根据360威胁情报中心联合Coremail论客最近发布的《2017中国企业邮箱安全性报告》，在企业级电子邮箱用户收发的邮件中，仅有约1/4为正常邮件，大量邮件属于垃圾邮件、钓鱼邮件和带毒邮件。其中，由于攻击者大量使用社会工程学手法，相比于一般的钓鱼邮件，鱼叉邮件往往更具迷惑性，同时也往往具有更加隐秘的攻击目的，普通人很难识破。企业、金融机构和政府成为主要的鱼叉攻击受害者。
对2017年全球范围内的鱼叉攻击邮件样本进行分析发现，鱼叉攻击邮件在制作手法和攻击技术等方面通常并没有什么特别之处，也很少采用什么新型技术，但却普遍采用了社会工程学的伪装方法——攻击者会精心构造邮件主题、邮件内容及附带的文档名，使其极具欺骗性、迷惑性，导致很多用户中招。此外，部分用户安全意识只停留在可执行的恶意程序上，对邮件中附带的恶意文档防范意识较弱。鱼叉邮件是指攻击者针对特定目标投递特定主题及内容的欺诈电子邮件。

2017中国企业邮箱安全性研究报告
发布日期：2018-05-08
关键词：企业邮箱、垃圾邮件、带毒邮件、钓鱼邮件、鱼叉邮件
摘要：
    截止2017年12月，活跃的中国政企机构独立邮箱域名约为500万个，中国境内企业级电子邮箱活跃用户规模约为1.2亿。
    2017年，全国企业级电子邮箱用户共收发各类电子邮件约5861.9亿封，平均每天收发到电子邮件约16.1亿封。其中，正常邮件占比约为25.4%，普通垃圾邮件占比为64.7%、钓鱼邮件4.08%、带毒邮件2.12%、谣言反动邮件2.23%，色情、赌博等违法信息推广邮件约1.47%。
    如果从正常邮件的发送量上来看，工业制造和教育培训机构发送的邮件数量最多，占比均为16.7%；其次是媒体占比为13.7%，交通运输行业占比10.6%。对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，教育培训，媒体、科研机构、医疗卫生等行业对邮件办公的依赖度最高。
    从国内企业级邮箱的活跃用户数量来看， 广州用户最多，占全国用户数的10.6%；其次为北京，占全国用户数的9.9%；上海排第三，占全国用户的7.0%。
    2017年，全国企业级邮箱用户共收到各类垃圾邮件约3792.6亿封，约占企业级用户邮件收发总量的64.7%，是企业级用户正常邮件数量的2.5倍。全国企业级用户平均每天收到约10.4亿封各类垃圾邮件。
    从发送者邮箱域名归属情况来看，来自国内的垃圾邮件最多，占总量约30.4%，来自巴西的垃圾邮件次之，占总量约27.1%，第三是美国，约占9.6%。如果从发送垃圾邮件的服务器IP归属地来看，美国排名第一占国内企业级用户收到垃圾邮件总量的49.6%；中国第二，占垃圾邮件总量的38.4%。
    对发送垃圾邮件的邮箱域名进行抽样行业分析显示，来自在华境外机构的域名占比最高，为35.5%；其次是工业制造，占比12.4%；互联网企业排第三，占比7.8%。
    2017年下半年，僵尸网络开始被大量的应用于垃圾邮件攻击。在2017年Coremail论客截获的所有垃圾邮件中，至少有10%以上的垃圾邮件是由僵尸网络产生。
    2017年，全国企业级邮箱用户共收到各类钓鱼邮件约239.2亿封，约占企业级用户邮件收发总量的4.08%，平均每天约有6553.4万封钓鱼邮件被发出和接收。
    钓鱼邮件的发送者遍布全球，其中，来自巴西的钓鱼邮件最多，占国内企业用户收到的钓鱼邮件的39.4%；其次是捷克，约占9.6%；中国排名第三，约占8.7%。
    从收到钓鱼邮件的用户分布来看，浙江省受害者最多，有39.7%的钓鱼邮件被发送至浙江用户；另有约25.2%的钓鱼邮件被发送给广东用户；约14.6%的钓鱼邮件被发送给北京用户。
    2017年，全国企业级用户共收到约124.3亿封带毒邮件，约占2017年企业级邮箱用户收发邮件总量的2.12%。平均每天约有3404.7万封带毒邮件被发出和接收。
    通过对2017年鱼叉攻击邮件抽样分析统计显示，以订单类为主题的鱼叉攻击邮件最多，占比高达39.8%，排名第二的主题是支付类，占比为19.4%。
    攻击者通过鱼叉邮件最喜欢攻击的是各个企业，占比高达61.5%，其次为金融机构，占比为14.7%，排名第三的是政府机构，占比为7.1%。
    从鱼叉邮件攻击地区知道，受攻击地区主要集中在亚洲、北美洲、欧洲，占比分别为29.8%、 23.1%、21.9%。
    在鱼叉邮件攻击中，攻击者在邮件中最喜欢携带的文档为Office文档，占比高达65.4%，其次为 RTF（Rich Text Format）文档占比达到了27.3%。
    抽样统计显示，通过宏代码来运行恶意载荷所占比例最大，达到了59.3%，其次是通过系统漏洞来执行恶意代码的方式，占比为36.3%。
    通过统计鱼叉攻击邮件携带的载荷发现，下载者木马占据第一，占比为38.3%，排名第二和第三的分别是远控木马、信息盗取木马，占比达到了23.7%和13.9%。