門主題與去年相似

金融主題和通知主題分別以48%和33%的比例占據了前兩名的位置。Cofense還發現了一個新主題——旅游援助，雖然該主題的貢獻很小，僅占2%，但十分值得關注。

【ATR的熱門主題】

當涉及到網絡釣魚攻擊時，組織不能低估簡單的力量。雖然我們經常聽說高度先進和破壞性的網絡攻擊，但事實是，其中許多攻擊都是從基本的網絡釣魚活動開始的。這些活動似乎與更復雜的威脅無關，但它們仍然可以成為嚴重入侵的門戶。

三、值得關注的電子郵件安全趨勢

網絡安全領域總是在不斷發展，因此必須掌握最新的趨勢和策略。以下是組織需要在2024年保持關注的電子郵件安全趨勢。

1.憑據網絡釣魚成為頭號威脅媒介

當我們展望未來的網絡威脅時，很明顯，憑據網絡釣魚仍將是人們最關心的問題。Cofense團隊發現，2023年發布的活躍威脅報告中有91%是圍繞憑據網絡釣魚的，與前一年相比，這一比例增加了67%。

這種復雜的攻擊形式通常涉及說服個人放棄他們的登錄信息或其他敏感數據，然后用其訪問安全的系統和網絡。

憑據網絡釣魚不僅會導致毀滅性的勒索軟件攻擊和數據泄露，還會為商業電子郵件妥協（BEC）計劃鋪平道路，從而騙取公司數百萬美元。組織必須認真對待這一威脅，并努力實施強大的安全協議，以防止各種形式的憑據網絡釣魚，如釣魚、詐騙、二維碼網絡釣魚和其他危險的網絡攻擊。

2.QR碼在網絡釣魚活動中的使用率正在迅速增加

在網絡釣魚威脅領域，QR碼是一個值得密切關注的主要話題。QR碼改變了攻擊媒介，使威脅者能夠欺騙受害者使用他們的智能手機，而這些智能手機通常沒有受到企業級控制措施的保護，因此更容易受到攻擊。去年，Cofense報告稱，在ATR中，Q碼的使用率增加了331%。

隨著使用QR碼的活動規模和復雜性的增長，組織不僅要跟蹤QR碼本身，還要跟蹤發送QR碼的電子郵件的上下文。一些帶有QR碼的電子郵件以附件形式（如HTM、pdf或Word文檔）發送，其他郵件則使用嵌入在電子郵件中的圖像或從外部來源渲染的QR碼。最近的QR碼活動利用了廣泛的電子郵件主題，而非局限于早期主要使用多因素身份驗證來引誘受害者的方式。

• 當涉及到來自實際QR碼的URL時，往往有許多不同的特征，例如它們的目的是作為合法重定向，鏈接縮短器等，或者其中一個重定向頁面使用Cloudflare CAPTCHA。
• 與嵌入QR碼的URL相關的最常見特征是CAPTCHA、多因素認證（MFA）和開啟重定向到憑據網絡釣魚頁面的URL。
• QR碼最常見的來源是嵌入在電子郵件內容中的代碼或附加的.pdf、.htm或.doc文件。
• QR碼郵件的主題很可能是MFA主題，包含日期和個人身份信息。
• 嵌入QR碼的URL域類型可能是惡意的或受損的、合法的、與QR碼相關的，以及標準的鏈接縮短服務。
• 嵌入QR碼的合法URL域名涉及必應、谷歌、百度和其他5個小來源。

3.威脅行為者通過品牌仿冒和語音釣魚來引誘受害者

品牌仿冒和語音釣魚（vishing）活動是威脅行為者用來欺騙受害者點擊惡意鏈接或提供敏感信息的主要手段。在品牌仿冒攻擊中，網絡犯罪分子會使用知名公司的名稱、標志和其他品牌元素來欺騙受害者，使其相信通信是合法的。一旦成功獲得受害者的信任，他們就會利用這種關系來進一步實施惡意活動。

