釣魚(yú)攻擊長(zhǎng)期以來(lái)一直是安全漏洞的主要來(lái)源，盡管經(jīng)過(guò)多年的安全意識(shí)培訓(xùn)，它仍然是當(dāng)今網(wǎng)絡(luò)安全的主要問(wèn)題之一。

然而，隨著戰(zhàn)術(shù)的改進(jìn)和人工智能（AI）技術(shù)的惡意利用，這種長(zhǎng)期存在的社會(huì)工程技術(shù)不斷演變，網(wǎng)絡(luò)犯罪分子正在尋找新的方法來(lái)誘使用戶點(diǎn)擊惡意鏈接。游戲規(guī)則本質(zhì)上沒(méi)有改變，只是變得更加激烈。

攻擊者不再只是復(fù)制徽標(biāo)和偽造域名；他們還會(huì)劫持合法的電子郵件線程，在正在進(jìn)行的對(duì)話中嵌入惡意鏈接，甚至使用被入侵的企業(yè)電子郵件，使他們的釣魚(yú)嘗試看起來(lái)更加真實(shí)。

AI技術(shù)使釣魚(yú)攻擊活動(dòng)能夠比以往更快、更輕松地部署，同時(shí)確保拼寫(xiě)和語(yǔ)法的完美，并采用一系列操縱策略，例如暗示緊迫性或利用已在網(wǎng)上共享的信息以增加相關(guān)性。

CSO采訪了專家，以挑選出網(wǎng)絡(luò)犯罪分子在改進(jìn)釣魚(yú)技術(shù)時(shí)采用的關(guān)鍵戰(zhàn)術(shù)變化，以及這些技術(shù)如何使釣魚(yú)攻擊更具針對(duì)性和有效性。首席信息安全官（CISO）和網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)將這些知識(shí)納入培訓(xùn)計(jì)劃，并在可能的情況下測(cè)試相關(guān)場(chǎng)景。

1. 利用生成式AI提升攻擊技巧

攻擊者越來(lái)越多地使用生成式AI來(lái)模仿寫(xiě)作風(fēng)格，避免傳統(tǒng)的釣魚(yú)攻擊警示標(biāo)志，甚至基于公開(kāi)數(shù)據(jù)個(gè)性化欺詐電子郵件。

IEEE高級(jí)會(huì)員、英國(guó)阿爾斯特大學(xué)網(wǎng)絡(luò)安全教授Kevin Curran表示 ：“生成式AI現(xiàn)在被用來(lái)編寫(xiě)更具‘吸引力’和利潤(rùn)豐厚的釣魚(yú)郵件，其關(guān)鍵功能之一是能夠根據(jù)用戶輸入實(shí)時(shí)生成響應(yīng)，現(xiàn)在它被用于詐騙場(chǎng)景中，讓人們誤以為他們正在與真人交流。”

例如，WormGPT背后有大型語(yǔ)言模型（LLM）的支持，使得發(fā)送的電子郵件不再像傳統(tǒng)釣魚(yú)詐騙那樣充滿錯(cuò)誤。

GhostGPT——另一種面向網(wǎng)絡(luò)犯罪的AI聊天機(jī)器人——已被用于創(chuàng)建精美的魚(yú)叉式釣魚(yú)郵件，包括偽造的DocuSign請(qǐng)求，幾乎完美地模仿了合法品牌的通信。

最近，LLM還被用于自動(dòng)生成虛假的登錄頁(yè)面。

Recorded Future的威脅情報(bào)分析師Allan Liska表示：“生成式AI最常用于快速生成數(shù)千個(gè)獨(dú)特的、本地語(yǔ)言的誘餌，通過(guò)這種方式，這種復(fù)雜的技術(shù)被利用來(lái)創(chuàng)建大量看似合法的詐騙電子郵件，因?yàn)檎Z(yǔ)言顯得更加真實(shí)且不那么可疑。它可以使釣魚(yú)郵件更難被檢測(cè)到，CISO可能需要通過(guò)安全模擬這些類型的攻擊來(lái)教育員工并建立抵御能力。”

