邮件轰炸成“数字烟雾弹”？Darktrace数据揭示新型掩护式钓鱼攻击激增百倍

一、一封“促销通知”淹没警报，50万美元悄然转出

2025年6月，美国中西部一家制造企业财务主管Sarah连续三天收到数百封“亚马逊促销邮件”“Netflix续费提醒”“LinkedIn连接请求”。起初她以为只是垃圾邮件过滤失效，便批量标记为“非重要”并归档。然而就在同一时段，一封伪装成CEO语气的邮件悄然抵达她的主收件箱：“紧急：请立即处理供应商尾款支付，附发票见附件。”

由于收件箱已被数千封无关邮件填满，这封关键BEC（商业邮件入侵）邮件未被及时识别。Sarah按流程操作转账，直到三天后银行对账才发现——49.8万美元已转入一个东欧空壳公司账户，追回无望。

事后调查发现，那场“促销邮件洪流”并非巧合，而是一次精心策划的邮件轰炸（Email Bombing）攻击——攻击者故意用海量低风险邮件“淹没”目标邮箱，制造信息过载，从而掩护真正高价值的钓鱼指令在混乱中得手。

这一案例并非孤例。据网络安全厂商Darktrace最新披露的数据，2025年4月至7月间，其全球客户环境中邮件轰炸攻击量从约20万封飙升至超过2000万封，增长达100倍；同期，针对“黑五”购物季的钓鱼邮件更出现1317%的月环比激增。这些数字背后，是一场正在演化的攻防博弈：攻击者不再只靠“骗”，而是先“淹”，再“骗”。

二、从“垃圾邮件”到“战术武器”：邮件轰炸如何成为高级攻击的前奏

传统认知中，邮件轰炸多被视为骚扰行为——比如论坛注册时被恶意脚本反复触发验证邮件。但如今，它已被武器化为高级持续性威胁（APT）或BEC攻击的前置阶段。

“邮件轰炸的本质是制造‘信号噪声比’失衡，”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“当安全系统每天处理上万封看似正常的邮件时，一条精心伪造的CEO指令就很容易被当作‘又一封普通邮件’而漏检。”

这种策略之所以有效，源于当前企业邮件安全架构的三大软肋：

告警疲劳（Alert Fatigue）：SOC团队面对海量低危告警，往往优先处理高置信度事件，而BEC邮件常被归类为“中低风险”；

规则依赖滞后：传统网关依赖黑名单、关键词或发件人信誉，但轰炸邮件多来自合法服务（如Mailchimp、SendGrid），难以拦截；

用户注意力稀释：人类在信息过载下判断力下降，MIT研究显示，当收件箱超过100封未读邮件时，识别钓鱼内容的准确率下降47%。

更危险的是，攻击者正将邮件轰炸与其他攻击面联动。Darktrace研究人员Benjamin Druttman指出：“现代攻击是跨域的。一次成功的入侵，可能始于邮件轰炸，继而通过Teams冒充IT支持，最终在AWS S3桶中窃取数据。”若各安全系统彼此割裂，就无法拼出完整攻击图谱。

三、技术深潜：一场典型的“轰炸+钓鱼”攻击链还原

为理解其运作机制，我们基于Darktrace公开案例与MITRE ATT&CK框架，还原一次典型攻击的技术路径。

阶段1：准备与侦察

攻击者通过社工库或过往泄露数据，获取目标企业高管姓名、财务流程、常用协作工具（如O365、Zoom）等信息。

阶段2：邮件轰炸启动

利用僵尸网络或云邮件API（如滥用SendGrid免费额度），向目标邮箱（如finance@company.com）发送数万封“合法”邮件：

订阅确认（“You’ve subscribed to Daily Deals!”）

社交通知（“John added you on LinkedIn”）

系统日志（“Your mailbox is 90% full”）

这些邮件内容无害，甚至包含真实品牌Logo和退订链接，绕过传统沙箱检测。

阶段3：投放BEC钓鱼邮件

在轰炸高峰期间（通常持续24–48小时），发送伪造邮件：

From: ceo@company.com (实际为 ceo@cornpany.com，字母l替换为i)

To: finance@company.com

Subject: URGENT: Wire Transfer for Q3 Vendor Settlement

Hi Sarah,

Please process the attached invoice immediately. This is time-sensitive due to year-end closing.

