攻擊者在新的領域發起網路釣魚攻擊
多通道攻擊需要新思維和新策略
CISO 需要一本全新的行動指南。儘管他們一直是組織中的數位安全燈塔,勇敢地照亮新興威脅,但他們在一個由雲端遷移和數位服務定義的過去時代,開發了很多最喜歡的策略。那個時代已經結束了。因此,許多 CISO 工具箱中的工具開始失去效用。
這一點在打擊網路釣魚方面最為明顯,網路釣魚導致全球公司每年損失超過 500 億美元。
現代的第一次網路釣魚攻擊發生在 20 世紀 90 年代,當時撥號網際網路使用者第一次發現電子郵件的神奇之處。幾十年後,電子郵件仍然是網路罪犯最愛的攻擊方法。實際上,根據網路安全和基礎架構安全局 (CISA) 的資料顯示,超過 90% 的成功網路攻擊都是從網路釣魚電子郵件開始。
但今天的網路釣魚電子郵件已不同於以往的網路釣魚電子郵件。它們不僅數量更多(據估計網路罪犯每天傳送數十億封網路釣魚郵件),而且更具說服力。哥倫比亞大學的研究人員發現,人工智慧是其中一個主要原因。2025 年 7 月,他們發佈了一項具有里程碑意義的研究,顯示目前超過 51% 的垃圾電子郵件是使用 AI 生成的。
「我們的研究結果顯示,攻擊者並未改變攻擊策略,而是主要利用 AI 來提升電子郵件的品質,藉此減少錯字和文法錯誤,」該研究的主要作者魏浩在一份新聞稿中表示。「這會使垃圾電子郵件更難以偵測,並且可能對收件者更具說服力。」
對於使用舊策略來對抗新型網路釣魚的 CISO 而言,這就像是帶著一根花園軟管出現在五級火災現場。
而且,AI 並不是唯一的問題。為了擴大攻擊範圍和收益,網路罪犯越來越轉向多樣化的新型通訊通道(包括簡訊、語音通話、QR 碼和社交媒體),以執行網路釣魚攻擊。若要在所有這些方面阻止網路釣魚,需要 CISO 在自動化、即時威脅分析和培訓等現代安全做法方面投入更多資金。
網路釣魚策略的演變
僅僅設定垃圾郵件篩選器來攔截網路釣魚電子郵件已經不夠了。現今的攻擊者正使用其他各式各樣的手法來抓捕獵物。攻擊手段越來越多,例如,簡訊網路釣魚、語音網路釣魚、quishing、企業通訊平台和社交媒體——所有這些手段都會繞過 CISO 及其團隊傳統上用來阻止網路釣魚攻擊的許多常用的偵測和緩解方法。
「多通道」網路釣魚攻擊的出現標誌著網路犯罪進入一個嶄新的時代。對於想要跟上威脅不斷演變步伐的 CISO 而言,了解網路罪犯在這個新時代的運作方式至關重要。尤其是 CISO 認為最有效的現代網路釣魚的三個方面:AI、社交工程和資訊收集。
AI 網路釣魚
由於 AI 的發展,網路釣魚攻擊變得越來越難以識別。正如哥倫比亞大學的研究人員正確指出的那樣,AI 已經消除了過去網路釣魚中常見的拼寫錯誤和糟糕語法。
不過,AI 不僅僅是讓詐騙者變成更厲害的寫手而已。它也讓他們成為更優秀的銷售員。藉助生成式和自主式 AI 工具,攻擊者可以製作針對特定群體和個人量身定制的網路釣魚訊息。例如,AI 深度偽造和語音克隆是現代攻擊者武器庫的關鍵組成部分,使他們能夠製作極其逼真的影像和影片,即使是專家也很難區分真假。
想像一下,攻擊者使用公司 CEO 的偽造電子郵件地址,向員工傳送含有惡意程式碼的 PDF 附件,然後撥打語音克隆的電話,這會對公司造成什麼樣的損害。如今,這種網路釣魚攻擊已經發生了。
隨著 AI 日益普及,任何人都能夠組織一起成功的網路釣魚活動。網路罪犯可以利用 AI,透過多種手段擴大網路釣魚攻擊的規模。另一方面,低技術員工可以使用 AI 構建一個魚叉式網路釣魚工具包,攻擊組織內的資產,從而開創內部人員風險的新領域。
然後是速度因素:使用 AI 的網路罪犯可以比以往更快地建立網路釣魚活動和訊息。他們可以利用這種提高的速度和效率,在更多地方針對更多目標發起更多網路釣魚攻擊。社交工程
