在上个月，赛门铁克发布了第22期《互联网安全威胁报告》，向公众及IT专业人士分享了对全球威胁动态、网络犯罪趋势和攻击者动机的分析和洞察。我们可以看到，2016年是网络攻击极其活跃的一年，全球先后发生多起大型网络攻击事件，例如令人震惊的造成数千万美元损失的虚拟银行劫案，蓄意破坏美国选举的黑客攻击，利用物联网设备发动的史上最大规模的DDoS攻击，以及近期席卷全球150个国家的WannaCry勒索软件攻击，至今还令人震惊。网络攻击不仅对企业和个人用户造成巨大的损失，甚至对国际政治、全球经济、民生安全造成不可预估的危害。

过去，网络攻击组织主要集中利用零日漏洞发动具有针对性的攻击。但随着“漏洞赏金” 计划的日益普及，产品在开发过程中对安全因素的重点关注，以及国家、企业和个人用户对安全解决方案的采用和部署，攻击者越来越难发现和利用零日漏洞，这迫使他们转将视线重新放回到常用攻击途径——电子邮件就是其中之一，并且成为2016年最常见的攻击手段。

电子邮件再度成为攻击者的首选

2016年，恶意电子邮件成为各类网络攻击团伙的首选 “武器” ，无论是有政府背景的间谍团伙，还是电子邮件群发勒索团伙都对其情有独钟。第22期赛门铁克《互联网安全威胁报告》指出，电子邮件中的恶意软件比例在2016年出现明显上升，达到1:131，成为五年来最高比例。在中国，该情况更为严重，比例为1:63——这意味着，每63封电子邮件中就有一封带有恶意软件。此外，利用鱼叉式网络钓鱼电子邮件的商务电邮诈骗(BEC)骗局也收到攻击者的青睐，在 2016 年出现明显的增加。

图1. 2016年，恶意邮件比例为近5年最高

来源：第22期《赛门铁克互联网安全威胁报告》

赛门铁克发现，每天有数百万攻击是通过恶意电子邮件所发起的。我们的分析得出，恶意电子邮件受到青睐的主要原因是由于该途径的有效性——首先，电子邮件是当今极为重要的通信工具，无论企业还是个人都十分依赖电子邮件作为生活和工作的沟通工具。其次，攻击者只需要通过简单的欺骗手段便能够成功诱惑受害者打开附件、点击链接或泄露凭据，无需任何漏洞就可以完成。

去年最典型的案例便是在美国大选前夕，黑客使用鱼叉式网络钓鱼邮件入侵希拉里•克林顿的竞选团队主席约翰 •波德斯塔和前美国国务卿科林•鲍威尔的电子邮件帐户。根据我们的调研，电子邮件在2016年被广泛使用于不同类型的复杂性攻击活动中，另一个主要的例子是破坏性恶意软件 Shamoon在沉寂四年后的卷土重来，向沙特阿拉伯国家的多个目标发起大量的攻击。攻击者首先向目标受害组织中的个人用户发送含有恶意链接的鱼叉式网络钓鱼邮件，如果用户点击该链接，则会下载类似Word或Excel的文件。一旦打开该文件，Office宏就会运行PowerShell脚本，使攻击者拥有远程访问的能力，并在受感染计算机中执行基本侦查任务。

电子邮件恶意软件激增可能与2016年大规模散播恶意电子邮件犯罪团伙的持续不断活动有关，我们看到主要传播的威胁包括：Locky、Dridex 和 TeslaCrypt。其中，金融特洛伊木马 Dridex 主要用于窃取用户的银行交易凭据。Dridex 背后的攻击者都是专业人员，他们通过不断完善恶意软件，让这些恶意电子邮件尽可能看上去合法。TeslaCrypt 和 Locky 都属于勒索软件，而勒索软件也是2016年的主要网络威胁之一。

