钓鱼邮件热点报告(2025.06月度)

本报告由MailSec Lab(网际思安旗下麦赛邮件安全实验室)定期发布,本期主要分享2025年6月份的热点钓鱼邮件样本,旨在提醒大家提高钓鱼邮件防范意识!

 
 
Top 5 钓鱼邮件主题
 
 
特别说明
 
 
  1. 当前钓鱼邮件为躲避邮件安全网关等专业设备的“同主题防护”等功能的检测与过滤,会不断变换邮件主题,从本期起,我们会将同类钓鱼邮件主题进行合并,热点主题将从Top10压缩至Top5,但会展示更多的同类主题钓鱼邮件的相似及变形主题供大家详细了解;

  2. 本月,MailSec Lab监测到大量以“【电子发票】您收到一张来自”等为主题的新型钓鱼邮件攻击,经分析确认,这些邮件伪装成专业正规发票平台发送发票内容 ,将钓鱼页面以.txt等文本文件或.html/.shtml等形式伪装在邮件附件中,诱导用户以HTML方式在本地浏览器中打开以实施钓鱼行为,MailSec Lab将该类钓鱼邮件称为“本地HTML类”钓鱼邮件,并对该类钓鱼邮件做了详细深度的剖析,具体内容参考微信文章:【钓鱼专题】警惕!新型!“本地HTML”类钓鱼攻击!

 
下面我们对2025年6月的TOP 5钓鱼邮件做详细的样本分析与说明:
 
01  关于防暑降温的待办通知!
 
相似主题

关于防暑降温的待办通知!

关于2025年防暑降温的通知!

关于防暑降温的待办事项!

关于防暑降温的通知!

关于防暑降温津贴的通知! 

.......

 
本主题在6月内所有钓鱼邮件中总体占比高达近30%,因为暑期已到,防暑降温成为各企业员工普遍关注的焦点,这类钓鱼邮件常伪装成企业行政、HR 发送的 “防暑降温待办通知”,标题贴合职场关怀场景,具有很强的欺骗性。与以往钓鱼邮件不同的是,该类钓鱼邮件有了新的进化,为躲避邮件安全网关等专业设备检测,邮件正文及附件没有任何钓鱼内容信息,但会在正文中嵌入在线文档,如果员工点击该在线文档(在线.jpg文件),会弹出如下“防暑降温津贴”发放通知的图片内容,该内容即为典型的二维码钓鱼内容。
 

特别提醒
 
 
  1. 在此提醒大家一定要仔细甄别邮件内容尤其是在线阅读文档的真实性,不要轻易点击邮件正文里标注“在线阅读文件”的URL。

  2. 由于当前市面大多邮件安全网关产品并不具备在线URL、在线文档的检测能力,所以本主题(邮件正文嵌入在线文档)新型钓鱼邮件很容易绕过安全检测成功投递,网际思安作为国内邮件安全领域的领跑厂商,其邮件安全网关已经具备对在线URL、在线文档等在线的威胁及恶意内容的深度检测分析和浏览隔离功能,在此提醒企业老板及IT安全在选择邮件安全网关等专业设备时重点评估产品是否具有对在线恶意内容的检测能力。

 
02  办公室分享文件给您!
 
相似主题

办公室共享了文件给你!

办公室会议工作

[办-公-室]共享了文件给你!

办公室共享了文件给你!

办公会议

(办_公_室)分享文件给您!

.......

 
该主题邮件假借公司办公室、内部管理部门名义,以“发文专用”的名义,在邮件正文中共享一份“在线文档(云文档)”的文件。该文件为word文件,打开后显示内容为“下级防暑降温补贴发放的通知”,也是典型的二维码钓鱼内容。

 

此类邮件与主题1的邮件类似,都是采用在线文档(.doc或.jpg)取代了以往钓鱼邮件在邮件正文或附件中夹带钓鱼内容的攻击手法,企图躲过传统邮件安全网关的检测过滤。在此提醒大家一定要仔细甄别邮件内容尤其是在线文档/云文档的真实性,不要轻易点击邮件正文里标注“在线文档”的URL;企业IT安全在采购邮件安全网关产品时,要优先选择对在线文档、在线图片等具有在线URL具有深度检测能力的产品。
 
03  加强邮箱使用安全的重要通知
 
相似主题:

加强邮箱使用安全的重要通知

【异常提醒】您的邮箱需要身份验证

邮箱升级

OA升级

【重要提醒】您的邮箱需要身份验证

【重要通知】您的邮箱需要身份验证

.......

