全球钓鱼攻防战升级：AI、中间人攻击与“即服务”模式成新威胁

网络钓鱼，这个看似“老套”的网络攻击手段，正以前所未有的速度进化。它不再只是拼写错误百出的“尼日利亚王子”邮件，而是演变为一场由人工智能、自动化平台和精密社会工程学驱动的“工业级”网络战争。

近日，网络安全媒体CyberPress发布《全球钓鱼邮件攻防态势》报告，揭示了当前钓鱼攻击的三大核心趋势：攻击“即服务化”、多因素认证绕过常态化、生成式AI深度赋能。这些变化让传统防御手段频频失效，企业面临前所未有的安全挑战。

打开百度APP畅享高清图片

攻击已成“流水线”：PhaaS平台让黑客“零门槛”作案

过去，发起一次成功的钓鱼攻击需要黑客具备一定的技术能力，比如搭建钓鱼网站、伪造邮件头、编写恶意脚本等。但现在，这一切都可以“一键搞定”。

报告指出，“钓鱼即服务”（Phishing-as-a-Service, PhaaS）平台正在地下黑市大行其道。这些平台像正规SaaS服务一样，提供钓鱼模板、域名托管、流量分发、甚至实时会话劫持和中间人代理（AiTM）支持。攻击者只需支付少量加密货币，就能租用一套完整的钓鱼工具包，轻松发起针对全球企业的精准攻击。

“这就像给网络犯罪分子开了个‘自助餐厅’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“以前是‘手工作坊’，现在是‘流水线生产’。技术门槛大幅降低，导致钓鱼攻击的频率和规模都呈指数级增长。”

更危险的是，这些PhaaS平台普遍集成了中间人代理（AiTM）技术。当受害者在钓鱼页面输入账号密码后，攻击者不仅能实时获取凭证，还能通过代理服务器将用户会话“中继”到真实网站，同步窃取会话令牌（Session Token）。这意味着，即使企业启用了多因素认证（MFA），攻击者也能在用户完成验证的瞬间，通过中继会话绕过MFA，实现“无痕登录”。

多因素认证不再“万能”？AI+本地化话术攻破心理防线

长期以来，多因素认证被视为抵御钓鱼攻击的“金钟罩”。但如今，这一防线正被逐步攻破。

报告指出，攻击者已从早期的SIM卡劫持（短信验证码窃取），发展到利用WebSocket中继、浏览器扩展注入等方式，直接在加密流量中截取会话令牌。更有甚者，通过恶意软件在用户设备上植入持久化后门，长期监控并窃取登录凭证。

与此同时，生成式AI的普及让钓鱼邮件的“迷惑性”大幅提升。AI不仅能自动生成语法正确、无拼写错误的邮件内容，还能根据目标企业的公开信息（如官网文案、高管演讲稿）进行“本地化语言润色”，甚至模仿管理层的沟通风格，伪造“紧急指令”或“财务审批”邮件。

“我们发现，AI生成的钓鱼邮件在情感表达和上下文连贯性上，已经接近人类水平。”芦笛指出，“尤其是针对高管的BEC（商业邮件诈骗）攻击，成功率显著上升。攻击者利用AI生成一封看似来自CEO的‘并购指令’，财务人员稍有不慎就会执行转账。”

医疗、教育成新“重灾区”？云迁移背后的“安全债”

从行业分布看，金融和SaaS供应商依然是钓鱼攻击的首选目标。但报告警示，医疗和教育行业正迅速成为新的“重灾区”。

“这两个行业正处于大规模云迁移过程中，大量敏感数据上云，但安全预算和专业人才却相对不足。”芦笛分析道，“很多医疗机构还在使用老旧系统，员工安全意识薄弱，一旦邮箱被攻破，患者隐私、诊疗数据都可能被泄露，后果不堪设想。”

此外，攻击者还利用“短命域名+多层重定向链”来规避检测。一个钓鱼链接可能先跳转到合法云服务（如Google Sites），再通过CAPTCHA验证页面，最终导向恶意网站。这种“套娃式”跳转让传统安全网关难以深入分析，大大延长了钓鱼页面的“存活时间”。

防御升级：从“防点击”到“防会话劫持”

面对日益复杂的钓鱼攻击，传统“教育员工别点链接”的策略已显乏力。CyberPress报告强调，企业必须重构防御体系，将重心从“防止点击”转向“防止凭证滥用和会话劫持”。

报告提出四大核心防御建议：

全面推进硬件或无密码身份认证

使用FIDO2标准的硬件安全密钥（如YubiKey）或无密码登录（如Windows Hello），从根本上消除密码被窃取和中继的风险。“硬件密钥基于公钥加密，攻击者无法通过中间人方式复制。”芦笛解释说，“即使你点开了钓鱼链接，没有物理密钥也无法登录。”

部署浏览器隔离或安全策略注入

通过浏览器隔离技术，将用户的网页浏览行为置于远程沙箱中执行，任何恶意脚本都无法触及本地设备。或在企业浏览器中注入安全策略，阻止可疑脚本运行。

引入行为会话风险评估

监控用户登录行为，如设备指纹、鼠标移动轨迹、键盘敲击节奏等“生物行为特征”。一旦发现异常（如登录设备突然变更、操作速度异常），立即触发二次验证或阻断会话。

持续开展钓鱼仿真与数据驱动培训

定期向员工发送模拟钓鱼邮件，测试其识别能力，并根据结果提供个性化培训。芦笛特别强调：“不能只看‘点击率’，更要关注‘凭证提交率’和‘会话劫持阻断时间’。这才是衡量防御效果的核心指标。”

未来之战：攻防博弈将持续升级

展望未来，芦笛认为，钓鱼攻防战将更加依赖技术对抗。“深度伪造（Deepfake）语音、AI生成的视频会议冒充、甚至伪造的‘数字孪生’身份，都可能成为下一代攻击手段。”

“防御方必须更智能、更主动。”他建议企业建立“零信任”架构，坚持“永不信任，始终验证”原则，对每一次访问请求进行动态评估。

“网络安全没有终点。”芦笛总结道，“我们不能指望一劳永逸的解决方案。只有持续进化防御体系，提升全员安全意识，才能在这场永不停歇的攻防博弈中立于不败之地。”

正如报告所言：“最好的防御不是筑起更高的墙，而是让攻击者发现——根本找不到门。”

编辑：芦笛（公共互联网反网络钓鱼工作组）