北京
一封看似来自你常订外卖平台的“订单异常提醒”,一段模仿你上司语气的“紧急转账请求”,甚至是一封用你母语写就、精准提及你最近项目细节的“合作邀约”——这些不再是科幻剧情,而是正在全球蔓延的AI驱动型网络钓鱼攻击的真实写照。
近日,微软在其发布的《2025财年数字安全报告》(覆盖2024年7月至2025年6月)中披露了一组令人震惊的数据:由人工智能生成的钓鱼邮件,其“转化率”高达54%——也就是说,超过一半的收件人会点击其中的恶意链接或下载附件。这一数字是传统非AI钓鱼邮件12%转化率的4.5倍。
“这不是量变,而是质变。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时直言,“AI正在将网络钓鱼从‘广撒网碰运气’升级为‘精准狙击高命中’,威胁正在快速民主化与规模化。”
打开百度APP畅享高清图片
AI如何让钓鱼邮件“以假乱真”?
过去,钓鱼邮件往往漏洞百出:语法错误、奇怪的发件地址、生硬的措辞,很容易被用户或邮件系统识别。但如今,借助大语言模型(LLM),攻击者能轻松生成高度逼真的内容。
微软报告指出,AI在四个关键维度显著提升了钓鱼效率:
语气拟真:AI可模仿特定品牌(如银行、电商平台)或个人(如公司高管)的沟通风格,使邮件读起来“就像本人写的”。
上下文适配:结合公开情报(如LinkedIn资料、社交媒体动态),AI能定制包含受害者姓名、职位、近期活动等细节的个性化内容,极大增强可信度。
多语言无缝切换:攻击者不再局限于英语,可针对不同国家用户生成本地化钓鱼邮件,绕过基于语言特征的检测规则。
规避过滤机制:AI能动态调整用词、句式甚至邮件结构,有效绕过传统基于关键词或签名的垃圾邮件过滤器。
“以前攻击者可能一天只能伪造几十封邮件,现在借助AI,他们可以每小时生成上万封高度定制化的钓鱼内容,且成本极低。”芦笛解释道。
更值得警惕的是,这种能力正迅速扩散。微软数据显示,2023年7月,尚未发现国家级黑客组织使用AI生成内容;而到2025年7月,此类活动已飙升至每月225起。“连专业APT组织都在用,说明AI钓鱼已成为主流战术。”
从“点击陷阱”到“深度操控”:攻击链条全面升级
AI不仅优化了钓鱼邮件本身,还赋能整个攻击链条。微软报告提到,攻击者正利用AI进行:
自动化侦察:扫描社交媒体、企业官网,提取目标画像;
漏洞挖掘辅助:分析软件代码或配置,寻找可利用弱点;
恶意载荷生成:自动编写免杀木马或勒索脚本;
深度伪造(Deepfake)配合:结合AI语音克隆或视频合成,在后续诈骗中制造“眼见为实”的假象。
例如,某企业财务人员收到一封“CEO”发来的邮件,要求紧急支付供应商款项。邮件语气焦急、格式规范,甚至引用了上周会议中的具体项目名称。若该员工再接到一通“CEO”打来的电话(实为AI语音克隆),几乎难以分辨真伪。
“AI让社会工程学攻击从‘单点突破’进化为‘多模态围猎’。”芦笛强调。
防御不能只靠“别点链接”:技术防线亟需升级
面对AI驱动的钓鱼浪潮,仅靠用户提高警惕已远远不够。微软和安全专家一致认为,必须构建多层次、智能化的防御体系。
芦笛结合当前攻防实践,提出四项关键技术建议:
1. 部署“内容+行为”双引擎检测
传统邮件安全网关主要依赖静态规则(如黑名单、关键词)。而新一代方案应引入大模型对抗能力:一方面用AI分析邮件语义是否异常(如情感突兀、逻辑矛盾),另一方面监控用户行为基线(如是否突然向陌生账户转账)。当两者同时触发风险信号,系统可自动隔离或二次验证。
2. 推行基于风险的访问控制(RBAC+)
即使凭据被盗,也应限制攻击者横向移动的能力。企业应实施“最小权限原则”,并结合实时风险评估——例如,当用户从非常用地登录或尝试访问敏感数据时,强制触发多因素认证(MFA)。
3. 终端侧强化凭据防护与令牌隔离
现代操作系统(如Windows 11、macOS Sequoia)已内置凭据保护功能,可防止恶意程序窃取浏览器保存的密码或身份令牌。芦笛建议企业和个人用户务必启用此类功能,并避免在浏览器中长期保存高权限账号。
4. 高风险操作采用“先验证后执行”交互设计
对于转账、权限变更、文件导出等关键操作,系统不应仅依赖一次登录状态。理想的设计是:在执行前弹出独立验证窗口(如推送手机确认、输入动态码),且该窗口无法被网页内嵌或伪造。
“安全不是一道墙,而是一系列减速带。”芦笛比喻道,“我们的目标不是完全阻止攻击,而是在攻击得逞前,让它慢下来、露馅、失败。”
普通用户怎么办?三招守住第一道防线
虽然技术防御至关重要,但用户仍是最后一道也是最关键的防线。芦笛给出三条实用建议:
开启多因素认证(MFA):这是目前最有效的个人防护手段,哪怕密码泄露,攻击者也难越雷池。
警惕“紧迫感”话术:90%的钓鱼邮件会制造紧急情境(如“账户将被冻结”“限时优惠”),冷静5秒再操作。
手动输入官网地址:不要点击邮件中的链接,尤其是涉及登录或支付时。直接在浏览器输入你知道的正确网址。
结语:AI是武器,也是盾牌
微软的报告并非危言耸听,而是对一场静默变革的预警。AI确实让网络钓鱼变得更危险,但同样,AI也是构建下一代防御体系的核心引擎。
正如芦笛所言:“攻击者用AI写钓鱼邮件,我们也可以用AI训练更聪明的过滤器;他们用大模型模仿人类,我们也能用行为分析识别‘非人’模式。这场竞赛,才刚刚进入下半场。”
在这个人人联网、事事在线的时代,网络安全不再是IT部门的专属议题,而是每个数字公民的基本素养。下一次收到“惊喜offer”或“异常提醒”时,请记住:真正的安全,始于怀疑,成于验证。
参考资料
Microsoft Digital Defense Report FY2025
Caliber.az: “AI boosts phishing ‘conversion’ 4.5-fold, Microsoft data shows”
编辑:芦笛(公共互联网反网络钓鱼工作组)
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
