文 | 中國互聯(lián)網(wǎng)絡(luò)信息中心 蘆笛 邵連偉 徐堯* 付家新
2025年�����,網(wǎng)絡(luò)釣魚(Phishing)是進(jìn)一步滲透至電信網(wǎng)絡(luò)詐騙�����、金融犯罪與國家級間諜活動的核心手段����。公安部2025年6月發(fā)布的《電信網(wǎng)絡(luò)詐騙犯罪白皮書》顯示�����,網(wǎng)絡(luò)釣魚在電詐案件中占比超六成�����。國家安全部于同年6月亦通報三起境外間諜利用釣魚郵件竊密案件�����。國際安全機(jī)構(gòu)亦觀察到���,全球網(wǎng)絡(luò)釣魚事件數(shù)量持續(xù)攀升。網(wǎng)絡(luò)釣魚攻擊已從傳統(tǒng)欺詐�,演進(jìn)為高級持續(xù)性威脅(APT)初始入口�����、資產(chǎn)劫持前置環(huán)節(jié)與地緣情報收集手段����,其戰(zhàn)略化���、精準(zhǔn)化與基礎(chǔ)設(shè)施化特征日益凸顯�����。
一���、2025年網(wǎng)絡(luò)釣魚攻擊全景概覽
2025年,網(wǎng)絡(luò)釣魚已從傳統(tǒng)鏈接欺詐演進(jìn)為由人工智能(AI)驅(qū)動��、多因素認(rèn)證繞過�����、供應(yīng)鏈滲透與地緣政治嵌入交織的復(fù)合型系統(tǒng)性威脅�����,并廣泛用于APT攻擊初始入侵與金融犯罪。
《電信網(wǎng)絡(luò)詐騙犯罪白皮書》指出���,網(wǎng)絡(luò)釣魚已深度嵌入刷單返利����、虛假投資理財����、冒充客服等七類高發(fā)電詐類型,占全部案件超六成�����。國家反詐中心監(jiān)測數(shù)據(jù)顯示�����,利用“語音克隆”“AI換臉”等技術(shù)實(shí)施的精準(zhǔn)化釣魚案件呈增長態(tài)勢�,個別案件中受害者的最小年齡記錄為6歲�����。
在國家安全層面,網(wǎng)絡(luò)釣魚被境外情報機(jī)構(gòu)頻繁用于竊密�����。2025年6月�����,國家安全部通報三起典型案例����。其中一起涉及某國家級重點(diǎn)實(shí)驗(yàn)室工作人員因打開釣魚郵件附件,導(dǎo)致計算機(jī)被植入遠(yuǎn)程控制程序�����,造成敏感信息外泄����;另一起案例顯示,某機(jī)關(guān)單位工作人員誤將偽裝成官方文件的釣魚郵件當(dāng)作正常通知處理�,致使郵箱憑證及內(nèi)部資料被盜。此類攻擊多以“政策文件”“會議通知”“內(nèi)部通告”等形式作為誘餌�,精準(zhǔn)投送給政府、科研���、軍工等行業(yè)人員����,旨在竊取核心情報。
在國際方面���,微軟威脅情報與美國網(wǎng)絡(luò)安全公司“眾擊”(CrowdStrike)在2025年發(fā)布的多份威脅報告中指出��,開放授權(quán)(OAuth)濫用仍是企業(yè)環(huán)境中常見的初始入侵向量之一���,尤其是在結(jié)合釣魚郵件與社會工程時仍具高效性。攻擊者通過濫用谷歌Classroom��、微軟Teams等合法協(xié)作平臺分發(fā)惡意鏈接�����,規(guī)避傳統(tǒng)安全審查機(jī)制���。因其默認(rèn)受信,相關(guān)郵件更易繞過安全網(wǎng)關(guān)并獲得較高點(diǎn)擊率�����。
上述案例反映出,網(wǎng)絡(luò)釣魚不僅被持續(xù)用于針對個人用戶的財產(chǎn)侵害�����,也頻繁地出現(xiàn)在對政府機(jī)關(guān)���、科研單位及關(guān)鍵信息基礎(chǔ)設(shè)施部門的定向攻擊中��。攻擊手段智能化����、攻擊路徑系統(tǒng)化����,攻擊目標(biāo)涵蓋金融、科技與公共管理等多個敏感領(lǐng)域���。