心理操縱(也稱為社交工程)與技術一樣,同為現代網路釣魚的核心。為了讓受害者採取攻擊者希望他們採取的行動(如匯款或分享私人資訊),攻擊者通常會利用恐懼(例如,若不採取行動就會鎖定帳戶)、內疚(例如,覺得需要回覆來自未知寄件者的友善訊息)或興奮(例如,在 LinkedIn 上收到關於「完美」工作機會的私信)等情緒。
攻擊者會利用人們對知名公司、高階領導者,甚至是泛泛之交的信任感。偵測難度更大的網路釣魚攻擊越來越多地出現在公司面臨最大壓力的時段,例如假日季、納稅時間和會計年度年末,因為攻擊者知道,員工在忙碌時更容易犯錯。資訊收集
傳統上,大多數網路攻擊背後的動機是財務。這仍然是很多攻擊者的主要目標。然而,現今的網路罪犯不只是為了金錢而進行網路釣魚。他們也會利用網路釣魚來獲取資訊。IBM 商業價值研究院 (IBV) 的「IBM X-Force 2025 年威脅情報指數」報告指出,實際上,透過網路釣魚電子郵件傳遞的資訊竊取程式(旨在秘密竊取個人資訊、密碼、螢幕擷取畫面和私人文件等敏感性資訊的惡意程式碼)的數量在 2024 年到 2025 年期間增長了 84%。
IBM IBV 報告稱:「網路釣魚已成為有效帳戶入侵的一種隱藏感染手段」,而且將近三分之一的網路攻擊�是利用有效帳戶進行。「散佈資訊竊取惡意程式碼和認證網路釣魚的網路釣魚電子郵件的激增助長了這一趨勢,這可能歸因於攻擊者利用 AI 來擴大攻擊規模。」
使用網路釣魚收集使用者名稱和密碼等登入認證的攻擊者,可以出售資訊以獲取經濟利益,也可以用它來滲透網路進行間諜活動,抑或發動更大規模、更隱密的攻擊。
無論如何,最終目標都是敏感性智慧財產權、政府機密,以及高階官員的認證收集。例如,民族國家可能會以網路釣魚作為起點,藉此滲透政治人物、國防承包商和媒體的電話與網路。他們和其他惡意執行者可以使用網路釣魚來存取關鍵基礎架構或商業機密。以 2024 年俄羅斯支援的駭客組織為例,該組織發動了一起網路釣魚攻擊,以獲取美國政府的敏感性資訊。2025 年初,一個中國間諜組織對台灣的製造業、供應鏈實體和科技公司發動了類似的網路釣魚攻擊,以收集情報資料。
無論他們尋求的是金錢還是資訊,多通道網路釣魚都能幫助攻擊者擴大攻擊範圍。例如,雖然社交媒體網路釣魚透過一次貼文就能觸及大量受眾,但簡訊網路釣魚或 Quishing 攻擊可以觸及大量使用者且參與機會更大。
CISO 適用的防網路釣魚措施
顯然,網路罪犯正在不斷進化。為了跟上他們的步伐,CISO 必須也不斷進化。傳統上作為其角色特徵的技術技能和商業敏銳度已經不夠了。AI、社交工程和資訊收集助長了多通道網路釣魚攻擊,因此,CISO 必須改變思考方式,並培養一些軟技能來補充技術專長。
例如,CISO 需要培養和發展的最重要的軟技能包括:情商技能,這可以幫助他們認識到為什麼員工可能會掉進網路釣魚的圈套,並打造一個非懲罰性的環境,讓員工能夠放心舉報網路釣魚行為;領導技能,這可以幫助他們影響員工和同事,以建立安全優先的文化;批判性思維能力,這可以幫助他們確定攻擊最有可能發生的位置,以及攻擊者最有可能使用的策略;以及溝通和協作技能,他們可以利用這些技能向員工提供關於非常規網路釣魚策略的教育,並引導他們參與企業範圍的防網路釣魚工作。
然而,僅僅改變思考方式是不夠的,還必須改變行動方式。因此,CISO 在培養有助於識別潛在威脅的新技能和新視角的同時,還必須採用新的防網路釣魚做法,增強組織抵禦威脅的能力——無論攻擊採用何種通道或模式。
自動化、即時威脅分析及培訓這三種做法可在面對多通道網路釣魚時產生最大影響:
1. 自動化:採用基於 AI 的安全工具
利用 AI 來擴大規模和提升精密度並非網路罪犯的專屬能力。企業也可以透過類似方式部署 AI,用於阻止攻擊而非發動攻擊。