另一方面，語音釣魚運動通常從電子郵件開始，但涉及使用語音呼叫或自動電話信息來操縱受害者提供機密信息。攻擊者可能會冒充受信任的組織或金融機構的代表，并使用社會工程策略來獲取個人數據，如登錄憑據或信用卡號碼?？紤]到通過電話號碼訪問個人信息的便利性，以及智能手機的普及性，語音釣魚正變得越來越流行。

Cofense發現，這兩種戰術在2023年都有所上升。無論是語音釣魚還是品牌仿冒策略都都能有效地繞過SEG；它們通常沒有附件或明顯的鏈接，這使得傳統的基于文件和文本的檢測軟件很難發現這些形式的網絡釣魚。此外，由于用戶通過個人智能手機和電話等非傳統方法與這些策略進行交互，這些類型的網絡釣魚通常將用戶置于公司環境及其安全協議的保護之外。

4.惡意軟件戰術仍在繼續演變

【2023年頂級惡意軟件家族】

5.DarkGate和PikaBot

從2023年9月開始傳播DarkGate惡意軟件的網絡釣魚活動已經演變成威脅領域中最先進的網絡釣魚活動之一，從那時起，該活動開始不斷發展，并使用規避策略和反分析技術繼續傳播DarkGate惡意軟件，以及最近的PikaBot惡意軟件。

在QakBot活動消亡的一個月后，DarkGate活動開始激增，并且遵循了威脅行為者部署QakBot惡意軟件和僵尸網絡的相同趨勢。該活動向廣泛的行業傳播了大量電子郵件，并且由于所交付的惡意軟件的加載能力，目標可能面臨更復雜的威脅。

2023年8月，聯邦調查局和司法部宣布他們已經關閉了QakBot的基礎設施，從那以后，QakBot一直保持沉默，并未出現惡意軟件基礎設施的重大活動。雖然找到QakBot威脅參與者和新的DarkGate活動之間的直接聯系可能很困難，但我們可以展示兩者之間的相似之處。

從活動的時間線開始，Cofense最后一次報道QakBot是在6月底，而DarkGate的報道是在7月首次出現。新的攻擊活動采用了與QakBot網絡釣魚活動相同的策略，包括劫持電子郵件線程作為初始感染，具有限制用戶訪問的獨特模式的URL，以及與QakBot幾乎相同的感染鏈。此外，該惡意軟件家族使用的方法也與研究人員預期的QakBot分支機構使用的方法相同。除了許多其他功能外，這兩個惡意軟件家族都可以充當加載程序，向未知的受感染機器添加額外的惡意有效載荷。

【Qakbot和DarkGate/PikaBot活動的時間線】

6.Emotet/Geodo

Emotet/Geodo聽起來像是科幻電影里的名字，但它們代表了近年來最具破壞性的惡意軟件活動之一。這種惡意軟件于2014年首次在歐洲被發現，隨著時間的推移，它變得越來越復雜，并已蔓延到全球，感染了無數計算機，對個人和專業網絡造成了廣泛的破壞。

聯邦調查局于2017年展開了首次相關調查。在調查過程中，FBI發現，在某些情況下，該惡意軟件以銀行木馬的形式傳播，記錄在線銀行憑據，然后從受害者的賬戶中竊取信息。在其他情況下，Emotet允許安裝惡意軟件，從而實現勒索軟件攻擊。

2021年，執法部門拆除了Emotet運營的基本組成部分，成功關閉了全球160萬臺計算機上被惡意打開的訪問權限。

Emotet受到了重創，但與其他惡意攻擊一樣，攻擊者似乎總能活到最后。Emotet活動的長時間中斷很常見，隨后往往是惡意電子郵件傳播的激增。

在2023年，Cofense研究人員在Emotet中觀察到新的活動，Emotet使用幾個稱為“epoch”的僵尸網絡，且每個僵尸網絡都被分配了自己的命令和控制（C2）基礎設施。今年1月，Cofense又觀察到.dll文件更新被發送到每個epoch，幾乎可以肯定地是配置機器人來聯系新的基礎設施。