盡管防火墻�����、反垃圾郵件網(wǎng)關(guān)和多因素認(rèn)證(MFA)等防護(hù)措施已廣泛部署��,2025年網(wǎng)絡(luò)釣魚攻擊態(tài)勢仍然表明��,現(xiàn)有防御體系面臨新挑戰(zhàn):AI生成的釣魚內(nèi)容可動態(tài)調(diào)整文本特征以規(guī)避現(xiàn)有的檢測規(guī)則�����;攻擊者亦借合法協(xié)作平臺分發(fā)惡意鏈接�����,規(guī)避安全審查�����。這表明��,僅靠技術(shù)層面的疊加式防護(hù)���,可能難以有效應(yīng)對融合社會工程與信任機(jī)制濫用的復(fù)合型攻擊��。
二����、2025年網(wǎng)絡(luò)釣魚攻擊的技術(shù)趨勢
2025年��,網(wǎng)絡(luò)釣魚攻擊在技術(shù)實(shí)現(xiàn)層面呈現(xiàn)出三大顯著趨勢:智能化內(nèi)容生成���、隱蔽化會話劫持與全渠道協(xié)同投遞���。這些技術(shù)演進(jìn)不僅提升了攻擊成功率,也對傳統(tǒng)防御體系構(gòu)成系統(tǒng)性挑戰(zhàn)����。
(一)智能化:人工智能驅(qū)動的高仿真釣魚內(nèi)容生成
AI技術(shù)的普及顯著降低了高質(zhì)量釣魚素材的制作門檻。2025年��,攻擊者利用大語言模型(LLM)自動生成高度仿真的釣魚郵件����、短信及社交私信。能動態(tài)嵌入目標(biāo)企業(yè)的真實(shí)部門名稱���、公告關(guān)鍵詞�、行業(yè)術(shù)語乃至內(nèi)部行文風(fēng)格��,欺騙性顯著提升�����。例如���,某大型制造企業(yè)收到以“增值稅專用發(fā)票信息變更通知”為題的釣魚郵件����,內(nèi)含準(zhǔn)確的財務(wù)對接人姓名、公司稅號及近期合作項目簡稱�,后被確認(rèn)為AI批量生成。類似手法還被用于冒充銀行�、證券公司發(fā)送“賬戶異常提醒”,誘導(dǎo)用戶點(diǎn)擊惡意鏈接���。
此外�,AI語音克隆與換臉技術(shù)進(jìn)一步拓展了釣魚載體��。國家反詐中心通報的多起案件顯示�,攻擊者通過合成親屬或同事聲音撥打電話,謊稱“緊急轉(zhuǎn)賬”“驗(yàn)證碼協(xié)助”���,成功繞過用戶警惕�。此類語音釣魚(Vishing)在2025年呈明顯上升趨勢����,尤其針對老年群體與遠(yuǎn)程辦公人員。
(二)隱蔽化:繞過多因素認(rèn)證的會話劫持
盡管MFA已廣泛部署��,但2025年的攻擊事件表明,其并非絕對安全��。攻擊者通過中間人代理(AitM)技術(shù)�����,構(gòu)建透明代理服務(wù)器��,在用戶與合法服務(wù)之間實(shí)時轉(zhuǎn)發(fā)流量�����,從而在用戶完成MFA驗(yàn)證后直接接管會話��。
微軟安全團(tuán)隊指出�,此類攻擊常結(jié)合OAuth權(quán)限濫用實(shí)施����。攻擊者誘導(dǎo)用戶授權(quán)一個看似無害的第三方應(yīng)用(如文檔掃描工具、會議日程同步器)��,實(shí)則請求高危API權(quán)限(如讀取郵箱�、發(fā)送郵件等)。一旦授權(quán)����,即便未獲取密碼�����,攻擊者也可通過合法API接口訪問用戶數(shù)據(jù)���。