確實,有些 AI 網路釣魚工具以緩解攻擊作為特定目的。例如,有些大型語言模型 (LLM) 的目的十分明確,即偵測電子郵件、簡訊、社群媒體文案和其他論壇中的網路釣魚跡象。透過自然語言處理,他們可以分析書面文字中是否存在可疑的語言和其他危險信號,並在偵測到可疑威脅時自動發出警示。還有其他一些大型語言模型,經過訓練後可以尋找異常情況,例如:一般登入時間和位置的偏差;還有一些大型語言模型使用電腦視覺來偵測可疑影像,如虛假品牌標誌和惡意 QR 碼。
CISO 若有興趣使用基於 AI 的安全工具,則他們考慮的解決方案應具備幾項關鍵功能。重要的防網路釣魚功能包括:
情緒和對話分析,組織獲得上述能力後,可以利用自然語言處理,在文字中自動偵測威脅。
適應性驗證,可根據高風險使用者行為動態調整驗證要求。
自動化事件回應,允許組織偵測並自動隔離網路上的可疑郵件或裝置。
威脅情報,將網路釣魚指標與當前威脅資訊相互參照,以儘早識別攻擊。
2. 即時威脅分析:隔離潛在風險
在基於 AI 的安全工具中,即時威脅分析是最重要的功能之一。它可以協助組織快速識別並遏制威脅,避免威脅影響到人類目標。
組織應能夠即時監控的網路釣魚指標包括:
可疑的寄件者行為,包括偽造的網域、極為相似的電子郵件地址,以及突然嘗試聯絡眾多員工的新寄件者。
可疑的 URL 和網域,包括聲譽不佳的網址、未知連結、重新導向鏈以及認證收集頁面。
惡意附件,包括帶有巨集、可執行檔和混淆指令碼的檔案。
有風險的使用者行為,包括點擊未知連結、從可疑來源下載檔案,以及在不尋常的地點或時間登入。
3. 培訓:提高安全意識
由於網路釣魚詐騙的目標是人類行為和錯誤,因此,提供培訓以幫助員工識別不同攻擊手段中的網路釣魚跡象,是一項至關重要且有效的遏制措施。
在設計防網路釣魚培訓計畫時,請謹記以下最佳做法:
一年提供一次合規性培訓是不夠的;由於網路釣魚威脅是動態的且不斷變化,因此必須頻繁且持續地提供培訓,以確保員工掌握最新且最準確的資訊。
員工工作繁忙,且網路釣魚手法複雜。為了避免員工分心,請優先考慮簡短、易於理解且重點明確的學習模組,而非冗長且鉅細靡遺的培訓課程。
為了提高留存率,應注重情境學習,包括基於場景的培訓和模仿實際網路釣魚策略的真實模擬,盡可能使學習切合實際。當員工遭受模擬攻擊時,即時回饋也很有幫助。
應該強制所有人參加訓練,包括高階主管,因為他們是高價值目標,但往往缺乏網路安全措施方面的培訓。
追蹤一段時間內的進度(包括點擊率、舉報率和回應時間等指標)至關重要。這樣做可以幫助公司識別並糾正缺點,同時獎勵和激勵改進。
如果網路釣魚攻擊成功了會怎樣?
由於網路罪犯不僅聰明,而且堅持不懈,因此,任��何方法都不可能萬無一失。因此,威脅回應和威脅預防同等重要。
如果攻擊者得逞,CISO 可以使用 Zero Trust 和最低權限等技術來緩解風險並防止損害。這些解決方案會在需要持續驗證的網路中建立隔離區域,進而限制攻擊者自由移動的能力。
韌性需要警惕
網路釣魚可能是一種老舊的詐騙策略,但也是一種有效的策略,這就是為什麼即使技術不斷進步,網路犯罪分子仍在繼續使用它。除了電子郵件,現今的攻擊者也利用簡訊和視訊會議等新手段,以提高網路釣魚的成功率。
Cloudflare Email Security 是針對傳統網路釣魚策略的第一道防線。Cloudflare One 使用 Zero Trust 將防護擴展至較新的網路釣魚攻擊手段。透過了解網路釣魚攻擊在不同平台和應用程式上的呈現方式,包含 AI 網路釣魚的影響,CISO 及其安全團隊可以設計出解決漏洞的系統,以避免其成為潛在風險。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
透過免費的網路釣魚風險評估,進一步了解您目前的電子郵件安全系統未能阻止哪些網路釣魚攻擊。