钓鱼邮件“会伪装”？新型攻击专挑安全网关漏洞，专家支招企业如何应对

你收到的“公司通知”真的是IT部门发的吗？你的“财务审批”邮件真的来自老板吗？在数字化办公日益普及的今天，一封看似普通的电子邮件，可能正悄悄绕过企业层层防护，直抵你的收件箱。

近日，全球知名网络安全教育平台KnowBe4发布最新安全博客指出，当前的网络钓鱼攻击已不再是“广撒网”式的粗放操作，而是演变为高度“工程化”的精准打击。攻击者正利用一系列技术手段，专门针对企业部署的**安全邮件网关（Secure Email Gateway, 简称SEG）**进行规避，让传统防线频频失守。

打开百度APP畅享高清图片

安全网关为何“失灵”？黑客玩起了“技术猫鼠游戏”

安全邮件网关，是企业防御外部邮件威胁的第一道“城墙”。它通常具备垃圾邮件过滤、病毒查杀、恶意链接检测等功能，能自动拦截大部分可疑邮件。然而，随着攻击技术的升级，这道“城墙”正变得越来越容易被绕开。

“现在的钓鱼攻击，更像是一个精心设计的‘工程产品’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“攻击者不再靠运气，而是系统性地研究防御机制，专门找漏洞、钻空子。”

那么，这些攻击者究竟用了哪些“花招”来绕过安全网关呢？

1. 动态域名：今天用完明天换，让你追无可追

过去，黑客常用固定域名发送钓鱼邮件，一旦被安全系统识别，整个域名就会被拉黑。如今，他们改用“动态域名生成技术”（DGA），每次发送邮件都使用一个全新的、短时效的域名。等安全系统反应过来时，这个域名早已废弃，攻击者又换上了下一个。

2. 内容变异：每封邮件都不一样，AI也难识别

传统的邮件网关依赖“特征库”来识别恶意内容。比如，如果某段文字反复出现在钓鱼邮件中，系统就会标记为风险。但现在的攻击者使用“内容变异”技术，每封邮件的正文、标题、链接描述都略有不同，甚至用同义词替换、插入无关字符，让系统无法匹配到已知模式。

3. 图片伪装：把文字藏进图片，绕过文本扫描

有些攻击者干脆把关键信息——比如“点击领取奖金”“账户异常需验证”——直接做成图片插入邮件。由于安全网关主要分析文本内容，对图片的识别能力有限，这种“图文混排”的钓鱼邮件更容易蒙混过关。

4. 多跳重定向：先到“合法网站”，再跳转钓鱼页

更狡猾的是“多跳重定向”技术。攻击者先把用户引导到一个看似合法的中间页面（比如一个正常的云存储链接），这个页面本身无害，能顺利通过安全检测。但当你点击下一步时，系统再悄悄跳转到真正的钓鱼网站。这种“迂回战术”大大提高了欺骗成功率。

“这些手段组合起来，就像一场‘完美犯罪’。”芦笛解释道，“第一跳是干净的，第二跳才动手，等系统发现时，用户已经被骗走了账号密码。”

传统防线告急，仅靠网关已不够

KnowBe4的报告明确指出：仅依赖传统安全邮件网关，已难以应对当前高度定制化、工程化的钓鱼攻击。

数据显示，2025年上半年，仍有超过30%的钓鱼邮件成功穿透企业SEG防线，较2023年上升了近10个百分点。其中，针对高管的“鱼叉式钓鱼”（Spear Phishing）和利用被盗账号发送的“内部威胁”尤为突出。

“安全网关就像机场的安检机，能查出明显的违禁品。”芦笛比喻道，“但现在的小偷学会了‘分拆携带’，把危险品拆成几部分，分别通过不同旅客带进去，安检机就很难发现了。”

企业如何破局？专家建议构建“三层防御体系”

面对日益狡猾的钓鱼攻击，企业不能再“单打独斗”。芦笛建议，应构建一套“技术+行为+意识”三位一体的综合防御体系。

第一层：技术升级——引入AI与行为分析

企业应在现有安全网关基础上，部署具备人工智能（AI）辅助检测能力的高级威胁防护系统。这类系统能通过机器学习，识别邮件中的异常模式，比如发件人行为突变、语言风格不符、发送时间异常等。

同时，结合**用户行为分析（UEBA）**技术，监控员工的邮件使用习惯。一旦发现某个账号突然向大量外部地址发送带链接的邮件，系统可立即发出预警。

第二层：流程优化——加强身份验证与权限管理

对于涉及财务、人事等敏感操作的邮件，应建立**多因素验证（MFA）**机制。例如，要求员工在点击链接后，必须通过手机验证码或身份令牌再次确认。

此外，实施“最小权限原则”，避免普通员工账号拥有过高权限，即使账号被盗，也能限制攻击者的破坏范围。

第三层：人员培训——让员工成为“人肉防火墙”

“再先进的技术，也挡不住一次错误的点击。”芦笛强调，员工是最后一道防线。

企业应定期开展持续性安全意识培训，通过模拟钓鱼测试、案例分享、互动课程等方式，帮助员工识别钓鱼邮件的常见特征：

发件人邮箱是否拼写错误？（如“micorsoft.com”而非“microsoft.com”）

邮件内容是否制造紧迫感？（如“24小时内不处理将停用账户”）

链接指向的域名是否可疑？

是否要求提供密码或敏感信息？

“记住，正规机构绝不会通过邮件索要密码。遇到可疑邮件，先别急着点，打个电话确认最保险。”

写在最后：安全是一场持久战

从“广撒网”到“精准钓”，网络钓鱼的进化速度远超许多人的想象。安全邮件网关仍是重要防线，但它不再是“万能钥匙”。

在攻防对抗日益激烈的今天，企业必须意识到：网络安全不是一劳永逸的采购项目，而是一场需要技术、流程与人员共同参与的持久战。

只有不断升级防御策略，提升全员安全意识，才能在这场“猫鼠游戏”中掌握主动权，守护好企业的数字大门。

编辑：芦笛（公共互联网反网络钓鱼工作组）