雖然主流云服務(wù)商已加強(qiáng)第三方應(yīng)用審核(如引入發(fā)布者驗(yàn)證、權(quán)限分級提示����、風(fēng)險評分機(jī)制等),但由于用戶授權(quán)操作本身通常不觸發(fā)MFA驗(yàn)證�����,只要用戶在特定上下文中點(diǎn)擊“同意”���,權(quán)限即被授予����。生成式人工智能(GAI)進(jìn)一步放大了這一風(fēng)險——攻擊者可批量生成語義自然���、品牌仿真的應(yīng)用名稱與權(quán)限請求描述文本����,顯著提高了社會工程誘導(dǎo)的成功率。CrowdStrike在2025年報告中強(qiáng)調(diào)�,OAuth濫用仍是企業(yè)環(huán)境中常見的初始入侵向量之一。
(三)全渠道化:從郵件到協(xié)作平臺的攻擊泛化
2025年�����,網(wǎng)絡(luò)釣魚攻擊載體加速向非傳統(tǒng)郵件渠道遷移�。谷歌Classroom�、Slack、企業(yè)微信等協(xié)作平臺因具備高信任度與低審查強(qiáng)度�,成為攻擊者的新寵。例如�����,攻擊者利用釘釘群組發(fā)送偽裝成“教務(wù)處通知”或“在線課堂回放鏈接”的消息�����,誘導(dǎo)師生點(diǎn)擊跳轉(zhuǎn)至仿冒的統(tǒng)一身份認(rèn)證頁面�����,竊取校園賬號憑證。由于此類消息出現(xiàn)在日常教學(xué)管理場景中�,且鏈接常使用短網(wǎng)址跳轉(zhuǎn)頁,導(dǎo)致用戶難以察覺異常��。
微軟Teams亦被頻繁濫用���。攻擊者偽造“IT支持”“HR通知”等頻道發(fā)送含惡意鏈接的消息���。由于Teams消息通常不經(jīng)過企業(yè)郵件網(wǎng)關(guān)過濾,且默認(rèn)標(biāo)記為“內(nèi)部通信”���,用戶點(diǎn)擊率顯著高于普通郵件�����。KnowBe4發(fā)布的《2025年網(wǎng)絡(luò)釣魚行業(yè)基準(zhǔn)報告》顯示�����,協(xié)作平臺釣魚鏈接在模擬測試中的點(diǎn)擊率比傳統(tǒng)郵件高出37%���。同時�����,二維碼釣魚(Quishing)在移動端持續(xù)蔓延�����。攻擊者將惡意URL編碼為二維碼����,張貼于公共場所或嵌入偽造的電子票據(jù)中��,誘導(dǎo)用戶掃碼跳轉(zhuǎn)至釣魚頁面���。因多數(shù)移動瀏覽器不顯示完整域名,用戶難以識別異常�����。
三��、2025年網(wǎng)絡(luò)釣魚攻擊意圖的升級與戰(zhàn)略化
2025年����,網(wǎng)絡(luò)釣魚的攻擊目標(biāo)已顯著超越傳統(tǒng)經(jīng)濟(jì)利益驅(qū)動,逐步演進(jìn)為服務(wù)于APT、金融基礎(chǔ)設(shè)施劫持與地緣政治滲透的戰(zhàn)略工具�����。其使用場景從個體欺詐擴(kuò)展至系統(tǒng)性情報竊取與關(guān)鍵資產(chǎn)控制�,體現(xiàn)出明顯的意圖升級與任務(wù)導(dǎo)向特征。
(一)APT中的初始入口角色
在國家級APT活動中����,網(wǎng)絡(luò)釣魚繼續(xù)作為最常用的初始入侵手段。2025年��,境外APT組織普遍采用AI批量生成的高仿真郵件���,針對政府機(jī)構(gòu)�、科研單位及國防科技企業(yè)實(shí)施定向投遞���。郵件主題多偽裝為“政策解讀”“項目協(xié)作邀請”“會議紀(jì)要”等日常工作內(nèi)容�����,附件或鏈接中嵌入定制化后門程序�。