2. 利用語(yǔ)音和視頻進(jìn)行誘騙

惡意行為者還利用AI的能力，從在線音頻、視頻片段或圖像中克隆聲音和形象。

結(jié)合模仿來(lái)電顯示的工具，網(wǎng)絡(luò)犯罪分子可以通過(guò)打電話并冒充家庭成員、朋友或同事尋求緊急幫助來(lái)欺騙目標(biāo)。此類電話可以令人信服地模仿受信任者的聲音和舉止。

認(rèn)證供應(yīng)商Yubico的英國(guó)和愛(ài)爾蘭區(qū)域總監(jiān)Niall McConachie表示 ：“這些技術(shù)已經(jīng)被攻擊者廣泛使用——隨著網(wǎng)絡(luò)犯罪分子對(duì)AI的使用變得更加熟練和自如，我們可以預(yù)期在不久的將來(lái)會(huì)看到更多創(chuàng)新的AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊。”

AI還使網(wǎng)絡(luò)犯罪分子能夠創(chuàng)建越來(lái)越復(fù)雜的語(yǔ)音和視頻深度偽造，以促進(jìn)釣魚(yú)攻擊。例如，工程公司Arup的香港子公司被詐騙了2560萬(wàn)美元，原因是財(cái)務(wù)員工在一次視頻會(huì)議后被深度偽造的“首席財(cái)務(wù)官”欺騙，進(jìn)行了轉(zhuǎn)賬操作。

3. 復(fù)活虛假的“線程”和回復(fù)鏈

“僵尸”電子郵件線程——網(wǎng)絡(luò)犯罪分子在劫持受害者的收件箱后復(fù)活的郵件鏈——并不是什么新鮮事，但在生成式AI的支持下，它們可能會(huì)變得越來(lái)越可信。

安全意識(shí)公司ThinkCyber Security的安全行為和分析總監(jiān)Lucy Finlay指出：“以前，這些類型的電子郵件更容易被識(shí)別，因?yàn)檎Z(yǔ)氣或上下文與發(fā)送者模仿的真實(shí)電子郵件相比會(huì)顯得‘不對(duì)勁’，生成式AI可以更容易地瀏覽之前的郵件鏈，并使用正確的語(yǔ)氣生成釣魚(yú)郵件，使其成為更具可信度的誘餌。”

4. 通過(guò)ClickFix攻擊欺騙PowerShell新手

ClickFix攻擊涉及發(fā)送帶有惡意網(wǎng)站鏈接的電子郵件，當(dāng)受害者訪問(wèn)這些網(wǎng)站時(shí)，會(huì)提示他們打開(kāi)運(yùn)行對(duì)話框，并復(fù)制粘貼一行SQL代碼以在其計(jì)算機(jī)上執(zhí)行，通常以修復(fù)原始電子郵件中提到的問(wèn)題為幌子。

威脅情報(bào)供應(yīng)商Silobreaker的研究主管Hannah Baumgaertner說(shuō)：“在過(guò)去六個(gè)月中，這種新的所謂ClickFix社會(huì)工程技術(shù)越來(lái)越多地被威脅行為者用作其釣魚(yú)活動(dòng)的一部分。”

該技術(shù)涉及各種誘餌，以說(shuō)服用戶將PowerShell腳本粘貼到運(yùn)行命令中，從而導(dǎo)致惡意軟件感染。使用該技術(shù)傳播的惡意軟件包括Lumma Stealer、StealC、NetSupport等。

雖然該技術(shù)本身相對(duì)較新，但其誘餌本身卻相當(dāng)常見(jiàn)，包括關(guān)于發(fā)票、待簽署文件或虛假驗(yàn)證碼的釣魚(yú)郵件。