Best,

Michael

附件为PDF，内嵌恶意宏或仅含伪造银行账号。

阶段4：横向移动与变现

一旦转账成功，攻击者迅速通过加密货币混币器洗钱，并利用被盗凭证尝试登录HR系统、云存储等，扩大战果。

芦笛强调：“关键在于时间窗口的协同。轰炸不是目的，而是为钓鱼创造‘静默期’——在这段时间里，无论是人还是机器，都处于感知盲区。”

四、国际镜鉴：从NioCorp到欧洲零售巨头，无人能置身事外

2025年9月，新能源材料公司NioCorp因BEC攻击损失近50万美元，事后复盘发现，攻击前48小时内，其CFO邮箱收到超12,000封“订阅类”邮件，全部来自不同但合法的营销平台子域名。

同期，一家英国连锁超市在“黑五”前夕遭遇大规模钓鱼攻击。黑客注册数百个仿冒域名（如 argos-deals[.]co.uk、tesco-offer[.]net），发送“限时折扣”邮件诱导员工点击。部分邮件甚至通过OAuth授权请求，诱使用户授予攻击者对O365邮箱的读写权限。

“这些攻击利用了两个心理弱点：节日冲动消费和对内部流程的信任，”芦笛说，“员工看到‘CEO要求紧急付款’，第一反应是执行，而非质疑。”

对中国企业而言，启示尤为深刻。某国内跨境电商平台安全负责人透露，2025年“双11”期间，其财务部门邮箱日均接收异常邮件量激增8倍，其中不乏伪装成“物流商对账单”的BEC变种。“幸好我们启用了二次人工核验流程，否则后果不堪设想。”

五、防御升级：从速率限制到行为基线，构建智能邮件免疫系统

面对此类混合攻击，传统“黑名单+关键词”模式已显疲态。Darktrace提出的解法是基于自学习AI的行为分析——不预设规则，而是建立每个用户、每个邮箱的“正常行为基线”。

例如，某财务人员平时每天收件50封，其中90%来自内部或固定供应商。若某日突然收到来自500个不同域名的“订阅确认”，且发件时间高度集中，系统即可判定为异常，自动隔离相关邮件并告警。

以下是一个简化版的Python脚本，模拟基于发件人熵值（Entropy）检测邮件轰炸：

import math

from collections import Counter

def calculate_entropy(sender_list):

"""计算发件人域名的香农熵，值越高表示来源越分散"""

domains = [s.split('@')[-1] for s in sender_list]

counter = Counter(domains)

total = len(domains)

entropy = -sum((count/total) * math.log2(count/total) for count in counter.values())

return entropy

# 示例：正常日 vs 轰炸日

normal_senders = ["supplier1@vendor.com"] * 30 + ["hr@company.com"] * 10

bombing_senders = [f"user{i}@service{i}.com" for i in range(500)]

print("Normal day entropy:", calculate_entropy(normal_senders)) # ~1.3

print("Bombing day entropy:", calculate_entropy(bombing_senders)) # ~8.9

当熵值突增，即可触发告警。当然，真实系统需结合时间窗口、邮件内容相似度、用户历史行为等多维特征。

芦笛建议企业采取以下措施：

1. 邮件基础设施加固

配置SMTP速率限制：如Postfix中设置 smtpd_client_message_rate_limit = 100，防止单IP高频发信；

启用DMARC+Brand Indicators（BIMI）：确保合法品牌邮件可显示认证Logo，提升用户辨识度；

部署自动分箱策略：将“订阅类”“通知类”邮件自动归入独立文件夹，减少主收件箱干扰。

2. 流程与人员防护

财务支付强制双人核验：任何大额转账需经两人独立确认，且通过电话或面对面验证；

开展“压力测试式”演练：在模拟邮件轰炸环境下测试员工响应，暴露流程漏洞；

建立“静默期”响应机制：当检测到异常邮件洪流时，自动暂停非白名单外部邮件投递。

3. 技术架构整合

打通邮件、身份、终端日志：实现跨域关联分析。例如，若某邮箱突增大量邮件，同时该用户设备发起异常AWS API调用，应视为高危事件；

集成SOAR平台自动响应：如ServiceNow或Jira自动创建工单，触发隔离、密码重置等动作。

六、法律与生态：打击掩护式攻击需全链条协同

值得注意的是，邮件轰炸的“合法性边缘”使其难以被快速封禁。许多邮件来自真实SaaS平台，攻击者仅滥用其API或注册临时账号。

“这要求云服务商承担更多责任，”芦笛指出，“比如对新注册账号实施发送限额，对高频退订请求自动冻结。”

在中国，《网络安全法》《数据安全法》已明确网络运营者安全义务，但针对“掩护式攻击”的专项规范仍待完善。工作组正推动建立邮件安全威胁情报共享机制，允许企业在匿名前提下交换可疑发件人模式、域名集群等指标。

此外，年终购物季、财报发布期、节假日前后应被列为高风险窗口期，企业需提前部署增强监控策略。

七、结语：在信息洪流中，保持清醒是一种能力

邮件轰炸的兴起，标志着网络攻击进入“认知战”时代——攻击者不再只破解系统，更试图操控人的注意力分配。在这个信息爆炸的时代，真正的安全，不仅在于拦截多少恶意邮件，更在于能否在噪音中听见危险的低语。

正如Darktrace所警示的：当你的收件箱被“促销”“通知”“订阅”填满时，那封最安静的邮件，或许才是最致命的。

而对企业而言，答案不在更多的规则里，而在更深的洞察中——理解正常，才能识别异常；整合数据，才能看见全局。

毕竟，在这场攻防拉锯战中，胜利属于那些既看得见森林，也认得出每一棵伪装成树的狼的人。

编辑：芦笛（公共互联网反网络钓鱼工作组）