國家安全部通報的三起間諜案件中�����,均以釣魚郵件為突破口,通過釣魚鏈接或附件��,導(dǎo)致計算機(jī)被植入遠(yuǎn)程控制程序�����,從而竊取敏感技術(shù)資料��。此類攻擊不再追求廣撒網(wǎng)����,而是基于前期情報偵察,精準(zhǔn)鎖定具備訪問權(quán)限的關(guān)鍵人員����,實(shí)現(xiàn)“一人一點(diǎn)���、縱深滲透”���。
(二)金融犯罪中的基礎(chǔ)設(shè)施化
在網(wǎng)絡(luò)金融領(lǐng)域,釣魚攻擊已從末端欺詐轉(zhuǎn)變?yōu)橘Y產(chǎn)劫持的前置環(huán)節(jié)��。例如,針對金融機(jī)構(gòu)員工的語音釣魚曾致客戶身份信息與系統(tǒng)憑證泄露��;圍繞Veeam等IT管理平臺的釣魚則常用于獲取運(yùn)維權(quán)限����,為后續(xù)勒索或外傳提供跳板。
近年來���,網(wǎng)絡(luò)釣魚與加密貨幣生態(tài)的交互日益頻繁�。2025年公開案例顯示��,部分Aave投資者因點(diǎn)擊仿冒谷歌廣告鏈接���,誤入虛假登錄頁致錢包私鑰泄露��;DeFi平臺Venus Protocol亦遭OAuth授權(quán)釣魚攻擊�,導(dǎo)致約2700萬美元資產(chǎn)被未授權(quán)轉(zhuǎn)移�。這些事件反映出,網(wǎng)絡(luò)釣魚不僅用于直接盜取數(shù)字資產(chǎn)���,還可作為構(gòu)建自動化資金流轉(zhuǎn)路徑的前置環(huán)節(jié)�����,服務(wù)于資產(chǎn)清洗����、市場操縱或非法融資等活動。
由此��,網(wǎng)絡(luò)釣魚在金融犯罪鏈條中的角色趨于“基礎(chǔ)設(shè)施化”:不再局限于單一欺詐����,而是嵌入復(fù)雜攻擊生命周期,支撐跨平臺�����、跨協(xié)議的資金劫持與隱匿�,對金融系統(tǒng)完整性與用戶信任構(gòu)成潛在威脅。
(三)地緣政治背景下的定向滲透
2025年����,網(wǎng)絡(luò)釣魚被頻繁用于服務(wù)地緣政治目的的信息戰(zhàn)與輿論干擾。攻擊者將媒體���、公關(guān)、智庫及國際交流機(jī)構(gòu)列為重點(diǎn)目標(biāo)�,試圖通過竊取內(nèi)部通信�����、偽造信源或操控發(fā)布渠道��,影響公眾認(rèn)知與政策判斷�。
有報告指出�����,攻擊者利用GAI偽造記者身份��,以高仿真采訪請求或新聞稿邀約誘導(dǎo)企業(yè)高管及公職人員披露敏感信息�����。部分案例還結(jié)合深度偽造語音技術(shù)模擬真實(shí)通話���,在時間壓力下促發(fā)信息泄露����。
此類攻擊呈現(xiàn)“社會工程自動化”趨勢:AI可批量生成契合地域語言���、文化語境與職業(yè)身份的內(nèi)容��,實(shí)現(xiàn)低成本���、規(guī)?����;男睦碚T導(dǎo)�����。其影響已超越個體信息泄露�����,可能被用于制造虛假輿論����、干擾公共決策�,甚至削弱國家信息治理能力。
此外�����,部分跨境網(wǎng)絡(luò)釣魚活動定向采集地理測繪、城市規(guī)劃���、人口流動等敏感數(shù)據(jù)。若被系統(tǒng)性匯聚并用于建模分析��,或可輔助外部實(shí)體進(jìn)行社會態(tài)勢推演或戰(zhàn)略預(yù)判���。盡管尚無公開證據(jù)表明此類數(shù)據(jù)已直接影響國家決策�,但其長期積累將對數(shù)據(jù)自主控制構(gòu)成潛在壓力����,凸顯在網(wǎng)絡(luò)安全框架下深化“數(shù)字主權(quán)”議題的必要性。
四�����、2025年網(wǎng)絡(luò)釣魚核心數(shù)據(jù)盤點(diǎn)
