受新冠疫情影响,全球大部分企业开启远程办公模式,企业对电子邮件的依赖也达到了前所未有的地步。与此同时,电子邮件也成为网络犯罪分子的主要攻击目标,他们通过各种手段窃取敏感数据,并通过一系列复杂攻击手段传播危险的恶意软件。日前,北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)对过去一年全球邮件威胁状况进行研究与分析,并发布《2021年网际思安全球邮件威胁报告》(以下简称“报告”)。
一、持续增长的邮件威胁
根据凯捷研究院(Capgemini Research Institute)的《未来远程混合工作模式的挑战和机会2021》报告,目前约40%的组织有超过70%的员工正在远程办公,并且大约三分之一的组织期望他们的员工在未来的两到三年内有超过70%的比例远程办公,而在疫情前,这一比例仅为十分之一。
图1采用远程办公模式的组织占比(来源:凯捷研究院)
报告数据显示,全球邮件威胁总数量相对2020年同比上升4.4%,相对2019年同比上升56.3%。
图2 2021年全球邮件威胁趋势图
具体来看,2021年各类别的邮件威胁概况如下:
•垃圾邮件在全球邮件总数量中的占比约为45%;
•在全球前十大垃圾邮件制造国中,俄罗斯仍然长期排列第一位,制造了全球约四分之一的垃圾邮件;
•与我国域名“.cn”关联的钓鱼网站数量急剧增加;
•钓鱼网站域名中,仿冒知名“门户网站”和“在线购物”网站的域名分列第一和第二位,两者合计占据了接近50%的钓鱼网站比例;
•通过微软EXCEL类型文档传播病毒的数据急剧上升,占到所有病毒文件总数的39.19%;
•RAR和ZIP仍然是风险较大的两种恶意压缩文件类型,合计占据高达72%的比例;
•通过邮件传播的僵尸网络软件类型总数,相对2020年同比上涨82%,每月新增约700个新僵尸网络软件类型。
二、垃圾邮件威胁
2021年,垃圾邮件在全球邮件总数量中的占比约为45%。其中在2021年6月经历了垃圾邮件的峰值,约占全球邮件总数量的48.03%。
图3 2021年各月份垃圾邮件占比趋势图
而在全球前十大垃圾邮件制造国中,俄罗斯仍然长期排列第一位,制造了全球约四分之一的垃圾邮件。
图4 2021年各个国家的垃圾邮件占比
三、钓鱼邮件威胁
在2021年,邮件中钓鱼链接所使用的域名后缀中,“.com”和“.xyz”仍然排名前两位,分别占据了29.17%和14.17%的比例。而与我国域名“.cn”所关联的钓鱼网站数量急剧增加,占比9.01%。
图5 2021年与各类域名关联的钓鱼网站占比
而在黑客使用的钓鱼网站域名中,仿冒知名“门户网站”和“在线购物”网站的域名分别排列第一和第二位,两者合计占据了接近50%的钓鱼网站比例。而金融类的“银行”和“在线支付”分列第三和第四位,两者合计占据了接近20%的钓鱼网站比例。另外,社交类的“社交网络与博客”和“即时聊天”分列第五和第六位。
图6 2021年钓鱼网站仿冒的行业类型占比
四、APT与病毒威胁
2021年通过微软EXCEL类型文档传播病毒的数据急剧上升,占到所有病毒文件总数的39.19%。而因为全球反病毒软件的升级,曾经在2020年占据高达46.48%传播途径的微软WORD文档类型,在2021年只占所有病毒文件总数的4.48%。但无论黑客攻击手段如何变化,办公文档类型仍然是黑客喜欢的攻击通道。
图7 2021年通过邮件传播的病毒文件类型占比
恶意文件通常会被打包在压缩文件中,用于躲避对恶意文件的检测。图8展示了在2021年涉及恶意文件的压缩包格式,其中RAR和ZIP仍然是风险较大的两种压缩文件类型,合计占比高达72%。
图8 2021年通过邮件传播的压缩文件类型占比
在所有通过邮件传播的恶意软件中,用于盗窃受害者设备密码的Agensla特洛伊木马病毒占比较大(9.74%)。而伪装成电子文档的Badun特洛伊木马病毒位居第二位(6.89%)。
图9 2021年通过邮件传播的恶意软件类型占比
五、僵尸网络威胁
僵尸网络是指采用一种或多种传播手段,将大量主机感染僵尸病毒,可用于网络犯罪分子的各种活动,包括发送垃圾邮件和进行分布式拒绝服务攻击。任何连接互联网的设备都可能被攻击,包括笔记本电脑、台式电脑、智能手机、无线路由器等。
图10 2021年每月新增僵尸网络软件类型的数量
报告数据显示,2021年通过邮件传播的僵尸网络软件类型总数,相对2020年同比上涨82%,每月新增约700个新僵尸网络软件类型。
六、2022年邮件安全预测
该报告对2022年邮件安全威胁趋势展开如下预测:
1.更严格的邮件安全合规监管
2021年,《数据安全法》和《个人隐私保护法》相继颁布。可以预见的是,针对两项新法律的具体监管措施都将在2022年逐步落地。而邮件作为数据和个人隐私保护不可分割的一部分,必将面临更严格的邮件安全合规监管。
2.采用AI驱动的邮件威胁防护技术
人工智能技术已经在网络安全行业的其他领域证明了其有效性和预测性。而针对邮件威胁防护,人工智能技术无论是通过行为分析对当前邮件威胁的识别,还是通过大数据分析技术对未来威胁的预警都有很大优势。2022年,更多的企业将积极采用AI驱动的邮件威胁防护技术来提升防护效率。
3.针对云邮箱的威胁持续增长
随着新冠疫情的延续和远程办公需求的持续增加,2021年云邮箱账户数量持续大幅度增长。而云邮箱因为处于企业外网,缺乏防火墙、IDS/IPS和邮件安全网关的防护,更容易被黑客渗透攻击。根据对过往数据的分析,MailSec Lab预测2022年针对企业云邮箱的攻击将成倍增长。
4.办公文档仍然是病毒的较大载体
微软Office办公文档已持续多年成为病毒传播的较大载体,占据了近50%的比例。随着远程办公的持续增长,如何准确识别邮件附件中的恶意办公文档,仍然是IT管理员需要关注的点。
5.订阅式云邮件安全服务将持续增长
因为中小企业在邮件威胁防护方向的资金投入有限,而日益复杂和频繁的邮件威胁攻击导致很多企业难以应对。我们预测2022年订阅式云邮件安全服务将持续增长,在全球经济不景气的情况下,它可以为中小企业提供较具性价比的选择。
6.威胁情报辅助的邮件安全
邮件安全相关威胁情报的应用将更加成熟,从只是简单的邮件服务器日志分析,逐步过渡到应用于邮件威胁的实时分析和对攻击行为的研判。威胁情报的应用将进一步提升邮件威胁判断的实时性、准确性和全面性。
