2023十大热门电子邮件威胁类别

电子邮件在现代社会中起着至关重要的作用，是商业和个人之间沟通的主要方式之一。然而，随着科技的不断进步，电子邮件威胁也越来越多样和复杂。了解和预防这些威胁对于保护个人隐私和商业数据的安全至关重要，由此本文列出了2023十大热门电子邮件威胁类别。

本文数据摘自 Cloudflare《2023 年网络钓鱼威胁报告》，基于 Cloudflare于2022 年 5 月 2 日至 2023 年 5 月 2 日期间观察到的热门电子邮件威胁类别数据。

（来源Cloudflare《2023 年网络钓鱼威胁报告》）

1、欺骗性链接

在统计的电子邮件威胁数据中，欺骗性链接排在首位，占比35.6%，同时，欺骗性链接也是2022年第一大威胁类别。

点击欺骗性链接后，将打开用户默认的 Web 浏览器并显示链接中引用的数据，或者直接打开一个应用程序（如 PDF）。由于 HTML 中链接（即超文本）的显示文本可以任意设置，攻击者可以使 URL 看起来链接的是一个良性网站，而实际上却是恶意网站。

2、域名年龄(新注册的域名)

在统计的电子邮件威胁数据中，域名年龄占比也不小，占比为30%。而域名年龄与域名信誉有关。例如，域名注册后立即发送大量新邮件的域名信誉往往较差，因此得分也较低。

3、身份欺骗

身份欺骗发生于攻击者或具有恶意的人发送一封声称自己是其他人的电子邮件。这种欺骗在机制和策略上各不相同。一些策略包括：注册看起来相似的域名（又称域名假冒）、伪造或利用显示名称技巧，使电子邮件看起来像来自可信的域名。其他变种包括使用域前置 (domain fronting) 和高信誉的 Web 服务平台发送电子邮件。

4、凭证获取

凭证获取就是攻击者通过欺骗用户提供登录凭据。不知情的用户可能会输入他们的凭据，最终为攻击者提供自己账户的访问权。

5、品牌假冒

品牌假冒是一种身份欺骗形式，攻击者发送网络钓鱼信息，冒充知名公司或品牌。品牌假冒中会利用各种各样的手段来进行欺骗。

根据相关数据，近1年的时间里，约有 1,000 个不同的品牌遭到冒充，而50%以上攻击者的电子邮件会选择假冒全球 20 大知名品牌其中之一（见下图），其中排名前三的分别是微软、世界卫生组织（WHO）以及谷歌（Google）。

6、邮件附件

邮件附件，在攻击环境下打开或执行时，包含一个行动号召（如引诱目标去点击链接）或执行攻击者设置的一系列行动。

7、ASN声誉

ASN声誉一般也称之为域名信誉，ASN声誉是电子邮件服务提供商在可信度方面分配给域名的总体分数，ASN声誉越好，用户信任度也更高，而攻击者往往会利用这一点，先一步为电子邮件创造良好的声誉，以获取用户信任。

8、勒索邮件

勒索邮件指的是黑客通过发送恐吓邮件，要求受害者支付赎金，否则将泄露其私人信息或破坏其声誉。

9、欺诈邮件

欺诈邮件通过发送虚假或误导性信息的电子邮件来达到欺骗收件人的目的。欺诈邮件经常伪装身份来骗取受害者的个人信息、财产和其他重要数据。

10、获取邮件账户

攻击者通过各种技术手段，获取邮件的账户密码，以用户登录邮箱，获取个人信息、交易信息以及其他事物信息等。

近期案例：

1、利用微软品牌的电子邮件威胁事件

2023年年初，Cloudflare 发现并阻止了一个利用微软品牌的电子邮件威胁事件，该事件结合了品牌假冒、欺骗性链接、凭证获取等3种威胁，试图通过一个合法但被入侵的网站获取凭据。

在下面的电子邮件示例中，攻击者使用了 Microsoft Office 365 品牌，且尽管电子邮件呈现了文字，但正文中却没有任何文本。整个正文是一个超链接的 JPEG 图像。因此，如果收件人点击了正文中的任何地方（即使他们并不打算点击链接），他们实际上就是在点击链接，而点击此链接后，目标浏览器就会被重定向到一个已被入侵并用于托管凭据收割机的网站。

在本例中，攻击者的技巧包括：

• 只包含 JPEG 图像（没有 OCR 就无法检测到文字）
• 在该图片中嵌入一个超链接（点击正文中的任何位置都将导致点击该链接）
• 超链接到百度 URL（用于绕过基于信誉的 URL 检测技术）
• 百度 URL 将收件人的浏览器重定向到一个凭据收割网站（即可以规避其他无法进行深度链接检查的电子邮件安全防御系统）
• 在已遭到攻击者入侵的合法网站上托管凭据收割机（即使使用深度链接检测，也会再次尝试绕过基于信誉的 URL 检测技术）  

这种攻击手段利用了百度的高信誉和真实性，绕过了托管凭据收割机的真实主机/IP 的信誉。

2、以硅谷银行为主题的电子邮件威胁事件

在2023 年 3 月，以硅谷银行为主题的电子邮件威胁事件结合了品牌假冒、欺骗性链接和恶意附件等3种威胁，让人防不胜防。

在本例中，攻击者在以 DocuSign 为主题的模板中使用了 SVB 品牌。这封邮件包含了 HTML 代码，该代码包含一个初始链接和一个复杂的重定向链，重定向链有四个深度。攻击中包含的 HTML 文件会将收件人发送到具有递归重定向功能的 WordPress 实例。

总结和建议

攻击者的战术不断更新变化，各种电子邮件威胁手段层出不穷，在电子邮件到达收件箱之前、期间和之后，必须实施多重保护。锐成信息建议：

• 使用企业邮箱，制定企业邮箱系统安全策略；
• 给予员工信息安全培训，提高钓鱼攻击安全意识；
• 部署邮件安全证书，对发件人进行身份签名认证，加密邮件内容。

以帮助用户识别和拦截伪造、欺诈邮件，远离钓鱼邮件，避免邮件信息泄露！

原文链接：https://blog.cloudflare.com/2023-phishing-report/