2025年���,多份行業(yè)報告與安全通報揭示了網(wǎng)絡(luò)釣魚在攻擊來源��、目標(biāo)選擇與技術(shù)手法上的新特征���。
(一)境外釣魚郵件占比升至70.69%
據(jù)Coremail與CACTER聯(lián)合發(fā)布的《2025年Q3企業(yè)郵箱安全性報告》,針對中國企業(yè)的釣魚郵件中,境外來源占比達(dá)70.69%����,較上半年進(jìn)一步上升。其中���,越南成為最大攻擊源����,單季度發(fā)送釣魚郵件2248.7萬封���,主要偽裝為跨境貿(mào)易�����、物流通知及財務(wù)對賬類內(nèi)容���。
(二)BEC詐騙中Gmail賬戶占比達(dá)70%
反網(wǎng)絡(luò)釣魚工作組(APWG)發(fā)布的《2025年第二季度網(wǎng)絡(luò)釣魚活動趨勢報告》指出,在商業(yè)郵件欺詐(BEC)攻擊中��,70%的詐騙賬戶注冊于Gmail���,遠(yuǎn)高于微軟郵箱(15%)�。除此之外,攻擊者還利用與企業(yè)品牌高度相似的域名注冊免費(fèi)郵箱(如support@ta0ba0.com)�,冒充供應(yīng)商或高管發(fā)起釣魚轉(zhuǎn)賬。
(三)新型URL結(jié)構(gòu)繞過傳統(tǒng)檢測機(jī)制
2025年10月�����,IEEE Spectrum報道�,攻擊者開始使用嵌入通用唯一識別碼(UUID)樣式的長鏈接制作釣魚URL��。此類鏈接因看似“系統(tǒng)自動生成”�����,可有效繞過安全網(wǎng)關(guān)的關(guān)鍵詞黑名單與用戶警覺���,常與短鏈服務(wù)及一次性托管頁面結(jié)合使用���。
(四)假冒買家騙局在跨境電商場景高發(fā)
2025年年末,東南亞多地執(zhí)法機(jī)構(gòu)通報多起“假冒買家”釣魚詐騙案��。攻擊者以大額采購為誘餌��,誘導(dǎo)電商平臺賣家點(diǎn)擊偽造的“支付成功”或“訂單確認(rèn)”頁面��,竊取商戶后臺登錄憑證。此類手法與中國跨境電商從業(yè)者面臨的社交工程風(fēng)險高度一致����,凸顯非平臺內(nèi)溝通渠道的安全隱患。
(五)品牌仿冒向政務(wù)與金融場景遷移
2025年年末��,攻擊者大規(guī)模濫用DocuSign等電子簽名品牌�����,發(fā)送“貸款預(yù)批文件待簽署”類釣魚郵件�。盡管該服務(wù)在國內(nèi)使用有限,但同類策略已本土化為“電子營業(yè)執(zhí)照更新”“稅務(wù)UKey認(rèn)證”“銀行賬戶年檢”等政務(wù)與金融主題�,利用用戶對官方流程的信任實(shí)施誘導(dǎo)。
(六)財政類釣魚瞄準(zhǔn)中小企業(yè)財務(wù)崗位
2025年第四季度�,以“稅務(wù)退稅”“社保補(bǔ)貼發(fā)放”“公積金調(diào)整”為關(guān)鍵詞的釣魚郵件顯著增多。攻擊頁面高度仿冒政府服務(wù)平臺��,要求用戶輸入身份證號��、銀行卡號及手機(jī)號����。此類攻擊主要針對中小企業(yè)財務(wù)與人事人員,利用年末財政業(yè)務(wù)密集期的信息焦慮�,提升點(diǎn)擊與填寫率�����。
五�、2026年防御展望:構(gòu)建主動協(xié)同的反釣魚體系
面對智能化�、隱蔽化與全渠道化趨勢,單一技術(shù)升級或孤立政策干預(yù)難以形成系統(tǒng)性應(yīng)對能力���。因此,需構(gòu)建以問題為導(dǎo)向�����、以協(xié)同為核心���、以閉環(huán)響應(yīng)為目標(biāo)的治理框架�。結(jié)合公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚工作組的機(jī)制探索與國際實(shí)踐經(jīng)驗(yàn)����,本文提出一套與前述相適應(yīng)的本土化協(xié)同治理路徑,推動國家網(wǎng)絡(luò)安全體系由被動響應(yīng)向主動防御轉(zhuǎn)型��。
