Coremail2022Q4邮件安全报告：暴力破解骤降，盗号问题有所缓解？

图：2022Q2~Q4 CAC中心拦截暴力破解攻击次数

图：2022Q2~Q4 CAC中心识别全网邮箱账号被攻击破解次数

根据CAC中心监测，Q4季度全国企业级用户遭受超过18.34亿次暴力破解，相比于Q3的71.68亿次暴力破解，环比降幅约为74.4%，无差别的的暴力破解攻击大幅下降。

根据Coremail邮件安全专家推测，出现这样攻击次数大幅下降的反常现象有以下几个原因：

（1）前期攻击者在尝试探测用户的真实账号。在这个过程中，攻击者并不确定哪些是用户正常使用的账号，只能尝试反复攻击多个具有特定命名规则或字典中的账号。在密码字典长度恒定的前提下，此时攻击的总数量与被攻击账号呈正比关系，所以Q2~Q3攻击者暴破次数处于一个较高的水平。

（2）Q2-Q3攻击者实际已经通过暴力破解拿到了足够多的的账号数量，在Q4的时候将工作重心从撒网攻击，变成了利用潜伏账号进行收割.，在这个“收割”阶段，攻击者会使用潜伏的被盗账号进行钓鱼或大量发送垃圾邮件，所以会出现暴力破解次数大幅下滑，但高危账号数量稳中有升的情况。

（3）同时，11~12月全国范围内受新冠影响，全网网络安全攻击态势有所缓解，推测为黑产团伙活动频率下降。

（4）值得一提的是，Coremail在账号安全防护体系中，开始注重登录IP的信誉评分，并将这些数据进行全网联动出现高风险暴破行为则会触发封禁规则，随着被封禁IP的数量增加，也会对攻击者的攻击行为形成一定的打击。

（二）暴力破解IP来源宏观分析

图：2022，Q4暴力破解IP来源 TOP10归属地（境外）

据上图可知，境外归属地分析中，来自美国暴力破解IP来源占据榜首。Q4，Coremail合计拦截4399.2万次暴力破解，是排名第二归属地欧盟的的1.2倍。

图：2022，Q4暴力破解IP来源 TOP10归属地（中国）

（三）暴力破解受害者行业分布

图：2022 Q4 CAC中心识别暴力破解攻击次数 TOP 100域名行业分类

图：2022 Q4 CAC中心 识别高危账号 TOP 100域名行业分类

为了分析各行业面临的邮件威胁压力，CAC中心从接收钓鱼邮件数量、接收垃圾邮件数量、被暴力破解攻击次数等方面，选取了TOP 100域名，按照域名归属的行业进行了分类，以便为广大安全从业人员提供更可靠的参考。

据分析，2022 Q4 TOP100域名CAC中心识别高危账号中，教育行业占比55%，识别去重高危账号9203个。其中福建某高校占比34%，被盗账号达3205个。这说明TOP100域名高危账号行业分类中，某些客户由于域内账号安全管控尚不完善，造成旗下被盗账号众多，是影响行业分类的重要原因。