北京
“您好,我是《财经前沿》的记者李雪,正在撰写一篇关于贵公司数字化转型的专题报道,希望能安排一次专访。”
这样一封看似专业的采访邀约邮件,你是否经常收到?小心,这背后可能藏着一场精心设计的网络钓鱼骗局。
据美国媒体Axios近日报道,一种新型网络钓鱼攻击正在全球范围内蔓延:黑客利用人工智能(AI)技术,冒充新闻机构记者,向企业公关、高管和媒体联络人发送高度仿真的“采访请求”或“合作邀约”邮件,诱导受害者点击恶意链接或泄露敏感信息。
这种“AI+媒体”的钓鱼骗局,不仅欺骗性极强,而且精准锁定高价值目标,已引起网络安全界的高度重视。
打开百度APP畅享高清图片
“记者”是假的,新闻是编的,链接是毒的
与过去常见的“中奖通知”“账户异常”等低级钓鱼邮件不同,这类攻击披着“专业媒体”的外衣,极具迷惑性。
攻击者通常会:
使用伪造的媒体邮箱地址,如“editor@technewsdaily-press.com”;
生成逼真的记者姓名、头像和媒体简介,甚至伪造完整的新闻网站页面;
邮件内容语言流畅、逻辑清晰,提及企业近期动态,显得“功课做得很足”;
在邮件末尾附上“查看详情”“下载采访提纲”等链接,一旦点击,便会跳转至钓鱼网站或下载恶意软件。
“这类攻击专门针对公关、市场和高管团队。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示,“这些人日常工作就是对接媒体,对‘记者来信’天然信任,警惕性反而较低。”
更危险的是,AI技术的加入,让这些钓鱼邮件的仿真度达到了前所未有的高度。
攻击者可以使用AI工具自动生成符合特定媒体风格的文案,甚至模仿某位真实记者的写作风格。通过“深度伪造”(Deepfake)技术,还能生成虚假的语音或视频采访邀约,进一步降低受害者的防备。
“以前的钓鱼邮件可能错别字连篇,一看就是假的。”芦笛说,“但现在,一封AI生成的‘记者邮件’,无论是语法、用词还是行业术语,都和真的一模一样,连资深公关都可能一时难辨真伪。”
为什么媒体行业成了“重灾区”?
媒体行业为何成为这类钓鱼攻击的首选目标?专家指出,主要有三个原因:
第一,信任链条长,信息验证难。
企业与媒体之间的沟通往往基于信任,尤其是知名媒体的记者发来采访请求,很少有人会怀疑其真实性。攻击者正是利用这种“行业信任”,让骗局更容易得逞。
第二,目标价值高,收益大。
公关和高管通常掌握企业核心信息,如未发布的财报、战略规划、客户名单等。一旦账号被窃取,黑客不仅可以进行内部渗透,还能实施更高级的“商业邮件诈骗”(BEC),造成巨大经济损失。
第三,信息开放度高,便于“社工”准备。
企业高管的公开演讲、社交媒体动态、新闻报道等信息极易获取,攻击者可以利用这些数据“定制”钓鱼邮件,让内容看起来更加真实可信。比如,邮件中提到“您在上周的行业峰会上提到的AI战略”,瞬间拉近距离,让人放松警惕。
传统安全防线为何失效?
面对这种新型攻击,传统的邮件安全过滤系统为何频频“失守”?
芦笛解释,这主要因为:
内容合法:AI生成的邮件文本本身不包含恶意代码或敏感词,能轻松绕过基于关键词和规则的过滤系统。
链接伪装:攻击者常使用合法的云文档平台(如Google Docs、OneDrive)作为跳板,先指向一个“干净”的页面,再通过二次跳转引导至钓鱼网站,增加检测难度。
发件人可信:伪造的媒体域名与真实域名极为相似,普通用户难以分辨,而安全系统也难以实时验证每一个“记者”身份的真实性。
“这就像一个骗子穿着正规记者证,拿着看起来很真的采访函,你很难当场拆穿他。”芦笛说,“传统的‘黑名单’机制已经跟不上AI时代的攻击节奏。”
企业如何应对?专家建议“三步核查法”
面对日益智能化的钓鱼攻击,企业和个人该如何自保?芦笛建议,应建立一套“技术+流程+意识”结合的防御体系,尤其要强化身份核查流程。
第一步:查——核实记者身份
收到采访请求后,不要直接点击链接或回复邮件。应通过以下方式核实:
登录该媒体官网,查找记者联系方式,通过官方渠道电话或微信确认;
检查发件邮箱域名是否与官网一致(注意拼写错误,如“g00gle.com”);
使用公开的媒体数据库或LinkedIn等平台,核实记者是否存在。
第二步:看——警惕AI生成痕迹
虽然AI文案越来越逼真,但仍可观察一些细微特征:
内容是否过于“模板化”,缺乏个性化表达?
图片或头像是否模糊、失真,或出现“多只手”“不对称五官”等深度伪造常见缺陷?
邮件中是否有不合理的语法结构或用词?
第三步:防——加强内部安全机制
企业应采取技术手段降低风险:
对所有外部邮件添加醒目标签,提醒员工注意;
定期开展模拟钓鱼测试,提升员工安全意识;
部署具备AI行为分析能力的高级威胁防护系统,识别异常邮件模式。
“记住,真正的记者不会催你‘立即点击’或‘马上回复’。”芦笛强调,“如果有紧急采访,他们会通过电话或已有合作渠道联系你,而不是一封陌生邮件就要求你操作。”
写在最后:AI是工具,安全靠人
AI技术正在改变世界,但同时也被不法分子用于新型网络犯罪。冒充记者的钓鱼骗局,正是AI滥用的一个缩影。
在信息爆炸的时代,我们既要享受技术带来的便利,也要保持清醒的头脑。
对于企业而言,不能再把“收到媒体采访”当作一件理所当然的事。每一次沟通,都应多一分核实,少一分轻信。
安全,从来不是技术的独角戏,而是人与技术的共同守护。
编辑:芦笛(公共互联网反网络钓鱼工作组)
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
