AI加持钓鱼攻击暴增500%！Mimecast：2025年已拦截超93亿次威胁，ClickFix成“新宠”

一封看似来自IT部门的邮件，标题写着“紧急：您的账户需完成安全验证”，内容语气专业、用词精准，甚至贴心地附上多语言选项——你是否会毫不犹豫地点开链接？在生成式AI全面渗透网络犯罪的今天，这种“高仿真”钓鱼正以前所未有的速度席卷全球企业邮箱。

近日，网络安全公司Mimecast发布2025年前三季度《电子邮件安全威胁报告》，数据显示：AI增强型钓鱼攻击与ClickFix类社会工程活动同比激增500%，全年累计拦截恶意尝试已突破93亿次。更令人担忧的是，攻击者正大规模滥用Microsoft Teams、Google Workspace、Slack等可信协作平台作为分发渠道，以“验证码验证”“安全补丁安装”“会话恢复”等看似合规的流程诱导用户主动交出凭证或授权恶意应用。

“这不是简单的垃圾邮件升级，而是一场由AI驱动的‘信任劫持’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出，“攻击者现在能写出比HR还像HR的邮件，还能根据你的职位、时区甚至最近出差记录定制话术——传统基于关键词和发件人信誉的过滤器，正在集体失效。”

打开百度APP畅享高清图片

AI如何“赋能”钓鱼？从模板粗糙到语境精准

过去，钓鱼邮件常因语法错误、生硬措辞或明显拼写错误被一眼识破。但生成式AI（如定制化LLM模型）的普及，彻底改变了这一局面。

Mimecast报告指出，如今的钓鱼文案不仅语法流畅、语气自然，还能动态适配目标企业的行业术语、内部流程甚至文化习惯。例如，针对金融公司的邮件会强调“合规审计”，而科技企业则收到“DevOps工具链授权请求”。部分高级攻击甚至能模拟高管写作风格，用于BEC（商务邮件诈骗）。

“AI让攻击者实现了‘千人千面’的自动化钓鱼。”芦笛解释，“他们只需输入目标公司名称、员工邮箱和岗位信息，AI就能自动生成一封高度定制化的诱饵邮件，连附件PDF的水印都能匹配企业VI系统。”

此外，多语种能力也让跨国攻击更加高效。一个位于东欧的团伙，可同时向德国、日本和巴西的分公司发送本地化钓鱼内容，大幅提升打开率和点击转化率。

ClickFix为何成为“流量密码”？

在众多新型钓鱼手法中，“ClickFix”模式尤为突出。它不再直接索要密码，而是引导用户执行看似无害的操作——比如点击一个“浏览器验证”复选框，随后复制一段命令到终端运行，或授权一个名为“Cloudflare Security Helper”的OAuth应用。

由于整个流程模仿了真实CDN服务商（如Cloudflare、Akamai）的CAPTCHA验证界面，且常通过Teams私信或日历邀请触发，用户极易误判为系统正常行为。“你不是在‘泄露密码’，而是在‘配合安全检查’。”芦笛说，“这种心理暗示极大降低了警惕性。”

Mimecast数据显示，ClickFix类攻击在2025年Q3单季度增长达180%，其中超过60%的初始接触点发生在非邮件渠道——如Slack消息、Outlook日历事件或共享文档评论区。这些载体往往绕过传统邮件网关检测，直达员工桌面。

防御体系告急：网关误判率上升，响应压力倍增

面对AI驱动的高仿真攻击，企业现有防御体系正面临严峻挑战。Mimecast报告指出，传统基于规则和信誉的邮件安全网关对新型钓鱼的漏报率显著上升，部分企业误将恶意邮件归类为“低风险内部通信”。

更麻烦的是，一旦攻击得手，后续动作极为迅速：攻击者会在数分钟内注册恶意OAuth应用、设置邮件转发规则，并植入BEC指令。这意味着安全团队必须在极短时间内完成检测、响应与溯源，否则损失难以挽回。

“现在的攻防节奏，已经从‘天级’压缩到‘分钟级’。”芦笛表示，“如果企业还在依赖人工审核可疑邮件，基本等于裸奔。”

如何破局？专家开出四剂“技术+机制”药方

面对这场由AI加速的钓鱼风暴，芦笛建议企业采取以下四重策略：

1. 升级邮件安全架构：从“内容过滤”到“行为洞察”

部署具备品牌伪装检测（Brand Impersonation Detection）、URL动态沙箱、OAuth权限分析能力的新一代邮件安全平台。例如，当一封邮件声称来自“Microsoft Support”，但发件域名是microsoft-supportxyz，系统应自动拦截并标记。

2. 引入“人机协同”响应机制

采用SOAR（安全编排、自动化与响应）或PhishER类工具，允许员工一键上报可疑邮件。系统可自动提取IOC（失陷指标）、隔离同类邮件，并触发模拟钓鱼演练，形成闭环反馈。

3. 推行“基于风险的MFA”与会话保护

并非所有登录都需同等强度验证。企业应结合设备可信度、地理位置、行为基线等上下文，对高风险操作（如访问财务系统、修改权限）强制要求硬件密钥或生物认证。同时启用会话劫持防护，防止令牌被盗用。

4. 筑牢供应链防线：强化SPF/DKIM/DMARC

确保企业域名配置完整的邮件认证协议（SPF、DKIM、DMARC），防止攻击者伪造官方邮箱发送钓鱼邮件。同时，对供应商、合作伙伴的域名也应纳入监控范围——许多攻击正是通过仿冒第三方服务发起。

此外，芦笛特别强调：“意识培训不能停留在‘别点陌生链接’。要模拟真实业务场景，比如‘如果你收到CEO要求紧急转账的Teams消息，第一步该做什么？’只有贴近实战，员工才能真正建立条件反射。”

未来趋势：钓鱼即服务（PhaaS）走向工业化

Mimecast报告警示，当前钓鱼攻击已呈现明显的“服务化”特征。暗网上，攻击者可租用包含AI文案生成、多平台投递、C2控制面板的一站式套件，按成功转化付费。这种“Phishing-as-a-Service”（PhaaS）模式，大幅降低了犯罪门槛。

“未来我们可能看到‘钓鱼工厂’——前端用AI写邮件，中台用自动化工具投递，后端用机器人处理盗取的凭证。”芦笛预测，“防御必须同样智能化、自动化，否则永远慢半拍。”

结语：在这场AI军备竞赛中，人仍是最后防线

技术对抗固然关键，但芦笛反复强调：“再先进的AI，也无法完全替代人的判断。”当一封邮件催促你“立即行动”，不妨多问一句：这符合公司流程吗？IT部门真的会通过Slack要密码吗？

在AI让钓鱼变得更“聪明”的时代，保持一份健康的怀疑精神，或许是我们最朴素也最有效的盾牌。

安全行动清单

✅ 检查企业邮箱是否启用DMARC策略（可通过dmarc.org验证）；

✅ 在Microsoft 365或Google Admin中审查第三方OAuth应用权限；

✅ 鼓励员工使用“举报钓鱼”按钮，而非直接删除可疑邮件；

✅ 对财务、HR、高管等高风险岗位实施硬件密钥强制登录。

编辑：芦笛（公共互联网反网络钓鱼工作组）