概述

2022年，网络安全威胁呈指数级增长，其中绝大多数涉及网络钓鱼也就不足为奇了。随着威胁的频率、强度和复杂性的增加，对快速和可操作性情报的需求也达到前所未有的高度。

Cofense Intelligence研究发现恶意钓鱼电子邮件增加了569%，与证书/凭据钓鱼相关的活跃威胁报告增加了478%，恶意软件增加了44%。基于这些数据，Cofense得出结论，凭据网络钓鱼是2022年的首要网络威胁。

【图1：活跃威胁报告中的顶级主题】

如上图所示，在活跃威胁报告中，占比最大的主题是金融（37%），紧随其后的是通知（36%）、账号/密码警告（8%）、文档（6%）、购物（5%）、语音邮件（3%）、订单（2%）、答复（2%）、福利（1%）以及传真（1%）。

鉴于其易操作性，网络钓鱼一直是一种关键威胁。我们经常听到大型的、破坏性的攻击事件，这些攻击听起来非常先进，超出了人们的理解。但重要的是要记住，初始访问权限通常是在事件发生之前获得的，可能来自简单的网络钓鱼活动，与任何APT组织没有明显联系。在此之后，当这些复杂的攻击引发关注时，组织不应该沉迷于搜索特定的妥协指标（IOCs）或恶意软件，而忽视了新兴的网络钓鱼威胁。随着威胁频率和强度的增加，保护和防御每天出现的网络钓鱼攻击不仅至关重要，而且是必要的基础操作。

重点发现

根据Cofense发布的《2023年电子邮件安全报告》显示，电子邮件安全领域的五大亮点是：

• 凭据网络钓鱼是最大的攻击载体，发现的恶意电子邮件增加了478%；
• Emotet和QakBot仍然是最值得关注的恶意软件家族；
• 商业电子邮件欺诈（BEC）连续第8年成为最严重的网络犯罪形式之一；
• 网络钓鱼活动中使用的Web3技术增加了341%；
• Telegram机器人恶意活动增加了800%。

网络安全形势一直在发展，因此必须掌握最新的趋势和策略。为了更深入地了解电子邮件威胁趋势，以下为报告详情。

2022年最大的攻击载体：凭据网络钓鱼

Cofense Intelligence的调查数据显示，凭据网络钓鱼仍然是主要威胁，2022年与证书钓鱼相关的活跃威胁报告增加了478%。这种威胁类别在勒索软件攻击链中仍然发挥着重要作用，在商业电子邮件欺诈（BEC）中也是如此：当用户易受凭据网络钓鱼攻击时，虽然密码可能已被重置，但威胁行为者可以通过添加与金融交易（如发票，采购订单，报价）相关的关键字的自动转发规则，在收件箱中保持持久性。然后，这些电子邮件反过来被用于针对下游组织发起BEC攻击。

【Cofense钓鱼防御中心（PDC）观察到的恶意威胁：凭据网络钓鱼始终是最大的攻击载体】

Emotet和QakBot仍是最值得关注的恶意软件家族

在整个2022年，我们详细分析并评估了下图所示的顶级恶意软件家族。然而，在这份报告中，我们想提供一个快速参考指南，以了解为2022年网络钓鱼活动传播贡献最大的恶意软件家族。

有几个特征可以使恶意软件家族对威胁行为者更具吸引力，比如恶意软件的特性、成本和复杂性。结合起来，这些属性决定了恶意软件在多大程度上符合威胁行为者的网络钓鱼活动议程。

【2022年排名前五的恶意软件家族】

如上所示，Emotet（及后续的恶意软件加载程序，通常是妥协的第一阶段）在列表顶部的持续位置，证明了它比所有其他恶意软件传播活动的规模都要大；键盘记录程序和远程访问木马（RAT）的数量总体上有所增加；随着像FormBook这样的恶意软件家族成为网络钓鱼威胁领域的高级商品，信息窃取程序开始呈现巨大的增长趋势。

