電子郵件在現(xiàn)代社會中起著至關(guān)重要的作用，是商業(yè)和個人之間溝通的主要方式之一。然而，隨著科技的不斷進步，電子郵件威脅也越來越多樣和復(fù)雜。了解和預(yù)防這些威脅對于保護個人隱私和商業(yè)數(shù)據(jù)的安全至關(guān)重要，由此本文列出了2023十大熱門電子郵件威脅類別。

本文數(shù)據(jù)摘自 Cloudflare《2023 年網(wǎng)絡(luò)釣魚威脅報告》，基于 Cloudflare于2022 年 5 月 2 日至 2023 年 5 月 2 日期間觀察到的熱門電子郵件威脅類別數(shù)據(jù)。

（來源Cloudflare《2023 年網(wǎng)絡(luò)釣魚威脅報告》）

1、欺騙性鏈接

在統(tǒng)計的電子郵件威脅數(shù)據(jù)中，欺騙性鏈接排在首位，占比35.6%，同時，欺騙性鏈接也是2022年第一大威脅類別。

點擊欺騙性鏈接后，將打開用戶默認的 Web 瀏覽器并顯示鏈接中引用的數(shù)據(jù)，或者直接打開一個應(yīng)用程序（如 PDF）。由于 HTML 中鏈接（即超文本）的顯示文本可以任意設(shè)置，攻擊者可以使 URL 看起來鏈接的是一個良性網(wǎng)站，而實際上卻是惡意網(wǎng)站。

2、域名年齡(新注冊的域名)

在統(tǒng)計的電子郵件威脅數(shù)據(jù)中，域名年齡占比也不小，占比為30%。而域名年齡與域名信譽有關(guān)。例如，域名注冊后立即發(fā)送大量新郵件的域名信譽往往較差，因此得分也較低。

3、身份欺騙

身份欺騙發(fā)生于攻擊者或具有惡意的人發(fā)送一封聲稱自己是其他人的電子郵件。這種欺騙在機制和策略上各不相同。一些策略包括：注冊看起來相似的域名（又稱域名假冒）、偽造或利用顯示名稱技巧，使電子郵件看起來像來自可信的域名。其他變種包括使用域前置 (domain fronting) 和高信譽的 Web 服務(wù)平臺發(fā)送電子郵件。

4、憑證獲取

憑證獲取就是攻擊者通過欺騙用戶提供登錄憑據(jù)。不知情的用戶可能會輸入他們的憑據(jù)，最終為攻擊者提供自己賬戶的訪問權(quán)。

5、品牌假冒

品牌假冒是一種身份欺騙形式，攻擊者發(fā)送網(wǎng)絡(luò)釣魚信息，冒充知名公司或品牌。品牌假冒中會利用各種各樣的手段來進行欺騙。

根據(jù)相關(guān)數(shù)據(jù)，近1年的時間里，約有 1,000 個不同的品牌遭到冒充，而50%以上攻擊者的電子郵件會選擇假冒全球 20 大知名品牌其中之一（見下圖），其中排名前三的分別是微軟、世界衛(wèi)生組織（WHO）以及谷歌（Google）。

6、郵件附件

郵件附件，在攻擊環(huán)境下打開或執(zhí)行時，包含一個行動號召（如引誘目標去點擊鏈接）或執(zhí)行攻擊者設(shè)置的一系列行動。

7、ASN聲譽

ASN聲譽一般也稱之為域名信譽，ASN聲譽是電子郵件服務(wù)提供商在可信度方面分配給域名的總體分數(shù)，ASN聲譽越好，用戶信任度也更高，而攻擊者往往會利用這一點，先一步為電子郵件創(chuàng)造良好的聲譽，以獲取用戶信任。

8、勒索郵件

勒索郵件指的是黑客通過發(fā)送恐嚇郵件，要求受害者支付贖金，否則將泄露其私人信息或破壞其聲譽。

9、欺詐郵件

欺詐郵件通過發(fā)送虛假或誤導(dǎo)性信息的電子郵件來達到欺騙收件人的目的。欺詐郵件經(jīng)常偽裝身份來騙取受害者的個人信息、財產(chǎn)和其他重要數(shù)據(jù)。

10、獲取郵件賬戶

攻擊者通過各種技術(shù)手段，獲取郵件的賬戶密碼，以用戶登錄郵箱，獲取個人信息、交易信息以及其他事物信息等。

近期案例：

1、利用微軟品牌的電子郵件威脅事件

2023年年初，Cloudflare 發(fā)現(xiàn)并阻止了一個利用微軟品牌的電子郵件威脅事件，該事件結(jié)合了品牌假冒、欺騙性鏈接、憑證獲取等3種威脅，試圖通過一個合法但被入侵的網(wǎng)站獲取憑據(jù)。

在下面的電子郵件示例中，攻擊者使用了 Microsoft Office 365 品牌，且盡管電子郵件呈現(xiàn)了文字，但正文中卻沒有任何文本。整個正文是一個超鏈接的 JPEG 圖像。因此，如果收件人點擊了正文中的任何地方（即使他們并不打算點擊鏈接），他們實際上就是在點擊鏈接，而點擊此鏈接后，目標瀏覽器就會被重定向到一個已被入侵并用于托管憑據(jù)收割機的網(wǎng)站。

在本例中，攻擊者的技巧包括：

• 只包含 JPEG 圖像（沒有 OCR 就無法檢測到文字）
• 在該圖片中嵌入一個超鏈接（點擊正文中的任何位置都將導(dǎo)致點擊該鏈接）
• 超鏈接到百度 URL（用于繞過基于信譽的 URL 檢測技術(shù)）
• 百度 URL 將收件人的瀏覽器重定向到一個憑據(jù)收割網(wǎng)站（即可以規(guī)避其他無法進行深度鏈接檢查的電子郵件安全防御系統(tǒng)）
• 在已遭到攻擊者入侵的合法網(wǎng)站上托管憑據(jù)收割機（即使使用深度鏈接檢測，也會再次嘗試繞過基于信譽的 URL 檢測技術(shù)）  

這種攻擊手段利用了百度的高信譽和真實性，繞過了托管憑據(jù)收割機的真實主機/IP 的信譽。

2、以硅谷銀行為主題的電子郵件威脅事件

在2023 年 3 月，以硅谷銀行為主題的電子郵件威脅事件結(jié)合了品牌假冒、欺騙性鏈接和惡意附件等3種威脅，讓人防不勝防。

在本例中，攻擊者在以 DocuSign 為主題的模板中使用了 SVB 品牌。這封郵件包含了 HTML 代碼，該代碼包含一個初始鏈接和一個復(fù)雜的重定向鏈，重定向鏈有四個深度。攻擊中包含的 HTML 文件會將收件人發(fā)送到具有遞歸重定向功能的 WordPress 實例。

總結(jié)和建議

攻擊者的戰(zhàn)術(shù)不斷更新變化，各種電子郵件威脅手段層出不窮，在電子郵件到達收件箱之前、期間和之后，必須實施多重保護。銳成信息建議：

• 使用企業(yè)郵箱，制定企業(yè)郵箱系統(tǒng)安全策略；
• 給予員工信息安全培訓(xùn)，提高釣魚攻擊安全意識；
• 部署郵件安全證書，對發(fā)件人進行身份簽名認證，加密郵件內(nèi)容。

以幫助用戶識別和攔截偽造、欺詐郵件，遠離釣魚郵件，避免郵件信息泄露！

原文鏈接：https://blog.cloudflare.com/2023-phishing-report/