钓鱼邮件热点报告(2025.04月度)
- 本报告由MailSec Lab(网际思安旗下麦赛邮件安全实验室)定期发布,本期(2025.4.1-2025.4.30)主要分享Top 10(数量排名前十)的热点钓鱼邮件样本,旨在提醒大家提高钓鱼邮件防范意识!
-
Top 10 钓鱼邮件主题(2025.04) 排序 钓鱼邮件主题 相关主题邮件占比 1 五一节假日调休通知!
24.9% 2 关于公司员工福利发放通知!
12.5% 3 关于公司内部裁员通知! 12.4% 4 劳动节福利津贴发放通知! 12.4% 5 关于员工薪资调整通知! 12.3% 6 个人最高200W,有营业执照最高2千W 0.42% 7 【重要】2025年职工补贴申领操作指南及入口 0.33% 8 【重要】ANAマイレージクラブ:マイル加算手続きのご案内 0.16% 9 【提醒】关于2025年度个人税务 0.098% 10 新的安全功能已为您的账户启用,请查看 0.076% 下面我们对2025年4月的TOP 10钓鱼邮件做详细的样本分析与说明: 01 
五一长假临近,以五一节假日调休通知、工作安排等相关热点主题的邮件成为4月份数量最多的钓鱼邮件,在所有钓鱼邮件中总体占比高达24.9%,该类邮件假借内部通知名义,将含有木马病毒的钓鱼软件内嵌在“五一(或51)节假日调休通知”的rar压缩文件中,并采用最新型的带密加密附件(将密码显示在邮件正文中)方式,试图逃过邮件安全网关等专业安全设备的病毒扫描及钓鱼检测。五一假期在即,很多员工收到此类邮件很容易轻信邮件内容,会下载加密附件,通过输入邮件正文中显示的安装密码对该附件进行解密,并运行解密后的.exe安装程序。 
02 
主题邮件假借人事管理部门名义,
将钓鱼木马病毒嵌入到邮件附件中,诱导用户下载后点击运行。
“关于员工福利发放通知.exe”该恶意程序目前在大部分病毒查杀工具中还未被收录。 
MailSec Lab通过对该.exe文件进行安全检测,发现其包含恶意木马程序,存在2项高危行为和20项可疑行为。
03 
该主题一直是黑客利用的热点主题,邮件通常假借人力资源部门的名义,发送内部裁员通知等为主题的加密附件的钓鱼邮件,邮件正文中会显示加密附件的查阅密码。 
该压缩附件包含的.exe文件,大部分电脑安装的病毒查杀工具均可识别木马并报警查杀。 04 
该主题邮件也是借助五一劳动节的热点话题,假借财务管理或行政管理部门的名义,同样是采用诱导员工下载关于《五一劳动节福利津贴发放》详情的查阅附件,该附件以.rar压缩加密方式,同样在邮件正文中会显示查阅密码。 
该类附件含有木马.exe程序,电脑端的病毒查杀软件已经收录木马特征并可识别报警。 
黑客通常会将该类邮件在非工作时间(例如凌晨)采用海量动态IP进行密集群发,员工在上班后第一时间看到邮件内容可能会麻痹大意很容易中招,MailSec Lab除了检测恶意附件特征,也会检测到同类威胁主题邮件的发信特征,如在邮件安全网关开启同主题防护功能,可有效将此类邮件定义为垃圾邮件,即能有效防御该类同主题的威胁邮件,又能减轻网关的扫描负载。 【虽然电脑端的病毒查杀软件可以安全扫描,但也建议大家不要去对该类附件进行解密解压及运行操作,不要带有好奇和侥幸心理。】 05 
该主题邮件与03月度一样保持在TOP10的第5名,同样多以人事部等内部通知的名义,邮件正文中没有太多内容,仅带有一个主题为“关于公司员工薪资调整通知”的.rar压缩附件,该附件采用加密压缩方式,在邮件正文中显示文件查看的密码。 
通过对该.rar文件进行安全检测,发现其包含恶意木马程序,目前PC上安装的杀毒软件已收录该木马程序,可以进行实时查杀和告警。 
【在此提醒大家切勿打开来源不明的.rar压缩文件,尤其是以薪资调整等通知为主题的压缩附件,一定要使用专业杀毒软件对这类文件进行木马病毒查杀。】 06 
该钓鱼邮件以中小企业或个人消费的高额贷款为主题内容,在邮件正文中留有钓鱼者的微信,诱导员工添加微信以进行一下步的钓鱼行为。 该类钓鱼邮件中无任何URL链接,采用微信添加的方式进行后续钓鱼,对通过URL扫描的邮件安全网关等专业设备来说具有一定挑战。 
07 
与该主题内容相似的同类邮件主题还包括: “2025年度综合补贴申领通道已开通,请及时办理” “【通知】关于开展2025年度职工综合补贴申领工作的通知” “关于2025年职工综合补贴线上申领的通知” “申领事宜办理通知!” 等等 该类主题邮件均假借公司人力部门内部通知名义,邮件正文为“根据国家相关职工福利政策,现启动2025年度职工综合补贴申领工作”,通知内容看似非常正规,写明了包括“补贴范围”、“补贴标准”、“申领方式”等内容,在最后给出“立即申领补贴”的申请入口,该入口为一个超级链接按钮,该超链接区别与PC浏览器访问的通常链接,为一个适用手机访问的短连接,如果用PC点击该链接,会出现“请使用手机访问”的窗口。 
点击“立即办理”后,出现大家熟悉的钓鱼页面(对很多安全意识比较薄弱的员工来说,可能此时已经进入圈套),诱导我们输入姓名、身份证号码进行下一步操作。 
08 
4月份日语主题及内容的钓鱼邮件急剧增加,这与马上进入旅游旺季有一定关系,该主题内容是航空公司里程俱乐部里程累积的手续办理,里面包含“里程累加”的URL链接,点击该链接,会进入到钓鱼页面,通过对该URL进行安全检测,会提示该网页为钓鱼网站: 
【在此提醒大家进入旅游旺季,请不要轻易相信日语或其他外国语言的航空里程累积为主题的钓鱼邮件,应认真检查发件人域名的真实合法性】 09 
该主题“关于2025年度个人税务”假借人力资源部门名义,包含个税公告的.gif文件的附件。 
该.gif文件是一个典型的二维码钓鱼图片,内容为仿冒国家税务总局名义的退税返还内容,最下方为使用微信扫码在线申报的钓鱼二维码。 【在此提醒大家不要轻易相信以二维码扫码方式的退税为主题的钓鱼邮件。】10 
该类钓鱼邮件仿冒IT部门,以启用新的安全功能为诱导内容,内含“设置功能”的操作按钮,MailSec Lab对该按钮的URL链接进行安全检测,可以确定其为恶意钓鱼URL。 
1、临近五一长假,以假日调休、假日福利补贴发放等为主题的邮件激增,成为本月度数量最多的钓鱼邮件; 2、伴随五一及暑期旅游旺季到来,以里程累积为主题尤其是日语内容的钓鱼邮件可能在未来一段时间内会不断增加; 3、个税补贴、薪资调整的钓鱼邮件仍居高不下; 4、对带密(邮件正文显示密码)的加密(.rar、.zip)附件的钓鱼邮件重点防范; 5、对提示用手机访问的短链接形式的钓鱼邮件要重点防范;