报告还观察到，Snake键盘记录程序仍然是网络钓鱼威胁领域的主要内容。它是用.net编写的键盘记录程序，可以监视用户的击键，扫描应用程序以窃取保存的凭据，并通过各种协议窃取这些数据。虽然它不像FormBook或Agent Tesla等其他恶意软件家族那样受欢迎，但它在2022年期间确实保持了重要的存在，而且它的使用量继续增加。最后，尽管Qakbot的销量不如前五名中的其他家族那么高，但它仍然是我们最值得关注的家庭，因为它在绕过SEG和进入收件箱方面要成功得多。

BEC连续第8年成为最严重的网络犯罪形式之一

2022年，商业电子邮件欺诈（BEC）连续第8年成为与经济损失相关的主要网络犯罪形式之一。BEC在全球90%的地区造成了数十亿美元的损失，也难怪尼日利亚以外的骗子开始注意到BEC的成功。虽然SEG已经从垃圾邮件过滤器发展到现在被用于检测和潜在阻止恶意软件、恶意链接和勒索软件攻击，但许多SEG在检测此类基于对话的网络钓鱼攻击时仍然不起作用。

在过去的一年里，BEC参与者使用了许多不同的技术进行攻击，包括请求支票、电汇、工资转移和礼品卡。虽然其中许多技术都不是什么新技术，但我们已经观察到持续的混合策略使组织更难检测和缓解。通过使用和混合这些攻击，威胁行为者继续绕过SEG，操纵用户年复一年的发送数十亿美元。

成功绕过双因素认证（2FA）获得帐户访问权限

威胁行为者继续使用凭据网络钓鱼攻击来访问组织收件箱，以执行man-in-the-mailbox（MiTMbox）攻击。一旦攻击者获得了一个组织的电子邮件帐户的访问权限，他们会定期创建电子邮件转发规则来监控所有进出该帐户的流量。在某些情况下，他们会创建包含”采购订单“、”发票“或客户之间其他基于金融交易的规则。

一旦威胁行为者识别出发票或重新路由交易的机会，他们就会发起攻击，用新信息回复已知且可信的电子邮件线程。在某些情况下，这将来自一个相似的领域，在其他情况下，这将来自受损的基础设施本身。通过修改和伪造发票，使用新的银行和账户号码，骗子能够将商业交易和发票重新路由到他们控制下的账户。不幸的是，很多这样的攻击都被发现得太晚，无法成功扭转金融状况。

减轻这些攻击的最佳方法之一是使用双因素身份验证（2FA），因为对第二因素的要求使得没有第二因素几乎不可能登录到帐户。然而，在2022年，微软发布了一种骗子使用的称为adversary-in-the-middle（AiTM）的技术，该技术成功绕过了2FA身份验证。通过劫持会话cookie，EC攻击者能够访问用户的帐户。

工资转移攻击仍在盛行

工资转移骗局至今仍是BEC诈骗者爱用的手段。威胁行动者将目标瞄准拥有财务权限的人力资源部门，这些部门可以更改员工的财务记录。虽然攻击者在2014年年中开始转向针对企业和公司，但由于和礼品卡诈骗一样损失较低，所以这些攻击基本上没有报告。我们也是通过客户提交的报告，跟踪到了一波又一波的工资转移攻击，这意味着这些攻击仍然成功地绕过了电子邮件网关。

执法部门打击网络犯罪

尽管BEC、勒索软件和其他网络犯罪行动一直持续到2022年，但我们的研究表明，随着全球执法机构在打击网络威胁行为者方面取得重大进展，威胁行为者也感受到了逮捕行动的压力。

当局成功逮捕了涉嫌参与LockBit勒索软件和JabberZeus银行木马操作的个人；FBI从2022年7月开始渗透Hive勒索软件组织，最终导致整个行动在2023年1月被摧毁。一些国家的当局也逮捕了数十名BEC犯罪嫌疑人。与2021年相比，勒索软件攻击和支付都呈下降趋势。如果当局继续进行高强度的逮捕，我们预计将看到更多网络钓鱼威胁的下行压力。

网络钓鱼活动中使用的Web3技术增长了341%

对于威胁行为者来说，为了绕过SEG，仔细制作链接或仔细选择链接的主机非常重要。2022年，恶意使用web3技术作为网络钓鱼活动的链接制作工具的情况激增。“Web3”指的是一套旨在分散公共互联网和计算活动的技术。web3协议的用户可以协作托管内容，这就不需要传统的托管服务器，也使得审查变得更加困难。