(一)強(qiáng)化基于AI的沉浸式安全意識訓(xùn)練
用戶行為是防御鏈條中的關(guān)鍵變量����。為提升個體在復(fù)雜社會工程場景中的判斷力��,建議推廣基于GAI的沉浸式安全訓(xùn)練:通過脫敏處理的真實(shí)釣魚郵件模板�,開展高頻�、動態(tài)的“紅藍(lán)對抗”演練。例如�,反釣工作組可聯(lián)合金融機(jī)構(gòu)試點(diǎn)“AI釣魚模擬平臺”,定期向員工推送語義高度仿真的測試郵件��,實(shí)時監(jiān)測點(diǎn)擊率與上報率�,并據(jù)此動態(tài)調(diào)整訓(xùn)練強(qiáng)度。
根據(jù)KnowBe4的報告��,實(shí)施月度模擬測試的組織�����,其員工對釣魚郵件的敏感度在90天內(nèi)平均提升58%�����。該數(shù)據(jù)顯示����,持續(xù)性��、情境化的訓(xùn)練比一次性培訓(xùn)更具成效���。我國可在金融、政務(wù)等高風(fēng)險行業(yè)率先建立常態(tài)化AI驅(qū)動的演練機(jī)制���,逐步實(shí)現(xiàn)從“知識灌輸”向“行為塑造”的轉(zhuǎn)變�。
除技術(shù)演練外�����,組織文化深刻影響安全行為�����?����?山梃b美國國家航空航天局(NASA)“無責(zé)報告”經(jīng)驗(yàn)�,在關(guān)鍵單位推行“安全行為觀察與反饋”機(jī)制����,鼓勵員工分享可疑案例�、交流識別經(jīng)驗(yàn)���,并由管理層帶頭參與演練���,公開反思誤判,打破“權(quán)威不可質(zhì)疑”的慣性��,營造開放透明的溝通環(huán)境��。
針對現(xiàn)行“事后追責(zé)”抑制上報意愿的問題�����,應(yīng)建立“安全上報免責(zé)+分級激勵”機(jī)制:明確上報可疑郵件不視為失誤�����,消除心理障礙����;將安全行為納入績效加分,設(shè)立“年度安全標(biāo)兵”等榮譽(yù)�����;探索部門級“安全積分池”,用于兌換培訓(xùn)或團(tuán)隊資源���。此類非金錢激勵有助于培育可持續(xù)的安全文化���。
(二)加速無密碼認(rèn)證技術(shù)落地
針對身份認(rèn)證環(huán)節(jié)的信任漏洞,建議在重點(diǎn)場景優(yōu)先部署抗釣魚能力強(qiáng)的身份驗(yàn)證技術(shù)��。傳統(tǒng)密碼與短信驗(yàn)證碼易被竊取或劫持���,而基于線上快速身份驗(yàn)證第二代(FIDO2)標(biāo)準(zhǔn)的Passkeys采用公鑰加密與設(shè)備綁定機(jī)制����,用戶無需輸入憑證即可完成認(rèn)證����,有效防御憑證竊取與AitM會話劫持攻擊��。
但Passkeys主要防范認(rèn)證階段的釣魚風(fēng)險�����,對OAuth授權(quán)濫用、二維碼跳轉(zhuǎn)����、語音偽造詐騙等非認(rèn)證類攻擊仍存在防護(hù)盲區(qū)。因此����,應(yīng)將其定位為縱深防御體系的關(guān)鍵組件,而非萬能解決方案��。建議結(jié)合零信任架構(gòu)中的權(quán)限最小化���、動態(tài)訪問控制等策略���,形成多層次防護(hù)。
