news 2026/7/12 18:32:21

从“广撒网”到“精准骗”:企业邮箱钓鱼的地域与战术演变

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
从“广撒网”到“精准骗”:企业邮箱钓鱼的地域与战术演变

随着数字化办公全面普及,企业邮箱已不仅是通信工具,更是组织运转的神经中枢,一旦被攻破,轻则信息泄露,重则资金损失、业务中断。公共互联网反网络钓鱼工作组成员单位广东盈世计算机科技有限公司(Coremail)长期致力于邮件安全生态建设,其联合CACTER(邮件安全品牌)发布的《2025Q3企业邮箱安全性报告》,为我们揭示了当前企业邮件安全面临的新态势、新挑战与新对策。

数据显示,企业邮箱安全形势依然严峻——正常邮件与异常邮件占比几乎“五五开”,攻击手法日趋精准化、场景化,且呈现出明显的地域迁移特征。本文将从整体态势、垃圾与钓鱼邮件演变、域内威胁变化、暴力破解趋势及综合防护建议五个维度,对报告内容进行系统解读。

一、整体邮件格局:异常邮件逼近半壁江山,安全警钟长鸣

2025年第三季度,企业用户共接收正常邮件10.59亿封,环比增长9.48%,反映出企业经营活动持续活跃。然而更值得关注的是邮件构成比例:正常邮件仅占54.64%,而包括垃圾邮件、钓鱼邮件、病毒邮件及被盗账号外发邮件在内的异常邮件合计占比高达45.36%。这意味着每两封邮件中,就有一封存在潜在风险。

这一数据说明,尽管企业普遍部署了基础邮件过滤机制,但攻击者正通过更隐蔽、更智能的方式绕过传统防线。邮件安全已不再是“有无防护”的问题,而是“防护是否精准、响应是否及时”的能力较量。

二、垃圾与钓鱼邮件:跨境攻击“西退南进”,越南跃居头号威胁源

(一)垃圾邮件总量下降,但境外占比持续攀升

本季度垃圾邮件总量为8.72亿封,环比下降10.31%,看似有所缓解。但境外垃圾邮件占比高达64.63%,且呈持续上升趋势。这表明,攻击主力正加速向海外转移,利用境外服务器规避国内监管与IP封禁。

境内垃圾邮件来源前三为北京(3520.7万封)、香港(2636.8万封)和广东(2218.0万封)。值得注意的是,香港作为国际通信枢纽,其垃圾邮件量显著增长,凸显其被滥作跨境攻击跳板的风险。

而在境外源头中,越南首次进入TOP10即登顶榜首,发送垃圾邮件2258.1万封,远超美国(1569万封)和澳大利亚(869万封)。这一“动态转移”并非偶然——越南近期接连发生国家信用中心、航空公司等重大数据泄露事件,为黑产提供了海量精准数据;加之当地邮件安全基础设施薄弱、执法成本高,使其成为攻击者的理想温床。

(二)钓鱼邮件境外占比创新高,“教育邮箱伪装”成新陷阱

钓鱼邮件总量为1.71亿封,环比下降20.45%,但境外钓鱼邮件占比飙升至70.69%,再创历史新高。攻击地理格局呈现鲜明的“西退南进”特征:传统攻击大国如俄罗斯、美国影响力减弱,而东南亚尤其是越南(2248.7万封)强势崛起。

国内钓鱼邮件则高度集中于香港(2738.7万封),远超台湾(76万封)和浙江(68.4万封),再次印证香港在跨境网络犯罪链条中的关键角色。

更值得警惕的是,钓鱼主题日益贴近企业内部场景。Top 10钓鱼主题包括“账户异常登录”“绩效补贴通知”“密码即将过期”等,刻意制造紧迫感诱导点击。部分邮件甚至使用“录登”“证验”等错别字规避关键词检测。

尤为突出的是,本季度出现了“教育邮箱伪装”和“百度搜索报错”等新型精准钓鱼场景。攻击者冒充学校邮箱或搜索引擎客服,利用员工对权威来源的信任实施诈骗。这类攻击往往绕过常规黑名单机制,识别难度极大。

行业分布上,教育行业仍是重灾区,接收钓鱼邮件2733.3万封,同时制造业、服务业既是主要受害对象,也是钓鱼邮件的重要发送源,暴露出其内部邮箱安全管理的严重短板。

三、域内安全:防护初见成效,但“高仿内部通知”仍具杀伤力

令人欣慰的是,域内(即企业内部账号之间)的安全威胁显著缓解。本季度域内钓鱼邮件仅3.57万封,环比锐减81%;被盗账号数不足500个,下降72%。这得益于企业普遍加强了域内管控,如部署邮件安全网关、启用多因素认证(MFA)等措施。

然而,攻击并未消失,而是转向更高阶的伪装。域内钓鱼主题高度聚焦“防暑降温津贴”“餐费补贴”“系统维护通知”等行政福利类内容。这些邮件外观与真实内部通知几无差别,极易诱使员工放松警惕。

