网络犯罪分子正通过调整社会工程策略，提升攻击的真实性、绕过过滤器并更精准地锁定潜在受害者。

图片来源：JLStock / Shutterstock

钓鱼攻击长期以来一直是安全漏洞的主要来源，尽管经过多年的安全意识培训，它仍然是当今网络安全的主要问题之一。

然而，随着战术的改进和人工智能（AI）技术的恶意利用，这种长期存在的社会工程技术不断演变，网络犯罪分子正在寻找新的方法来诱使用户点击恶意链接。游戏规则本质上没有改变，只是变得更加激烈。

攻击者不再只是复制徽标和伪造域名；他们还会劫持合法的电子邮件线程，在正在进行的对话中嵌入恶意链接，甚至使用被入侵的企业电子邮件，使他们的钓鱼尝试看起来更加真实。

AI技术使钓鱼攻击活动能够比以往更快、更轻松地部署，同时确保拼写和语法的完美，并采用一系列操纵策略，例如暗示紧迫性或利用已在网上共享的信息以增加相关性。

CSO采访了专家，以挑选出网络犯罪分子在改进钓鱼技术时采用的关键战术变化，以及这些技术如何使钓鱼攻击更具针对性和有效性。首席信息安全官（CISO）和网络安全团队应将这些知识纳入培训计划，并在可能的情况下测试相关场景。

利用生成式AI提升攻击技巧

攻击者越来越多地使用生成式AI来模仿写作风格，避免传统的钓鱼攻击警示标志，甚至基于公开数据个性化欺诈电子邮件。

IEEE高级会员、英国阿尔斯特大学网络安全教授Kevin Curran表示 ：“生成式AI现在被用来编写更具‘吸引力’和利润丰厚的钓鱼邮件，其关键功能之一是能够根据用户输入实时生成响应，现在它被用于诈骗场景中，让人们误以为他们正在与真人交流。”

例如，WormGPT背后有大型语言模型（LLM）的支持，使得发送的电子邮件不再像传统钓鱼诈骗那样充满错误。

GhostGPT——另一种面向网络犯罪的AI聊天机器人——已被用于创建精美的鱼叉式钓鱼邮件，包括伪造的DocuSign请求，几乎完美地模仿了合法品牌的通信。

最近，LLM还被用于自动生成虚假的登录页面。

Recorded Future的威胁情报分析师Allan Liska表示：“生成式AI最常用于快速生成数千个独特的、本地语言的诱饵，通过这种方式，这种复杂的技术被利用来创建大量看似合法的诈骗电子邮件，因为语言显得更加真实且不那么可疑。它可以使钓鱼邮件更难被检测到，CISO可能需要通过安全模拟这些类型的攻击来教育员工并建立抵御能力。”

利用语音和视频进行诱骗

恶意行为者还利用AI的能力，从在线音频、视频片段或图像中克隆声音和形象。

结合模仿来电显示的工具，网络犯罪分子可以通过打电话并冒充家庭成员、朋友或同事寻求紧急帮助来欺骗目标。此类电话可以令人信服地模仿受信任者的声音和举止。

认证供应商Yubico的英国和爱尔兰区域总监Niall McConachie表示 ：“这些技术已经被攻击者广泛使用——随着网络犯罪分子对AI的使用变得更加熟练和自如，我们可以预期在不久的将来会看到更多创新的AI驱动的网络攻击。”

AI还使网络犯罪分子能够创建越来越复杂的语音和视频深度伪造，以促进钓鱼攻击。例如，工程公司Arup的香港子公司被诈骗了2560万美元，原因是财务员工在一次视频会议后被深度伪造的“首席财务官”欺骗，进行了转账操作。

复活虚假的“线程”和回复链

“僵尸”电子邮件线程——网络犯罪分子在劫持受害者的收件箱后复活的邮件链——并不是什么新鲜事，但在生成式AI的支持下，它们可能会变得越来越可信。

安全意识公司ThinkCyber Security的安全行为和分析总监Lucy Finlay指出：“以前，这些类型的电子邮件更容易被识别，因为语气或上下文与发送者模仿的真实电子邮件相比会显得‘不对劲’，生成式AI可以更容易地浏览之前的邮件链，并使用正确的语气生成钓鱼邮件，使其成为更具可信度的诱饵。”