2016年全球受电子邮件恶意软件威胁影响最多的行业是批发业和农业，但是增长速度最快的是运输业、金融业和采矿业。在中国，受到电子邮件恶意软件影响最大的行业是服务业(1:59)和金融、保险及房地产业(1:122)。不仅如此，在2016年，电子邮件恶意软件几乎重创了所有规模的企业。根据我们的统计数据，全球范围来看，中小型企业(员工人数在251至500之间)受到的冲击最大，每95封电子邮件中就有一封包含恶意软件。在中国，小型企业(员工人数在1至250之间)则是重点攻击对象，每59封电子邮件中就有一封包含恶意软件。

伪装 IT工具为攻击“武器”

随着人们对网络安全意识的提高，网络攻击者也在不断改进利用邮件的攻击手段，来确保目标在完善电子邮件安全防御前，抢占感染设备的先机。

Office宏和PowerShell成为常用的攻击工具，如上文提到的希拉里团队竞选主席约翰 •波德斯塔邮箱遭遇入侵的事件。根据FBI 调查，黑客并没有利用任何恶意软件或漏洞，仅通过一封鱼叉式网络钓鱼邮件，便成功入侵约翰 •波德斯塔的设备。该钓鱼邮件伪装成来自 Gmail 官方管理员的邮件，并在邮件中表示：受害人的邮箱可能已经受到感染，提示他需要重设密码来确保账户的安全。该钓鱼邮件中包含了一个短URL来掩饰真正的恶意URL。当受害人点击该URL，就会进入一个“冒牌”的 Gmail账户密码重置网页。整个攻击过程中，黑客仅通过简单的社交诈骗技术，便轻松获取了目标设备的密码。

与此同时，越来越多的攻击者选择使用下载器在目标设备中安装恶意程序。2016 年，赛门铁克检测到大量电子邮件攻击活动，通过恶意Office宏(W97M.Downloader及其变种)和JavaScript下载程序文件(JS.Downloader及其变种)大肆传播勒索软件和联机银行交易威胁。它们在2016年的端点监测数量高达700万起。这些下载程序受到攻击者青睐是有原因的。大多数企业不愿意通过电子邮件网关拦截全部Office文件，因为这样可能影响合法的电子邮件，这一点是Office宏下载程序广泛流行的重要原因。同时，脚本文件的易混淆性可使其躲避检测，这是JavaScript下载程序泛滥加剧的原因之一。

Necurs是2016年传播恶意软件最疯狂的僵尸网络，通过电子邮件大肆传播JavaScript、VBS和Office宏等下载程序，并发起大规模攻击活动。2016年，Locky等勒索软件威胁便是通过这样的方式感染受害设备，并对受害人进行勒索。

图2. 电子邮件传播恶意软件的感染过程

来源：第22期《赛门铁克互联网安全威胁报告》

简单有效的社交骗局——BEC诈骗增长势头强劲

上文提到攻击者在2016年愈发倾向于采用简单的工具和看起来平淡无奇的招数就能够给企业和目标组织带来巨大的灾难。作为社交骗局的其中一种，商务电邮诈骗(Business EmailCompromise)在去年出现显著的增加。此类攻击也被称为 CEO 欺诈或“鲸钓”攻击。无需任何专业的技术手段与能力，诈骗者只需伪装成企业 CEO 或其他高管，向其员工发送仿冒电子邮件，随后要求员工进行网上转账，便可完成攻击。尽管实施诈骗的技术手段并不高明，但犯罪者一旦成功实施诈骗，便可从中获得巨大经济回报，对相关企业造成重大的经济损失。2016 年年初，奥地利飞机零件制造商遭遇BEC 诈骗，共造成5000万美元的财产损失，随后该公司立即解雇了CEO。

2016 年上半年，赛门铁克发现超过400 家企业每天都在遭遇 BEC 诈骗，其中，中小型企业最易受到攻击。根据美国联邦调查局(FBI)的评估结果显示，过去三年来，BEC 诈骗共造成全球 30 多亿美元的经济损失，受害者超过 2.2万名。