例如,某员工收到标题为“【人力资源部】2025年高温补贴发放通知”的邮件,内含“点击确认收款账户”链接,实则导向伪造的登录页面。此类攻击利用的是组织内部的信任文化,技术拦截难度大,必须依靠“人防+技防”结合应对。

四、暴力破解:广撒网式攻击收敛,但精准打击仍在持续

暴力破解攻击总量和成功次数均环比下降超20%,显示“地毯式”撞库行为正在减少。但值得注意的是,攻击成功率稳定在约0.14%,说明攻击者正将资源集中于弱口令、未启用MFA的高危目标,策略更趋精准。

行业分析显示,教育、制造、服务三大行业高危账号合计占比超86%。这些行业普遍存在账号管理松散、员工安全意识薄弱、IT投入不足等问题,成为攻击者的首选目标。例如,某高校教师使用“姓名+123456”作为邮箱密码,极易被自动化工具破解。

五、综合防护建议

面对AI生成钓鱼邮件泛滥、跨境攻击源快速迁移、内部伪装日益逼真的复杂局面,单一防护手段已难奏效。企业需从技术和管理两方面“双轮”驱动,构建纵深防御体系。

技术层面:

强化高风险地区拦截:将越南等新兴攻击源IP、域名纳入重点监控名单,实施“先审核后放行”策略。

部署大模型邮件网关:利用AI深度分析邮件语义矛盾(如“紧急”却无具体联系人)、短链接跳转路径、异常发信时段等特征,提升对AI生成钓鱼邮件的识别率。

启用MFA+弱口令拦截:对高危行业强制启用多因素认证,并自动阻断使用常见弱密码的登录尝试。

管理层面:

建立域内异常行为监测机制:对“单日发信量突增”“跨部门群发陌生附件”等行为实时告警,配合邮件召回功能遏制扩散。

常态化反钓鱼演练:定期模拟“补贴通知”“系统升级”等高危场景,训练员工养成“凡内部通知必二次核实”的习惯,核实渠道应限定为企业OA、钉钉等官方平台。

六、结语

2025年第三季度的企业邮箱安全图景,是一幅“外患加剧、内忧转化”的复杂画卷。攻击者不再依赖数量优势,而是以精准情报、场景伪装和地域跳转构建高效攻击链。对企业而言,被动防御已远远不够。须将先进技术与制度管理深度融合,才能在这场没有硝烟的攻防战中守住数字门户。

数据来源:Coremail+CACTER邮件安全《2025Q3企业邮箱安全性报告》

供稿:广东盈世计算机科技有限公司(公共互联网反网络钓鱼工作组成员单位)

摘编:芦笛中国互联网络信息中心

编辑:芦笛(公共互联网反网络钓鱼工作组)

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/13 11:33:00

【建议收藏】普通人如何分一杯AI羹?大模型训练师零基础入行指南,36万年薪不是梦!

本文介绍了AI大模型训练师这一新兴职业,指出普通人无需高学历和技术背景也能入门。随着腾讯等大厂纷纷加码AI布局,AI已渗透生活各领域。训练师主要负责纠正AI回答、优化表达风格和补充知识库,工作核心是耐心、细心和基本文字表达能力。该岗位…

作者头像 李华
网站建设 2026/7/12 16:03:31

汽车的“钢铁心脏”:深度解析SHE与EVITA硬件安全模块

序幕:一场虚拟的车祸与一次真实的黑入 想象这样一个场景:2023年的一个雨夜,您驾驶着最新款的智能电动汽车行驶在高速公路上。车辆自动保持在车道中央,自适应巡航控制着与前车的距离,车载娱乐系统播放着您喜爱的音乐。突…

作者头像 李华
网站建设 2026/7/13 1:35:07

LangFlow Adapter模式兼容旧系统接口

LangFlow Adapter模式兼容旧系统接口 在企业级 AI 应用快速迭代的今天,一个普遍而棘手的问题浮现出来:如何让那些基于早期 LangChain 构建、承载着关键业务逻辑的“老系统”与现代可视化开发平台无缝协作?直接重写成本高昂,停机迁…

作者头像 李华
网站建设 2026/7/12 19:50:46

【紧急安全通告】:Open-AutoGLM默认锁定策略存在安全隐患,3步完成加固

第一章:Open-AutoGLM 账号锁定策略配置在部署 Open-AutoGLM 系统时,安全机制的配置至关重要,其中账号锁定策略是防止暴力破解和未授权访问的核心措施之一。通过合理设置登录失败尝试次数与锁定时长,可显著提升系统的身份验证安全性…

作者头像 李华
网站建设 2026/7/12 19:33:13

还在被暴力破解困扰?Open-AutoGLM动态防御机制这样设计才安全

第一章:Open-AutoGLM 暴力破解防护优化在部署 Open-AutoGLM 这类基于大语言模型的自动化系统时,API 接口常面临高频恶意请求与暴力破解攻击。为保障服务稳定性与数据安全,需构建多层级防护机制,结合速率限制、行为分析与动态响应策…

作者头像 李华