5. 更逼真地冒充受信任品牌

品牌冒充仍然是誘使用戶打開(kāi)惡意文件或在釣魚(yú)網(wǎng)站上輸入其詳細(xì)信息的一種常用方法。威脅行為者通常冒充主要品牌，包括文檔共享平臺(tái)，如微軟的OneDrive和SharePoint，以及越來(lái)越頻繁的DocuSign。

攻擊者利用員工對(duì)常用應(yīng)用程序的固有信任，通過(guò)偽造其品牌標(biāo)識(shí)，誘騙收件人輸入憑據(jù)或批準(zhǔn)欺詐性文檔請(qǐng)求。

例如，電子郵件安全公司Abnormal Security報(bào)告了一項(xiàng)針對(duì)依賴聯(lián)合身份驗(yàn)證系統(tǒng)的組織的持續(xù)釣魚(yú)活動(dòng)，使用偽造的微軟Active Directory聯(lián)合服務(wù)（ADFS）登錄頁(yè)面來(lái)收集憑據(jù)并繞過(guò)多因素身份驗(yàn)證。

Abnormal Security的威脅情報(bào)主管Piotr Wojtyla指出： “在此活動(dòng)中，攻擊者利用ADFS登錄頁(yè)面的受信任環(huán)境和熟悉設(shè)計(jì)，誘使用戶提交其憑據(jù)和第二因素身份驗(yàn)證詳細(xì)信息，這些攻擊的成功得益于高度逼真的釣魚(yú)技術(shù)，包括偽造的發(fā)件人地址、合法品牌標(biāo)識(shí)和URL混淆。”

受害者通常被欺騙查看、下載或簽署虛假文件，如發(fā)票，并被提示輸入個(gè)人信息，這些信息隨后被攻擊者竊取。

Recorded Future的現(xiàn)場(chǎng)CISO Richard LaTulip補(bǔ)充道：“這些類型的攻擊正在演變，包括更復(fù)雜的域名冒充，例如相似域名和同形異義字攻擊，以逃避傳統(tǒng)的電子郵件過(guò)濾器。”

6. 濫用受信任的服務(wù)

釣魚(yú)攻擊的另一個(gè)重要演變涉及濫用受信任的服務(wù)和內(nèi)容交付平臺(tái)。

攻擊者越來(lái)越多地使用合法的文檔簽名和文件托管服務(wù)來(lái)分發(fā)釣魚(yú)誘餌。他們首先將惡意內(nèi)容上傳到信譽(yù)良好的提供商，然后制作引用這些受信任服務(wù)和內(nèi)容交付平臺(tái)的釣魚(yú)電子郵件或消息。

托管檢測(cè)和響應(yīng)供應(yīng)商Huntress的首席威脅情報(bào)分析師Greg Linares警告稱： “由于這些服務(wù)托管了攻擊者的內(nèi)容，即使謹(jǐn)慎的用戶在點(diǎn)擊前檢查URL，仍可能被誤導(dǎo)，因?yàn)檫@些鏈接似乎屬于合法且知名的平臺(tái)，通過(guò)利用這些受信任的提供商，攻擊者確保受害者在不經(jīng)意間下載惡意文件，同時(shí)繞過(guò)基于允許列表和聲譽(yù)的安全系統(tǒng)，這些系統(tǒng)本可以阻止他們的釣魚(yú)嘗試。”

7. 利用二維碼進(jìn)行攻擊

越來(lái)越多的網(wǎng)絡(luò)犯罪分子利用二維碼的流行性，開(kāi)展基于二維碼的釣魚(yú)攻擊。

“quishing”（二維碼釣魚(yú)）的興起是對(duì)電子郵件安全性提高的直接回應(yīng)。攻擊者知道傳統(tǒng)的釣魚(yú)鏈接會(huì)被過(guò)濾器標(biāo)記，因此他們轉(zhuǎn)向推送惡意二維碼，以繞過(guò)電子郵件安全過(guò)濾器。