赛门铁克通过分析2016年所发布的623起重大恶意电子邮件攻击活动后发现，BEC骗局所发送的邮件多是在工作日，邮件主题通常包含 “请求(Request)”、“付款(Payment)”、“紧急(Urgent)”、”发票(Invoice)”、”订单(Order)”、”账单(Bill)”等字样。其中，“请求”是 BEC 诈骗邮件主题中最常用的关键字(25%)，紧随其后的分别是“付款” (15%)和“紧急” (10%)。

图3. BEC诈骗邮件中的常用主题与关键字

来源：第22期《赛门铁克互联网安全威胁报告》

使用金融关键字发起攻击已经成为恶意电子邮件攻击的特征之一。这一发现表明，攻击者利用这种手段的成功率非常高。由于大多数企业每天都会收到大量来自客户和供应商的常规业务邮件，因此一旦这些电子邮件成功躲避安全软件，用户十分容易受到蒙蔽，从而点击邮件。由于BEC骗局的利益回报率十分诱人，因此我们预计，在2017 年，此类诈骗将会继续呈现增长势头。

电子邮件成为勒索软件感染个人的主要途径之一

2016 年，勒索软件成为个人和企业所面临的重大网络威胁之一。而通过伪装成企业通知或发票等常规业务沟通内容的恶意电子邮件成为勒索软件传播的热门途径。2016 年，勒索软件团伙利用Necurs僵尸网络每天发出上万封恶意电子邮件。而多数如Locky (Ransom.Locky) 这样广泛传播的勒索软件都是通过电子邮件进行散播。许多情况下，受害者会收到一封主题为企业发票或收据的邮件，该邮件会以精心纂写的内容诱使收件人打开恶意附件，与此同时，恶意下载程序便会下载并将勒索软件安装在设备中，随即开始加密计算机上已预编程的一系列文件，然后实施勒索。大多数最新的勒索软件家族使用强密码手段，这就意味着，受害者在没有加密密钥的情况下几乎不可能打开被加密文件。由于勒索软件变种会不定期出现，我们强烈建议用户对尤其包含URL和附件的未知电子邮件保持警惕。

图4.垃圾邮件攻击是勒索软件威胁的主要传播途径之一

来源：第22期《赛门铁克互联网安全威胁报告》

利用电子邮件发动网络攻击数据的增长表明，攻击者正在利用这种方式大发横财，我们预计在未来一年，电子邮件依然会继续成为网络攻击的主要途径之一。

赛门铁克的安全防护建议：

随着攻击者开始大规模使用电子邮件替代漏洞工具传播恶意软件，并实施攻击，赛门铁克建议企业与用户应该采取以下措施来抵御利用电子邮件所传播的安全威胁：

• 安装全方位安全保护解决方案，有效抵御经由电子邮件所传播的威胁。例如 Symantec Email Security.cloud 可以拦截电子邮件所携带的威胁，而 Symantec Endpoint Protection 则可以拦截端点上的恶意软件。
• 删除可疑电子邮件，特别是一些包含链接或附件的邮件。
• 时刻警惕任何建议用户启用宏来查看内容的 Microsoft Office电子邮件附件。若无法确定电子邮件来源真实可靠，请勿启用宏，并立即删除邮件。
• 保持电脑操作系统及其他软件处于最新状态。软件更新所用的补丁通常用于处理新发现的安全漏洞，如果处理不及时可能会被攻击者非法利用。
• 对于不按常规程序要求进行的一些行为保持警惕。
• 请直接从公司通讯录中获取真实发件人的电子邮件信息进行回复，而不是简单地点击回复按钮，以确保回复线程的安全。
• 强制要求所有员工执行有效的密码策略，务必采用强密码，并经常更换。
• 请勿使用电子邮件中的链接连接到网站，除非用户能确定这些链接的真实性。请将 URL 直接输入到地址栏中，确保连接到合法网站，而不是一个地址类似的错误地址。