一、一封“促销通知”淹没警报,50万美元悄然转出
2025年6月,美国中西部一家制造企业财务主管Sarah连续三天收到数百封“亚马逊促销邮件”“Netflix续费提醒”“LinkedIn连接请求”。起初她以为只是垃圾邮件过滤失效,便批量标记为“非重要”并归档。然而就在同一时段,一封伪装成CEO语气的邮件悄然抵达她的主收件箱:“紧急:请立即处理供应商尾款支付,附发票见附件。”
由于收件箱已被数千封无关邮件填满,这封关键BEC(商业邮件入侵)邮件未被及时识别。Sarah按流程操作转账,直到三天后银行对账才发现——49.8万美元已转入一个东欧空壳公司账户,追回无望。
事后调查发现,那场“促销邮件洪流”并非巧合,而是一次精心策划的邮件轰炸(Email Bombing)攻击——攻击者故意用海量低风险邮件“淹没”目标邮箱,制造信息过载,从而掩护真正高价值的钓鱼指令在混乱中得手。
这一案例并非孤例。据网络安全厂商Darktrace最新披露的数据,2025年4月至7月间,其全球客户环境中邮件轰炸攻击量从约20万封飙升至超过2000万封,增长达100倍;同期,针对“黑五”购物季的钓鱼邮件更出现1317%的月环比激增。这些数字背后,是一场正在演化的攻防博弈:攻击者不再只靠“骗”,而是先“淹”,再“骗”。
二、从“垃圾邮件”到“战术武器”:邮件轰炸如何成为高级攻击的前奏
传统认知中,邮件轰炸多被视为骚扰行为——比如论坛注册时被恶意脚本反复触发验证邮件。但如今,它已被武器化为高级持续性威胁(APT)或BEC攻击的前置阶段。
“邮件轰炸的本质是制造‘信号噪声比’失衡,”公共互联网反网络钓鱼工作组技术专家芦笛解释道,“当安全系统每天处理上万封看似正常的邮件时,一条精心伪造的CEO指令就很容易被当作‘又一封普通邮件’而漏检。”
这种策略之所以有效,源于当前企业邮件安全架构的三大软肋:
告警疲劳(Alert Fatigue):SOC团队面对海量低危告警,往往优先处理高置信度事件,而BEC邮件常被归类为“中低风险”;
规则依赖滞后:传统网关依赖黑名单、关键词或发件人信誉,但轰炸邮件多来自合法服务(如Mailchimp、SendGrid),难以拦截;
用户注意力稀释:人类在信息过载下判断力下降,MIT研究显示,当收件箱超过100封未读邮件时,识别钓鱼内容的准确率下降47%。
更危险的是,攻击者正将邮件轰炸与其他攻击面联动。Darktrace研究人员Benjamin Druttman指出:“现代攻击是跨域的。一次成功的入侵,可能始于邮件轰炸,继而通过Teams冒充IT支持,最终在AWS S3桶中窃取数据。”若各安全系统彼此割裂,就无法拼出完整攻击图谱。
三、技术深潜:一场典型的“轰炸+钓鱼”攻击链还原
为理解其运作机制,我们基于Darktrace公开案例与MITRE ATT&CK框架,还原一次典型攻击的技术路径。
阶段1:准备与侦察
攻击者通过社工库或过往泄露数据,获取目标企业高管姓名、财务流程、常用协作工具(如O365、Zoom)等信息。
阶段2:邮件轰炸启动
利用僵尸网络或云邮件API(如滥用SendGrid免费额度),向目标邮箱(如finance@company.com)发送数万封“合法”邮件:
订阅确认(“You’ve subscribed to Daily Deals!”)
社交通知(“John added you on LinkedIn”)
系统日志(“Your mailbox is 90% full”)
这些邮件内容无害,甚至包含真实品牌Logo和退订链接,绕过传统沙箱检测。
阶段3:投放BEC钓鱼邮件
在轰炸高峰期间(通常持续24–48小时),发送伪造邮件:
From: ceo@company.com (实际为 ceo@cornpany.com,字母l替换为i)
To: finance@company.com
Subject: URGENT: Wire Transfer for Q3 Vendor Settlement
Hi Sarah,
Please process the attached invoice immediately. This is time-sensitive due to year-end closing.