正如預測的那樣，在經歷幾個月的中斷之后，Emotet僵尸網絡于2023年3月7日恢復了電子郵件活動。

7.Agent Tesla

Agent Tesla，一個用.NET編寫的鍵盤記錄程序，可以監視擊鍵，截取屏幕截圖，從各種應用程序竊取密碼，并通過通用協議將這些數據泄露回威脅行為者，同時在用戶的計算機上保持隱蔽。

Agent Tesla首次出現在2014年，從那以后便一直是惡意軟件領域的主要產品。這個鍵盤記錄程序最初是在一個土耳其網站上宣傳的，作為一款遠程訪問工具，它不僅可以編譯密碼，監控按鍵，還可以避免被殺毒軟件捕獲。Agent Tesla鍵盤記錄程序可執行文件通常通過電子郵件的直接附件發送。

Agent Tesla多年來經歷了各種各樣的升級，除了旨在確保每個新版本都可以繞過反病毒掃描的變化之外，它現在還宣傳能夠從超過55個應用程序竊取憑據，包括web瀏覽器，VPN應用程序，FTP應用程序和郵件客戶端。它還繼續提高其規避或避免沙箱技術的能力。雖然最初只使用SMTP與攻擊者通信，但它現在也支持通過FTP、HTTP、DiscordWebhooks和Telegram進行通信。

8.谷歌AMP：一種新的、規避式網絡釣魚策略

一種利用谷歌加速移動頁面（AMP）的新型網絡釣魚策略已經進入威脅領域，并被證明在達到預定目標方面非常成功。Google AMP是一個開源的HTML框架，用于構建針對瀏覽器和移動設備進行優化的網站。研究人員在這些活動中觀察到的網站托管在Google.com或Google.co.uk上，這兩個網站都被認為是大多數用戶信任的域名。這種網絡釣魚活動不僅使用Google AMP URL來逃避安全，而且還結合了許多其他已知的成功繞過電子郵件安全基礎設施的TTP。

Cofense觀察到，與前六個月相比，在2023年的最后六個月，繞過SEG的谷歌AMP郵件增加了1092%。

9.BEC：耗費企業數百億美元

雖然商務郵件泄露（BEC）并沒有進入我們最值得關注的趨勢名單，但它仍然是企業面臨的一個明確而現實的危險。值得一提的是，BEC連續第八年成為“最具破壞性的網絡犯罪活動”之一。美國聯邦調查局的數據顯示，由于商業電子郵件泄露，為全球企業造成了510億美元的損失。全球90%的國家都存在BEC受害者，而且騙子們仍在繼續利用這種犯罪方式獲取巨大成功。美國聯邦調查局(FBI)的數據顯示，由于商業電子郵件泄露，造成了510億美元的損失

雖然垃圾郵件過濾器已經轉變為惡意軟件檢測器，但它們往往無法捕捉到基于對話的網絡釣魚攻擊，導致年復一年數十億美元被盜。

BEC是憑據網絡釣魚的一個子集，但鑒于其流行和成功記錄，它經常被當作一個單獨的類別來討論。通過訪問組織的電子郵件帳戶，騙子可以執行“man-in-the-mailbox”攻擊。當他們找到重定向交易的機會時，他們會用新的信息回復電子郵件，這些信息通常來自類似的域名或受損的基礎設施。通過修改帶有新賬戶詳細信息的發票，騙子成功地重定向了資金，使交易難以逆轉。

雙因素身份驗證（2FA）是針對這些攻擊的推薦防御措施。然而，騙子已經找到了一種通過“adversary-in-the-middle”技術繞過2FA方法，通過劫持會話cookie獲得對用戶帳戶的訪問權限。

另一種不為人知的技術是工資轉移騙局。攻擊者以人力資源部門為目標，操縱財務記錄來轉移員工的直接存款。這些攻擊通常未被廣泛報道和注意，從而給予騙子繼續其欺詐活動的機會。

傳統的防御措施已不足以抵御BEC攻擊。企業必須保持警惕，并實施強大的安全措施，以保護其財務和敏感信息。

原文鏈接：https://cofense.com/pdf/2024-cofense-annual-state-of-email-security-report.pdf