该主题邮件以OA升级、邮件系统升级等名义,在邮件正文中以急迫的口吻通知用户立即升级,如果员工点击“点击升级”按钮,则弹出如下典型的钓鱼邮件页面,诱导员工输入其邮箱账号与密码,以达到其盗取员工邮箱账号与密码的真实目的。

 
 
 
特别提醒
 
 

此类主题的钓鱼邮件,是导致企业内部邮箱账号密码被盗的最主要途径,大家一定对该类系统升级、系统迁移、异常登录提醒、系统验证、邮箱验证的邮件加强警惕,认真查看页面URL网址是否为公司真实网址,主动与企业IT管理员或安全人员确认页面真实性。

 
04  【电子发票】您收到一张新的电子发票
 
相似主题

【电子发票】您收到一张新的电子发票

【电子发票】您收到一张来自【爱信诺51发票】价税合计金额为80.0的电子发票[发票号码: 33]

.......

 

本月度MailSec Lab监测到大量以“【电子发票】您收到一张来自”等为主题的新型钓鱼邮件攻击,经分析确认,这些邮件伪装成专业正规发票平台发送发票内容 ,将钓鱼页面以.txt等文本文件形式或.html/.shtml文件形式伪装在邮件附件中,诱导用户以HTML方式在本地浏览器中打开以实施钓鱼行为。

如果员工用浏览器打开该邮件附件“顺XX递电子发票生成.shtml”,即显示如下钓鱼邮件,页面背景为一张模糊的发票样式图片,页面中心诱导员工输入其邮箱账号、密码进行“验证”,一旦员工在密码框中输入密码,并点击弹窗下方蓝色按钮,其输入的邮箱地址和密码就会通过HTML表单提交至黑客后台。

 
 
 
特别提醒
 
 

MailSec Lab将该类钓鱼邮件称为“本地HTML类”钓鱼邮件,并对该类钓鱼邮件做了详细深度的剖析,具体内容参考微信文章:【钓鱼专题】警惕!新型!“本地HTML”类钓鱼攻击!

 
05  待办通知
 
相似主题

6.xx代办通知

.......

以“待办通知”为主题的钓鱼邮件一直居高不下,为躲避传统邮件安全网关“同主题威胁邮件防护”检测功能,钓鱼攻击者也绞尽脑汁对邮件主、题进行升级改造,演变出日期+待办通知的动态主题模式,钓鱼邮件的主题不断按日期进行更新变换。
该类钓鱼邮件夹带“内部通知.pdf”的附件,点击打开该pdf附件,显示为如下关于岗位补贴的通知内容。

点击打开该附件中“请点击登录官方网址”,会打开一个“www.oplku.com”网址,对该URL进行安全检测,发现该域名为新近(2025/6/9)注册,专门用作钓鱼攻击,其多个相关域名均已被专业威胁情报中心判定为恶意URL。

 

 

 
 
 
总结:
 

2025年06月度的钓鱼邮件热点分析重点如下:

 

1、以“防暑降温”、“办公文件共享”、“待办事项“为主题的钓鱼邮件占据主流;

 

2、以在线图片、在线文档等在线URL手法躲避邮件安全网关等检测的新型钓鱼邮件越来越多;

 

3、以伪装成专业发票机构,复制正规电子发票内容,附件带有.txt、.shtml等文件的“本地HTML类”钓鱼邮件其攻击手法隐蔽,需重点防范;

行业资讯

邮件安全领域国产领跑厂商