Best,
Michael
附件为PDF,内嵌恶意宏或仅含伪造银行账号。
阶段4:横向移动与变现
一旦转账成功,攻击者迅速通过加密货币混币器洗钱,并利用被盗凭证尝试登录HR系统、云存储等,扩大战果。
芦笛强调:“关键在于时间窗口的协同。轰炸不是目的,而是为钓鱼创造‘静默期’——在这段时间里,无论是人还是机器,都处于感知盲区。”
四、国际镜鉴:从NioCorp到欧洲零售巨头,无人能置身事外
2025年9月,新能源材料公司NioCorp因BEC攻击损失近50万美元,事后复盘发现,攻击前48小时内,其CFO邮箱收到超12,000封“订阅类”邮件,全部来自不同但合法的营销平台子域名。
同期,一家英国连锁超市在“黑五”前夕遭遇大规模钓鱼攻击。黑客注册数百个仿冒域名(如 argos-deals[.]co.uk、tesco-offer[.]net),发送“限时折扣”邮件诱导员工点击。部分邮件甚至通过OAuth授权请求,诱使用户授予攻击者对O365邮箱的读写权限。
“这些攻击利用了两个心理弱点:节日冲动消费和对内部流程的信任,”芦笛说,“员工看到‘CEO要求紧急付款’,第一反应是执行,而非质疑。”
对中国企业而言,启示尤为深刻。某国内跨境电商平台安全负责人透露,2025年“双11”期间,其财务部门邮箱日均接收异常邮件量激增8倍,其中不乏伪装成“物流商对账单”的BEC变种。“幸好我们启用了二次人工核验流程,否则后果不堪设想。”
五、防御升级:从速率限制到行为基线,构建智能邮件免疫系统
面对此类混合攻击,传统“黑名单+关键词”模式已显疲态。Darktrace提出的解法是基于自学习AI的行为分析——不预设规则,而是建立每个用户、每个邮箱的“正常行为基线”。
例如,某财务人员平时每天收件50封,其中90%来自内部或固定供应商。若某日突然收到来自500个不同域名的“订阅确认”,且发件时间高度集中,系统即可判定为异常,自动隔离相关邮件并告警。
以下是一个简化版的Python脚本,模拟基于发件人熵值(Entropy)检测邮件轰炸:
import math
from collections import Counter
def calculate_entropy(sender_list):
"""计算发件人域名的香农熵,值越高表示来源越分散"""
domains = [s.split('@')[-1] for s in sender_list]
counter = Counter(domains)
total = len(domains)
entropy = -sum((count/total) * math.log2(count/total) for count in counter.values())
return entropy
# 示例:正常日 vs 轰炸日
normal_senders = ["supplier1@vendor.com"] * 30 + ["hr@company.com"] * 10
bombing_senders = [f"user{i}@service{i}.com" for i in range(500)]
print("Normal day entropy:", calculate_entropy(normal_senders)) # ~1.3
print("Bombing day entropy:", calculate_entropy(bombing_senders)) # ~8.9
当熵值突增,即可触发告警。当然,真实系统需结合时间窗口、邮件内容相似度、用户历史行为等多维特征。
芦笛建议企业采取以下措施:
1. 邮件基础设施加固
配置SMTP速率限制:如Postfix中设置 smtpd_client_message_rate_limit = 100,防止单IP高频发信;
启用DMARC+Brand Indicators(BIMI):确保合法品牌邮件可显示认证Logo,提升用户辨识度;
部署自动分箱策略:将“订阅类”“通知类”邮件自动归入独立文件夹,减少主收件箱干扰。
2. 流程与人员防护
财务支付强制双人核验:任何大额转账需经两人独立确认,且通过电话或面对面验证;
开展“压力测试式”演练:在模拟邮件轰炸环境下测试员工响应,暴露流程漏洞;
建立“静默期”响应机制:当检测到异常邮件洪流时,自动暂停非白名单外部邮件投递。
3. 技术架构整合
打通邮件、身份、终端日志:实现跨域关联分析。例如,若某邮箱突增大量邮件,同时该用户设备发起异常AWS API调用,应视为高危事件;
集成SOAR平台自动响应:如ServiceNow或Jira自动创建工单,触发隔离、密码重置等动作。
六、法律与生态:打击掩护式攻击需全链条协同
值得注意的是,邮件轰炸的“合法性边缘”使其难以被快速封禁。许多邮件来自真实SaaS平台,攻击者仅滥用其API或注册临时账号。
“这要求云服务商承担更多责任,”芦笛指出,“比如对新注册账号实施发送限额,对高频退订请求自动冻结。”
在中国,《网络安全法》《数据安全法》已明确网络运营者安全义务,但针对“掩护式攻击”的专项规范仍待完善。工作组正推动建立邮件安全威胁情报共享机制,允许企业在匿名前提下交换可疑发件人模式、域名集群等指标。
此外,年终购物季、财报发布期、节假日前后应被列为高风险窗口期,企业需提前部署增强监控策略。
七、结语:在信息洪流中,保持清醒是一种能力
邮件轰炸的兴起,标志着网络攻击进入“认知战”时代——攻击者不再只破解系统,更试图操控人的注意力分配。在这个信息爆炸的时代,真正的安全,不仅在于拦截多少恶意邮件,更在于能否在噪音中听见危险的低语。
正如Darktrace所警示的:当你的收件箱被“促销”“通知”“订阅”填满时,那封最安静的邮件,或许才是最致命的。
而对企业而言,答案不在更多的规则里,而在更深的洞察中——理解正常,才能识别异常;整合数据,才能看见全局。
毕竟,在这场攻防拉锯战中,胜利属于那些既看得见森林,也认得出每一棵伪装成树的狼的人。
编辑:芦笛(公共互联网反网络钓鱼工作组)