參考美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)《數(shù)字身份指南》(SP 800-63)和歐盟《歐盟電子身份��、認(rèn)證和信托服務(wù)條例》2.0版(eIDAS 2.0)對無密碼認(rèn)證的支持����,我國可結(jié)合網(wǎng)絡(luò)安全等級保護(hù)制度2.0,制定分階段���、分行業(yè)的Passkeys推廣路線圖�。優(yōu)先在金融、政務(wù)���、能源等領(lǐng)域試點(diǎn)�����,配套完善設(shè)備管理�、密鑰恢復(fù)與跨平臺互操作機(jī)制����,逐步擴(kuò)大應(yīng)用范圍。
在軟件供應(yīng)鏈方面����,開源生態(tài)中的依賴包投毒事件頻發(fā),暴露出發(fā)布者身份驗(yàn)證薄弱的問題�。應(yīng)推動國內(nèi)代碼托管平臺建立強(qiáng)身份認(rèn)證機(jī)制??山梃bGitHub于2024年起強(qiáng)制要求高下載量npm包維護(hù)者啟用MFA的做法,提升供應(yīng)鏈入口安全性��。
(三)壓實(shí)平臺主體責(zé)任���,構(gòu)建協(xié)同治理機(jī)制
平臺作為數(shù)字服務(wù)基礎(chǔ)設(shè)施,其治理能力直接影響釣魚攻擊的傳播效率。針對攻擊者濫用微軟Teams��、企業(yè)微信����、釘釘?shù)瓤尚牌脚_的現(xiàn)象,建議依據(jù)《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》第二十五條關(guān)于禁止為詐騙提供支持的規(guī)定�,細(xì)化平臺在第三方應(yīng)用審核、OAuth權(quán)限管理�����、廣告內(nèi)容過濾等方面的責(zé)任���。
在具體操作層面�,可要求平臺對高權(quán)限第三方應(yīng)用實(shí)施MFA授權(quán)��、品牌相似度AI識別����、釣魚鏈接實(shí)時阻斷等技術(shù)措施,強(qiáng)化事前預(yù)防與事中攔截能力�����。同時,明確平臺在用戶教育���、異常行為預(yù)警方面的輔助責(zé)任���,推動形成“平臺—用戶—監(jiān)管”三方協(xié)同的治理結(jié)構(gòu)。
在跨機(jī)構(gòu)協(xié)作層面����,依托反釣工作組已建成的“AI篩查+人工審核”一體化平臺,共享涉釣涉詐域名與IP地址黑名單數(shù)據(jù)庫�,推動成員單位間釣魚網(wǎng)站與惡意應(yīng)用處置流程的標(biāo)準(zhǔn)化與自動化,提升響應(yīng)效率����;探索建立“政企協(xié)同、跨境聯(lián)動”的反釣魚執(zhí)法協(xié)作機(jī)制���。同時�,加強(qiáng)與APWG����、垃圾郵件黑名單組織(Spamhaus)等國際組織的情報共享合作。
綜合2025年態(tài)勢可見�,網(wǎng)絡(luò)釣魚攻擊正呈現(xiàn)出更強(qiáng)的精準(zhǔn)性與戰(zhàn)略意圖���,其影響范圍已從傳統(tǒng)財產(chǎn)損失擴(kuò)展至關(guān)鍵行業(yè)運(yùn)行與敏感信息保護(hù)�。面向2026年,提升人員安全意識��、推動無密碼認(rèn)證技術(shù)應(yīng)用��、壓實(shí)平臺主體責(zé)任���,是值得重點(diǎn)關(guān)注的防御方向�。在日益復(fù)雜的威脅環(huán)境下����,技術(shù)、管理與制度的協(xié)同推進(jìn)�,有助于持續(xù)提升整體反釣魚能力。(徐堯系本文通訊作者)
(本文刊登于《中國信息安全》雜志2026年第1期)
等保測評咨詢
