攻击者正在新领域开展钓鱼攻击
应对多渠道攻击需要新的思维和策略
CISO 需要一份新的实践指南,刻不容缓。尽管他们在企业中常常扮演着数字安全 “灯塔” 的角色 —— 勇敢且清晰地“照亮”各类新型及新兴威胁,但他们所青睐的诸多策略,仍是在过去那个以云迁移与数字服务为核心特征的时代所形成的。那个时代已然结束。因此,许多 CISO 的工具箱中的工具开始黯然失色,逐渐失效。
这一点在抗击网络钓鱼的过程中最为明显。全球各地企业每年因钓鱼攻击蒙受的损失超过 500 亿美元。
第一次现代网络钓鱼攻击发生在 20 世纪 90 年代,当时拨号上网的用户正首次体验电子邮件的神奇。几十年后,电子邮件仍然是网络犯罪分子最青睐的攻击手段。事实上,根据美国网络安全和基础设施安全局 (CISA) 的数据,超过 90% 的成功网络攻击都始于网络钓鱼邮件。
但是,今天的网络钓鱼邮件已经不同于昨天的网络钓鱼邮件。今天的网络钓鱼邮件不仅数量更多(据估计,网络犯罪分子每天会发送数十亿封网络钓鱼邮件),而且迷惑性更高。哥伦比亚大学研究人员指出,人工智能(AI)是一个主要原因。2025 年 7 月,他们发布了一项具有里程碑意义的研究,显示目前超过 51%的垃圾邮件是使用 AI 生成的。
该研究的主要作者 Wei Hao 在一份新闻稿中表示:“我们的研究结果表明,攻击者主要利用 AI 来提升邮件的质量,例如减少错别字和语法错误,而非改变攻击策略。这使得垃圾邮件更难检测,并且可能更容易使收件人信服。”
如果 CISO 采用旧策略应对新型网络钓鱼攻击,就如同拿着园艺水管去扑灭五级火警。
而且,AI 并非唯一的问题。为扩大攻击范围并增加回报,网络犯罪分子正越来越多地借助新型且多样的通��信渠道实施网络钓鱼攻击,包括短信、语音通话、二维码及社交媒体等。要在所有这些领域阻止网络钓鱼攻击, CISO 需要加大对现代安全实践的投入,例如自动化、实时威胁分析和培训。
网络钓鱼策略正在如何演变
仅仅设置垃圾邮件过滤器来拦截网络钓鱼邮件已经不再足够。如今攻击者正通过多种其他手段来发动攻击。例如,短信钓鱼、电话钓鱼、二维码钓鱼、企业通信平台和社交媒体等手段日益普遍,这些手段都能绕过 CISO 及其团队传统上用于阻止网络钓鱼攻击的诸多常规检测和缓解方法。
“多渠道”网络钓鱼攻击的出现,标志着网络犯罪进入了一个新时代。如果希望跟上不断演变的威胁态势,了解网络犯罪分子在这个新时代中如何运作,对 CISO 而言至关重要。最高效的 CISO 尤其关注现代网络钓鱼的三个方面:AI、社会工程学和信息收集。
AI 网络钓鱼
AI 使网络钓鱼攻击更难识别。正如哥伦比亚大学的研究人员所指出的,AI 已经消除了曾经是网络钓鱼明显特征的拼写错误和语法问题。
然而,AI 不仅仅让诈骗分子的写作水平变得更高。AI 还让他们成为更出色的 “销售人员”。借助生成式和智能体式 AI 工具,攻击者能够精心编制针对特定群体及个人的钓鱼邮件。例如,AI 深度伪造和语音克隆是现代攻击者武器库中的关键组成部分,使攻击者能够创建高度逼真的图像和视频,即便专业人士也难以分辨其真伪。
试想,若攻击者先以公司 CEO 的伪造邮箱地址向员工发送带有恶意软件的 PDF 附件,随后再拨打一通语音克隆电话,将会对公司造成何等严重的损失。如今已经发生这种网络钓鱼攻击。
随着 AI 日益普及,任何人都可以发起一次成功的网络钓鱼活动。网络犯罪分子可以利用 AI 扩大多渠道网络钓鱼攻击的规模。另一方面,低技术员工也可使用 AI 构建 鱼叉式网络钓鱼工具包,对企业内部的资产发起攻击,造成新的内部风险点。
此外,速度也是一个重要因素:利用 AI 的网络犯罪分子,能够以历来最快的速度创建钓鱼攻击活动与钓鱼信息;而借助这种提升的速度与效率,他们可以在更多渠道、针对更多目标发起更多钓鱼攻击。社会工程学
