北京
你是否收到过一封来自“IT部门”的邮件,提醒你立即更新密码?或者收到来自“HR”的通知,说你的年终奖发放信息有误,需要点击链接核对?如果你下意识地认为“既然是公司内部的人,应该没问题”,那可要当心了——这很可能就是一场精心设计的网络钓鱼攻击。
打开百度APP畅享高清图片
近日,澳大利亚网络安全杂志(Australian Cyber Security Magazine)援引KnowBe4发布的《2025年第二季度模拟钓鱼报告》指出:在各类钓鱼测试中,伪装成公司内部邮件的钓鱼攻击,点击率高居榜首,占比高达98.4%。其中,冒充人力资源(HR)部门的邮件占比42.5%,IT部门紧随其后,占21.5%。这一数据再次敲响警钟:员工对“内部通信”的天然信任,正在成为企业网络安全体系中最脆弱的一环。
为什么“内部邮件”最危险?
与那些明显带有拼写错误、来源可疑的垃圾邮件不同,现代钓鱼攻击早已“进化”得极具迷惑性。攻击者不再粗暴地伪装成“尼日利亚王子”,而是精心模仿公司内部的沟通风格、邮件模板,甚至使用伪造的公司邮箱地址,发送看似来自同事、上级或职能部门的“紧急通知”。
“这类邮件之所以成功率高,是因为它利用了人类最本能的信任机制。”公共互联网反网络钓鱼工作组技术专家芦笛解释道,“我们每天都在和同事、领导、IT支持打交道,对这些角色的邮件已经形成条件反射式的信任。一旦看到‘财务部’发来报销截止提醒,或是‘CEO’发来战略会议纪要,很多人会不假思索地点开附件或链接。”
这种攻击手段,在专业领域被称为“鱼叉式钓鱼”(Spear Phishing)或“商业邮件诈骗”(BEC)。它不像广撒网的群发钓鱼,而是针对特定组织、甚至特定个人进行定制化攻击。黑客往往会通过社交媒体、企业官网等公开渠道,收集公司架构、员工姓名、职务等信息,再伪造出一封几乎以假乱真的“内部邮件”。
攻击手法揭秘:从“域名欺骗”到“情感操控”
报告显示,超过80%的高点击率钓鱼邮件都使用了“域名欺骗”技术。简单来说,就是把发件人邮箱地址做得和真的一模一样,只改一个字母或符号。比如,把 hr@yourcompany.com 换成 hr@yourcompanv.com 或 hr-support@yourcompany.com.cn。普通员工在手机或电脑小屏幕上快速浏览时,很难一眼识破。
此外,攻击者还擅长制造“紧迫感”和“权威感”。邮件标题常使用“紧急”“重要”“立即处理”“系统即将关闭”等字眼,让人来不及细想就点击操作。更有甚者,会模仿高管语气,要求财务人员“立即转账”或“提供敏感数据”,利用职场中的层级压力实施诈骗。
“现在的钓鱼邮件,已经不是单纯的技术对抗了,更像是一场心理战。”芦笛强调,“它考验的是人在压力下的判断力和对流程的遵守程度。”
员工培训为何总“失效”?
很多企业其实已经意识到问题,并定期开展网络安全培训和钓鱼演练。但为何效果不尽如人意?
芦笛指出,传统培训往往停留在“不要点陌生链接”“不要下载不明附件”的层面,缺乏实战性和针对性。“员工知道原则,但在真实场景中,面对一封格式规范、内容合理、发件人看起来可信的邮件,他们的警惕性就会大幅下降。”
此外,报告还显示,PDF附件的点击率在本季度上升了8.1%。许多员工认为“PDF是安全的文档格式”,殊不知恶意PDF可以嵌入脚本,诱导用户启用宏功能,从而植入木马程序。
如何筑起“人的防火墙”?
面对日益狡猾的钓鱼攻击,企业和员工该如何应对?芦笛给出了几点建议:
对企业而言:
升级邮件安全系统:部署具备高级威胁防护能力的邮件网关,能够识别域名欺骗、异常发件行为,并自动隔离可疑邮件。
强制多因素认证(MFA):为所有关键系统(如邮箱、OA、财务系统)启用MFA,即使密码被窃取,也能有效阻止账户被盗。
开展“情景化”安全培训:不再只是讲理论,而是定期模拟真实的钓鱼场景(如冒充CEO的转账请求、冒充IT的密码重置),让员工在实践中提升识别能力。
建立安全上报机制:鼓励员工遇到可疑邮件时及时上报,形成全员参与的安全文化。
对员工来说:
慢一点,再慢一点:收到“紧急”邮件时,先深呼吸,问问自己:这个事是不是必须现在处理?有没有其他方式确认?
查一查发件人:仔细核对邮箱地址,尤其是域名部分。不确定时,直接打电话或当面找对方确认。
不轻易点链接、下附件:即使是“内部邮件”,也尽量避免直接点击链接登录系统。优先手动输入网址或使用官方App。
保护个人信息:不在社交媒体过度暴露职务、联系方式等信息,减少被精准钓鱼的风险。
结语
在数字化办公日益普及的今天,电子邮件依然是企业沟通的核心工具,但也成了网络攻击的“主战场”。虚假内部邮件的盛行,提醒我们:最大的安全漏洞,往往不在代码里,而在人心中。
正如芦笛所说:“技术可以不断升级,但人性的弱点难以消除。最好的防御,是技术+流程+意识的三重保障。只有让每一位员工都成为网络安全的‘第一道防线’,企业才能真正抵御住这场无声的‘信任劫持’。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