分析显示，在整个2022年，越来越多的网络钓鱼活动使用Web3平台托管恶意内容。总体而言，在2022年，用于网络钓鱼活动的Web3技术增长了341%。大多数浏览器仍然需要一个“网关”服务器来与web3托管的内容进行交互，这给了组织一个检测和阻止它的机会。然而，在可预见的未来，这项技术可能仍将是威胁行为者武器库中的有用武器。

Telegram机器人恶意活动增加了800%

在2022年期间到达收件箱的钓鱼电子邮件中，利用Telegram机器人进行信息窃取的恶意活动显著增加，导致2021年至2022年期间同比增长超过800%。这种增长很大程度上与现在流行的使用html附件作为凭据钓鱼的传递机制的策略有关。虽然威胁行为者使用Telegram机器人来窃取信息并不新鲜，但它在凭据网络钓鱼中的使用并不为人所知。

Telegram机器人已经成为威胁行为者的热门选择，因为它们是低成本/免费的简单解决方案。威胁行为者十分青睐在私人聊天或群聊天中设置机器人的便利性，机器人与各种编程语言的兼容性，以及与恶意软件或凭据网络钓鱼工具包等恶意媒介的便利性。Telegram机器人设置和使用的便捷性，加上流行且成功的将HTML凭据钓鱼文件附加到电子邮件的策略，威胁行为者可以使用一种通常受信任的服务，快速有效地到达收件箱，同时将凭据窃取到单个点。

安全建议

BEC/供应商电子邮件妥协

• 让首席执行官和其他高级管理人员在公司全体会议上讨论该威胁，并告知公司他们永远不会要求“特殊优待”或购买礼品卡；
• 发送带有用户报告的网络钓鱼邮件真实例子的简报。同行的认可会有很大帮助；
• 与财务团队合作，审查并更新与供应商有关的银行信息变更流程；
• 许多SEG允许配置设置，通过阻止高管欺骗或允许免费电子邮件帐户域来增加保护。您是否需要允许@gmail.com帐户发送外部电子邮件？
• 报告！如有损失，请向执法部门报告。无论损失有多大，报告这些事件都是至关重要的。据报道，一个4000美元的小损失可能与一个更大的犯罪活动相关联。同时，时间也至关重要，如果在24小时内报告损失，追回损失的可能性也会增加。

凭据钓鱼

• 在整个组织中禁用自动转发规则。无法完全屏蔽？审查规则以与业务合作，允许合法业务需求的例外。因为最近的活动而重置用户的证书？检查自动转发规则并删除威胁者可能设置的流氓规则；
• 继续增加使用这种威胁类型的模拟场景的节奏。协调这些活动并不总是容易的，但可以将其视为桌面练习；
• 用公司的标志定制微软登陆页面。与组织沟通，报告任何不符合公司品牌标准的登陆页面；
• 启用MFA。增强身份认证体验，帮助用户避免MFA疲劳。微软最近为此提供了额外的增强功能——数字匹配和请求位置。

附件

• 威胁行为者正在不断调整他们的策略，以进入收件箱，文件附件也是如此。当技术控件实现了新的配置来阻止威胁行动者使用的文件类型时，他们会转向了一些新的东西；
• 阻止恶意文件类型。随着威胁行为者利用新的文件类型进入收件箱，此列表将继续扩大。您的组织是否需要从外部接受.html /.htm文件？谁从外部发送OneNote文件？
• 警惕PDF文件。这曾经是“安全”的文件类型，可惜现在已经不是。威胁行为者不仅将链接嵌入到登录页面以窃取凭证，我们现在还观察到PDF文件通过嵌入在PDF文档中的链接链（chain of link）传递恶意软件。

恶意软件

• 移除本地管理员权限。如果用户与恶意文件或网站交互，不能在本地运行代码将降低恶意软件执行的风险。

报告链接：

https://cofense.com/wp-content/uploads/2023/03/2023-Annual-Report-Cofense.pdf