通过ClickFix攻击欺骗PowerShell新手

ClickFix攻击涉及发送带有恶意网站链接的电子邮件，当受害者访问这些网站时，会提示他们打开运行对话框，并复制粘贴一行SQL代码以在其计算机上执行，通常以修复原始电子邮件中提到的问题为幌子。

威胁情报供应商Silobreaker的研究主管Hannah Baumgaertner说：“在过去六个月中，这种新的所谓ClickFix社会工程技术越来越多地被威胁行为者用作其钓鱼活动的一部分。”

该技术涉及各种诱饵，以说服用户将PowerShell脚本粘贴到运行命令中，从而导致恶意软件感染。使用该技术传播的恶意软件包括Lumma Stealer、StealC、NetSupport等。

虽然该技术本身相对较新，但其诱饵本身却相当常见，包括关于发票、待签署文件或虚假验证码的钓鱼邮件。

更逼真地冒充受信任品牌

品牌冒充仍然是诱使用户打开恶意文件或在钓鱼网站上输入其详细信息的一种常用方法。威胁行为者通常冒充主要品牌，包括文档共享平台，如微软的OneDrive和SharePoint，以及越来越频繁的DocuSign。

攻击者利用员工对常用应用程序的固有信任，通过伪造其品牌标识，诱骗收件人输入凭据或批准欺诈性文档请求。

例如，电子邮件安全公司Abnormal Security报告了一项针对依赖联合身份验证系统的组织的持续钓鱼活动，使用伪造的微软Active Directory联合服务（ADFS）登录页面来收集凭据并绕过多因素身份验证。

Abnormal Security的威胁情报主管Piotr Wojtyla指出： “在此活动中，攻击者利用ADFS登录页面的受信任环境和熟悉设计，诱使用户提交其凭据和第二因素身份验证详细信息，这些攻击的成功得益于高度逼真的钓鱼技术，包括伪造的发件人地址、合法品牌标识和URL混淆。”

受害者通常被欺骗查看、下载或签署虚假文件，如发票，并被提示输入个人信息，这些信息随后被攻击者窃取。

Recorded Future的现场CISO Richard LaTulip补充道：“这些类型的攻击正在演变，包括更复杂的域名冒充，例如相似域名和同形异义字攻击，以逃避传统的电子邮件过滤器。”

滥用受信任的服务

钓鱼攻击的另一个重要演变涉及滥用受信任的服务和内容交付平台。

攻击者越来越多地使用合法的文档签名和文件托管服务来分发钓鱼诱饵。他们首先将恶意内容上传到信誉良好的提供商，然后制作引用这些受信任服务和内容交付平台的钓鱼电子邮件或消息。

托管检测和响应供应商Huntress的首席威胁情报分析师Greg Linares警告称： “由于这些服务托管了攻击者的内容，即使谨慎的用户在点击前检查URL，仍可能被误导，因为这些链接似乎属于合法且知名的平台，通过利用这些受信任的提供商，攻击者确保受害者在不经意间下载恶意文件，同时绕过基于允许列表和声誉的安全系统，这些系统本可以阻止他们的钓鱼尝试。”

利用二维码进行攻击

越来越多的网络犯罪分子利用二维码的流行性，开展基于二维码的钓鱼攻击。

“quishing”（二维码钓鱼）的兴起是对电子邮件安全性提高的直接回应。攻击者知道传统的钓鱼链接会被过滤器标记，因此他们转向推送恶意二维码，以绕过电子邮件安全过滤器。

攻击者可以在电子邮件中嵌入恶意二维码，并将其伪装成多因素身份验证（MFA）提示、交付通知或企业登录请求。这些二维码通常会引导到与合法门户网站非常相似的凭据收集网站。

Abnormal Security的Wojtyla表示：“随着二维码在营销、身份验证和商业交易中变得越来越普遍，用户更有可能信任它们，我们发现，现在有17%的绕过原生垃圾邮件过滤器的攻击使用二维码，其中89%是凭据钓鱼。”