在现代钓鱼攻击中,与技术同等核心的要�素是心理操控,这一手段也被称为社会工程学。为促使受害者执行其期望的操作(例如转账或共享私密信息),攻击者通常会利用多种情绪诱导,包括恐惧(例如,如不采取行动将被锁定账户)、内疚(例如,感觉需要回复来自陌生发件人的友好消息)或兴奋(例如,在领英上收到关于“完美”工作机会的私信)等。
攻击者会利用个人对知名公司、高级领导,甚至是普通熟人的信任。日益难以检测的网络钓鱼攻击越来越多地在公司压力最大的时期(例如,在 节假日、报税季和财年末)发动,因为攻击者知道员工在忙碌时更容易犯错。信息收集
。传统上,大多数网络攻击的动机是经济利益。这仍然是许多攻击者的主要目标。但是,今天的网络犯罪分子不仅仅是为了钱而进行网络钓鱼。他们还通过网络钓鱼来获取信息。事实上,据 IBM 商业价值研究院(IBV)在其《IBM X-Force 2025 威胁情报指数》报告中指出,2024 年至 2025 年间,通过钓鱼邮件传播的信息窃取恶意软件(infostealer)—— 这类恶意软件旨在秘密窃取敏感信息,包括个人信息、密码、屏幕截图及私人文档 —— 数量增长了 84%。IBM IBV 报告称:“网络钓鱼已成为导致合法帐户入侵的一种潜在感染途径。” 报告指出,近三分之一的网络攻击是利用合法帐户进行的。“分发信息窃取恶意软件的网络钓鱼电子邮件激增和凭据网络钓鱼助长了这一趋势,而其原因可能在于攻击者利用 AI 来扩大攻击规模。”
攻击者通过网络钓鱼获取用户名和密码等登录凭据,出售这些信息以获取经济利益,或利用这些信息渗透网络,进行间谍活动或发起更大规模、更隐蔽的攻击。
无论哪种情况,最终的目标都是获取敏感的知识产权、政府机密以及高级管理人员的凭据。例如,一些国家可能会利用网络钓鱼作为切入点,以此渗透政客、国防承包商和媒体的电话及网络。他们和其他不法行为者可利用网络钓鱼获得对关键基础设施或商业机密的访问权限。例如,2024 年,俄罗斯支持的一个黑客组织发起一起网络钓鱼攻击,试图获取敏感的美国政府信息。2025 年初,一个中国间谍组织以类似方式对台湾的制造业、供应链实体和科技公司发起网络钓鱼攻击,以收集情报数据。
无论旨在获取金钱还是信息,多渠道网络钓鱼都能帮助攻击者扩大攻击范围。例如,社交媒体网络钓鱼仅需一次发帖即可触及大量受众,而短信钓鱼或二维码钓鱼攻击可以触达大量更有可能进行互动的用户。
CISO 的反网络钓鱼措施
显然,网络犯罪分子正在不断演变。为了跟上步伐,CISO 也必须演进。传统上定义其角色的技术能力和业务洞察力已不再足够。为了应对助长多渠道网络钓鱼攻击的 AI、社会工程学和信息收集,CISO 必须转变思维方式,培养能够补充其技术专长的软技能。
例如,CISO 需要培养和发展的最重要的软技能包括:情商技能,可以帮助他们理解员工为何可能上钓鱼攻击的当,并营造一个非惩罚性的环境,让员工能够安心报告网络钓鱼企图;领导力技能,可以帮助他们影响员工和同事,从而建立安全优先的文化;批判性思维技能,可以帮助他们判断攻击最有可能发生的位置以及攻击者最有可能使用的策略;以及沟通协作技能,他们可以利用这些技能向员工普及非常规网络钓鱼策略,并让员工参与到企业范围的反钓鱼工作中。
然而,仅仅转变思维并不足够,还必须改变行动方式。因此,在培养新的技能和观点以帮助他们识别潜在威胁的同时,CISO 也必须拥抱新的 反网络钓鱼实践,以增强组织抵御威胁的韧性,无论渠道或模式如何。
自动化、实时威胁分析和培训是应对多渠道网络钓鱼,能够产生最大影响的三种实践:
1. 自动化:使用基于 AI 的安全工具
网络犯罪分子并非唯一可以利用 AI 来提升规模和复杂度的群体。企业可以用类似的方式部署 AI 来阻止攻击,而非发起攻击。
