2021年五大电子邮件威胁与零日漏洞

受到新冠疫情影响，全球大部分企业实行远程工作模式，企业对云电子邮件的依赖也达到了前所未有的地步。与此同时，用户和企业每天在线面临的网络安全风险也不断增大。云电子邮件已成为网络犯罪分子最大的攻击目标，他们通过各种手段窃取敏感数据，并通过一系列复杂的攻击手段中传播危险的恶意软件。

2021年电子邮件安全五大风险

1. 数字攻击随着云平台的广泛应用不断增加

突然转向远程办公模式导致许多企业将他们的电子邮件迁移到云平台，大大地增加了数字攻击面。企业拥有比以往任何时候都多得多的接触点，如果安全措施不充分，黑客可以通过这些接触点轻松进入企业网络和系统。另外，远程办公人员使用不安全网络，与其他用户共享设备的现象也很常见，这进一步增加了企业的数字风险。因此，电子邮件迁移到云平台时，如果没有额外的安全保护措施，云电子邮件很容易受到凭据式网络钓鱼、勒索软件和其他恶意攻击。

2. 网络钓鱼比以往更猖獗

几十年来，网络钓鱼攻击一直威胁着电子邮件领域，然而，随着企业对云电子邮件的依赖程度的增加，网络钓鱼诈骗不仅在数量上呈指数级增长，而且这些攻击活动的复杂性和特异性也呈指数级上升。据统计，如今超过90%的网络攻击都始于网络钓鱼，而新冠期间，网络钓鱼攻击增加了600%。我国国家互联网应急中心显示，今年 6 月，CNCERT 收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件 9070 件，合并了通过不同方式报告的同一网络安全事件，且不包括扫描和垃圾邮件类事件。

3. 随着RaaS的出现，勒索软件攻击急剧增加

勒索软件呈上升趋势为用户带来沉重代价，包括数据丢失、巨额恢复成本、严重的声誉损害以及重大、代价高昂的停机时间，更糟的是，可能永久关闭业务。威胁者从勒索软件攻击中获利的潜力日益增长，这推动了勒索软件开发的快速创新。暗网上的勒索软件即服务计划(RaaS)正在加速创新，勒索软件预计将在 2021 年变得越来越普遍。根据数据显示，中小型公司是勒索软件的主要攻击目标，其中60%的公司在遭受攻击后的6个月内倒闭。

4. CEO诈骗对企业团队和员工的威胁越来越大

CEO 诈骗，也称商业电子邮件诈骗 (BEC诈骗)，是现代电子邮件安全的主要威胁之一，CEO 诈骗可以通过欺诈的电汇和银行业务活动使企业遭受重大损失。这种骗局不仅仅是CEO所担心的问题，相反，财务、人力资源和 IT 员工以及公司执行团队的所有成员都是 CEO 诈骗攻击的主要目标，因为他们具有访问敏感信息和资金的权限。

5. 僵尸网络和DDoS攻击增长

僵尸网络和 DDoS 是网络犯罪分子对您的电子邮件系统进行的其他类型的攻击。僵尸网络是一组受感染的设备和包含恶意软件的机器，由黑客控制。而DDoS通过对目标网站在较短的时间内发起大量请求，大规模消耗目标网站的主机资源，让它无法正常服务。据 Nexusguard 称，新冠期间分布式拒绝服务 (DDoS) 攻击同比增长了341%，成为目前电子邮件系统的主要威胁之一。

亟需解决的问题——零日漏洞

苹果周一针对iOS、iPadOS和macOS推出了紧急安全更新，以应对已被利用的零日漏洞，这是苹果自今年年初以来修补的第 13 个此类漏洞。

今年3月，Google员工对外披露了Chrome浏览器中存在的零日漏洞，该漏洞允许黑客使用浏览器中加载的恶意文档来获取个人数据，并且会导致任意代码执行。

零日漏洞实际上是一种安全漏洞，攻击者通过利用这种漏洞发布恶意软件和链接，只要用户点入这个链接，黑客就会获得对该设备的最高权限。黑客利用零日漏洞的方式多种多样，其中电子邮件是其发动攻击的重要途径。在这种情况下用户应该如何保护电子邮件，保护个人信息成为一个亟需解决的问题。

如何确保电子邮件安全？

网络攻击对社会的影响越来越大，在这个数字风险加剧的时代，企业应该如何高效规避邮件泄露风险？

最高效的措施就是安装邮件安全证书（S/MIME证书）。邮件安全证书与SSL/TLS证书的工作原理相似，在电子邮件发送之前对您的邮件进行加密，这称为静态数据加密。它会将您的纯文本电子邮件消息转换为不可读的格式，因此不论是谁，邮件在解密之前均无法阅读，只有收件人使用其私钥才能获取邮件内容。总的来说，S/MIME 证书主要为客户提供以下三点服务：

通过带时间戳的数字签名证明电子邮件的真实发件人
加密和解密电子邮件内容
通过确保文件完整性保障跨网络的安全文档共享

成功加密后的电子邮件会出现一个安全锁图标，代表该邮件未被第三方读取或篡改。邮件安全证书不仅能够确保邮件的完整性和安全性，还能有效防范上面提到的五大网络威胁，保护机密敏感信息，防止网络钓鱼、RaaS和CEO诈骗等电子邮件入侵。锐成信息作为国内领先的邮件安全服务商，提供企业级大规模S/MIME证书的签发和部署，保障您的邮件安全。