托管服务公司razorblue的网络安全主管Richard Bullock补充道：“我们还看到二维码被用于‘多阶段钓鱼’，第一次扫描将用户引导到一个看似合法的页面，但在延迟后——或在验证用户设备类型后——他们会被重定向到一个凭据收集网站。由于移动设备通常缺乏与企业桌面相同的安全监督，这种方法被证明非常有效。”

网络安全供应商Sophos的全球现场CISO Chester Wisniewski预测，随着安全服务对这种伎俩的警觉，quishing可能只是一个暂时的趋势，可能会迫使网络犯罪分子改变策略。

Wisniewski指出： “许多电子邮件服务过去没有检查嵌入在PDF或Office文档中的二维码，但现在它们这样做了，这种绕过URI过滤的方法的有效性应该已经降低，我们还开始看到对SVG（可缩放矢量图形）文件的滥用，这是另一种经常被忽视的格式，因此如果发生转变，SVG可能会成为新的二维码。”

攻击者还被发现在钓鱼电子邮件中使用巧妙制作的ASCII二维码。

利用图像绕过安全过滤器

基于图像的钓鱼攻击正变得越来越复杂。例如，欺诈者制作看起来像基于文本的电子邮件的图像，以提高其表面真实性，同时仍然绕过传统的电子邮件过滤器。

Recorded Future的LaTulip评论道：“这种类型的攻击是更传统的基于文本的钓鱼攻击的演变，是犯罪分子对电子邮件安全过滤器进步的回应。嵌入的图像用于绕过电子邮件过滤器，图像被用来伪装恶意内容或链接。”

点击这些图像会将毫无戒心的员工引导到凭据收集或加载了漏洞利用的网站。

LaTulip说：“犯罪分子还可能通过更改颜色或大小不断编辑和调整图像，这样做通常是为了保持图像的新鲜感，从而增加其避免被检测到的机会。”

利用俄罗斯域名

KnowBe4报告称，从2024年12月到2025年1月，利用俄罗斯（.ru）顶级域名的钓鱼活动激增。

KnowBe4威胁研究团队指出，这些钓鱼活动增加了98%，其主要目的是收集凭据。

一些俄罗斯.ru域名由所谓的“防弹”托管提供商运营，这些提供商以保持恶意域名运行并忽略针对其网络犯罪客户运营的网站的滥用报告而闻名。

强化情报收集

在暗网和黑客论坛上，AI辅助的工具集变得越来越普遍。

Huntress的Linares表示 ：“这些工具可以抓取社交媒体帖子，甚至通过图像和帖子识别用户的确切地理位置——这是一种越来越普遍的策略。”

其他情报收集工具则专注于组织而非个人。这些工具可以抓取LinkedIn、招聘网站、DNS记录、网络托管服务和第三方服务提供商，以揭示有关公司基础设施、软件堆栈、内部工具、员工、办公地点和其他潜在目标的有价值信息，用于社会工程或网络攻击。

复杂的攻击者还重新利用合法的营销工具和平台，以识别SEO劫持和钓鱼攻击的最佳机会，最大限度地扩大诈骗的范围和有效性。

通过PhaaS实现专业化

根据网络安全供应商Barracuda的数据，钓鱼即服务（PhaaS）工具包预计将在2025年占凭据盗窃攻击的50%，高于2024年的30%。

Barracuda预测，这些平台正在发展，包括允许网络犯罪分子窃取多因素身份验证（MFA）代码并采用更高级的规避技术的功能，例如使用基于二维码的有效载荷。

PhaaS平台提供基于订阅的工具和服务套件，包括仪表板和被盗凭据存储，以促进钓鱼攻击。这些网络犯罪工具包通过Telegram、暗网论坛和地下市场出售。根据网络威胁管理公司Adarma的数据，订阅费用从每月350美元起。

最广泛使用的此类平台——Tycoon 2FA，被Barracuda指责为89%的PhaaS事件的幕后黑手，它利用加密脚本和不可见的Unicode字符来逃避检测、窃取凭据并通过Telegram外泄数据。

专为中间人攻击设计的Sneaky 2FA滥用微软365的“自动抓取”功能，预先填充虚假登录页面，过滤掉非目标并绕过2FA，正如Barracuda最近的一篇技术博客文章所解释的那样。

参考来源：

11 ways cybercriminals are making phishing more potent than ever