事实上,有一些 AI 钓鱼工具的特定用途就是缓解攻击。例如,有些大语言模型(LLM)的明确用途就是检测电子邮件、短信、社交媒体帖子及其他平台中的网络钓鱼信号。它们可以通过自然语言处理分析书面文本中是否存在可疑的语言和其他危险信号,并自动就疑似威胁发出警报。还有其他 LLM 经过训练以查找异常情况——例如,典型登录时间和位置的偏差——还有一些使用计算机视觉技术来识别可疑图像,如伪造的品牌徽标和恶意二维码。
如果 CISO 有意使用基于 AI 的安全工具,则应关注所考虑解决方案的几个关键特性。重要的反网络钓鱼功能包括:
情绪和对话分析,它使组织能够利用自然语言处理技术,自动检测文本中的威胁。
自适应身份验证,动态调整身份验证要求以响应高风险的用户行为。
自动事件响应,使组织能够检测并自动隔离其网络上的可疑消息或设备。
威胁情报,交叉比对网络钓鱼指标与当前威胁信息,以尽早识别攻击。
2. 实时威胁分析:隔离潜在危险
在基于 AI 的安全工具中,最值得关注的特性之一便是实时威胁分析—— 它能帮助企业在威胁触及人员目标前,快速识别并控制威胁。
企业应能够实时监控的网络钓鱼指标包括:
可疑的发件人行为,包括仿冒域名、相似电子邮件地址以及突然尝试联系大量员工的新发件人。
可疑的 URL 和域名,包括信誉不良的 URL 和域名、未知链接、重定向链以及凭据收集页面。
恶意附件,包括带有宏的文件、可执行文件和混淆脚本。
有风险的用户行为包括点击不明链接、从可疑来源下载文件以及在异常地点或异常时间登录。
3. 培训:提高安全意识
由于钓鱼诈骗针对人员行为与失误,因此通过培训帮助员工识别不同攻击手段的钓鱼信号,是一种关键且有效的防范措施。
在设计反网络钓鱼培训计划时,请谨记�以下最佳实践:
仅靠每年一次的合规培训并不足够,由于网络钓鱼威胁具有动态性且不断变化,因此必须进行频繁和持续的培训,以确保员工掌握最新、最准确的信息。
员工事务繁忙,而网络钓鱼手段复杂多变。考虑到注意力持续时间较短,应优先考虑简短、易于理解且重点突出的学习模块,而不是冗长而全面的培训课程。
为提升知识留存率,应尽可能让学习内容具备相关性与实用性,可聚焦于情境化学习,包括基于场景的培训和模拟真实钓鱼手段的逼真模拟。当员工受到模拟攻击时,提供实时反馈也很有帮助。
培训应对所有人(包括高级管理人员)强制实施,他们是高价值目标,但往往在网络安全措施方面的培训不足。
跟踪一段时间内的进展情况至关重要,包括点击率、报告率和响应时间等指标。这种方式可以帮助企业识别和纠正不足之处,同时奖励和激励进步。
如果网络钓鱼攻击得逞了,应该如何应对?
由于网络犯罪分子既狡猾又锲而不��舍,因此不存在万无一失的防护方案。因此,威胁响应与威胁预防同等重要。
如果攻击者得逞,CISO 可以使用 Zero Trust和最低权限等技术来降低风险并防止损害。这些解决方案在网络内创建隔离区域,这些区域都要求持续验证,从而限制攻击者在网络内自由移动的能力。
实现网络韧性需要保持警惕
钓鱼攻击虽是一种老套的诈骗手段,但依然行之有效 —— 因而即便技术不断发展,网络犯罪分子仍在持续使用它。除了电子邮件,现在的攻击者还会利用短信和视频会议等新型渠道发动钓鱼攻击,以取得更大收获。
Cloudflare Email Security 是抵御传统网络钓鱼手段的一道屏障。Cloudflare One 使用 Zero Trust 技术将防护范围扩展到新型网络钓鱼攻击手段。通过了解跨平台和应用场景下钓鱼攻击的表现形式(包括 AI 钓鱼攻击的影响),CISO 及其安全团队能够设计防止漏洞演变为安全隐患的系统。
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
深入探讨这个话题
欢迎进行一次免费的网络钓鱼风险评估,进一步了解您当前的电子邮件安全系统漏检了哪些网络钓鱼攻击。