2021年第四季度的釣魚郵件數量環比增長3.6%，季度增幅不大。

但是釣魚郵件總量同比去年同期增長95.43%，郵件安全威脅的形勢不容樂觀。

以上數據均來自CAC郵件安全大數據中心。

三、Q4郵件安全數據解讀

1. Emotet病毒郵件攻擊案例詳解

11-12月偵測到大規模Emotet病毒郵件攻擊。

攻擊者發送帶宏病毒附件的惡意郵件，受害者打開附件后計算機會被木馬感染，其歷史郵件、郵件通訊錄信息泄露。

得到用戶的歷史郵件及通訊錄等敏感信息后，攻擊者再利用歷史郵件信息構造更多的惡意郵件，通過僵尸網絡發送大量的惡意郵件給域內用戶，嚴重影響正常辦公。

攻擊者使用僵尸網絡投遞惡意郵件，使用戶服務器在短時間內收到巨量惡意郵件，綜合而言，此次Emotet病毒郵件攻擊有以下幾個特點：

(1) 信息攻擊者利用歷史郵件收發關系構造病毒郵件，部分郵件使用了歷史郵件正文，目的是獲取收件人的信任關系。

(2) 使用了大量僵尸賬號、攻擊IP資源，實現了發信賬號、攻擊IP的高頻率切換，目的是繞過反釣魚的IP限制機制。

(3) 病毒樣本為宏病毒，進行了免殺處理。部分郵件通過下載鏈接、加密壓縮等形式進一步加強免殺，目的是繞過當前反病毒的特征查殺。

(4) 病毒釋放的文件為下載器，下載的攻擊載荷疑似具有遠控功能。

根據以上的攻擊規模、手法可以判斷，此次emotet是一次大規模病的毒郵件攻擊，攻擊范圍廣泛，Coremail的多個客戶遭受到攻擊。

經過病毒溯源，此次攻擊發起者可能為TA551組織。

(5) 目前CAC云安全中心通過添加郵件特征規則、設置yara二進制特征識別規則、部署奇安信殺毒引擎并持續向奇安信反饋樣本，針對性加強攔截能力。

如上圖所示，此案件呈現出以下特征： 

此釣魚郵件設計地非常粗糙，攻擊者仿冒為郵件管理員，簡單粗暴命令要求用戶回復賬號密碼。

盡管十分可疑，但未接受過反釣魚演練，意識防護低的用戶無法察覺，仍會有用戶如實進行回復。

此釣魚郵件還呈現出以下特點：

（1）攻擊者使用的發信人與最后需要用戶回復的郵箱明顯不一致。

發件人為admin的偽造用戶，無法正常用于郵件交互。而最后需要用戶回復的郵箱則為foxmail個人郵箱，用于搜集信息。攻擊者使用這類免費的個人郵箱，會導致溯源工作難度增大。

（2）根據郵件內容，它規避了反釣魚常用的URL鏈接檢查和附件代碼檢查，僅使用文本進行釣魚，增加了反釣魚的檢測難度。

（3）基于以上兩點可以判斷，攻擊者使用特制的純文本郵件用于誘導用戶回復，反釣魚只能通過文本指紋技術去檢測，若再次收到此類釣魚郵件，可反饋給反釣魚廠商，用于提升釣魚郵件文本指紋庫的數據質量。

四、Q4深度溯源案例

Q4季度，中睿天下通過睿眼分析監控到新型繞過釣魚郵件，通過云檢測平臺不完全統計，在各大基礎設施單位共發起過萬次該郵件的url檢測請求，目前還在持續增加中。

此郵件通過登錄已失陷的賬戶，偽造From字段為電信的通知賬戶，讓收件人以為該郵件是來自電信發送的驗證賬戶的通知郵件，以此來誘騙收件人點擊正文中的釣魚鏈接，正文通過文本混淆的方式來繞過網關的檢測。

鏈接訪問后會獲取當前用戶的IP地址，攻擊者以此來判斷郵箱是否存活。釣魚鏈接為安全系統的登錄頁面，誘使用戶輸入賬戶密碼以及經常登錄地點。