攻擊者可以在電子郵件中嵌入惡意二維碼，并將其偽裝成多因素身份驗(yàn)證（MFA）提示、交付通知或企業(yè)登錄請(qǐng)求。這些二維碼通常會(huì)引導(dǎo)到與合法門戶網(wǎng)站非常相似的憑據(jù)收集網(wǎng)站。

Abnormal Security的Wojtyla表示：“隨著二維碼在營(yíng)銷、身份驗(yàn)證和商業(yè)交易中變得越來(lái)越普遍，用戶更有可能信任它們，我們發(fā)現(xiàn)，現(xiàn)在有17%的繞過(guò)原生垃圾郵件過(guò)濾器的攻擊使用二維碼，其中89%是憑據(jù)釣魚(yú)。”

托管服務(wù)公司razorblue的網(wǎng)絡(luò)安全主管Richard Bullock補(bǔ)充道：“我們還看到二維碼被用于‘多階段釣魚(yú)’，第一次掃描將用戶引導(dǎo)到一個(gè)看似合法的頁(yè)面，但在延遲后——或在驗(yàn)證用戶設(shè)備類型后——他們會(huì)被重定向到一個(gè)憑據(jù)收集網(wǎng)站。由于移動(dòng)設(shè)備通常缺乏與企業(yè)桌面相同的安全監(jiān)督，這種方法被證明非常有效。”

網(wǎng)絡(luò)安全供應(yīng)商Sophos的全球現(xiàn)場(chǎng)CISO Chester Wisniewski預(yù)測(cè)，隨著安全服務(wù)對(duì)這種伎倆的警覺(jué)，quishing可能只是一個(gè)暫時(shí)的趨勢(shì)，可能會(huì)迫使網(wǎng)絡(luò)犯罪分子改變策略。

Wisniewski指出： “許多電子郵件服務(wù)過(guò)去沒(méi)有檢查嵌入在PDF或Office文檔中的二維碼，但現(xiàn)在它們這樣做了，這種繞過(guò)URI過(guò)濾的方法的有效性應(yīng)該已經(jīng)降低，我們還開(kāi)始看到對(duì)SVG（可縮放矢量圖形）文件的濫用，這是另一種經(jīng)常被忽視的格式，因此如果發(fā)生轉(zhuǎn)變，SVG可能會(huì)成為新的二維碼。”

攻擊者還被發(fā)現(xiàn)在釣魚(yú)電子郵件中使用巧妙制作的ASCII二維碼。

8. 利用圖像繞過(guò)安全過(guò)濾器

基于圖像的釣魚(yú)攻擊正變得越來(lái)越復(fù)雜。例如，欺詐者制作看起來(lái)像基于文本的電子郵件的圖像，以提高其表面真實(shí)性，同時(shí)仍然繞過(guò)傳統(tǒng)的電子郵件過(guò)濾器。

Recorded Future的LaTulip評(píng)論道：“這種類型的攻擊是更傳統(tǒng)的基于文本的釣魚(yú)攻擊的演變，是犯罪分子對(duì)電子郵件安全過(guò)濾器進(jìn)步的回應(yīng)。嵌入的圖像用于繞過(guò)電子郵件過(guò)濾器，圖像被用來(lái)偽裝惡意內(nèi)容或鏈接。”

點(diǎn)擊這些圖像會(huì)將毫無(wú)戒心的員工引導(dǎo)到憑據(jù)收集或加載了漏洞利用的網(wǎng)站。

LaTulip說(shuō)：“犯罪分子還可能通過(guò)更改顏色或大小不斷編輯和調(diào)整圖像，這樣做通常是為了保持圖像的新鮮感，從而增加其避免被檢測(cè)到的機(jī)會(huì)。”

9. 利用俄羅斯域名

KnowBe4報(bào)告稱，從2024年12月到2025年1月，利用俄羅斯（.ru）頂級(jí)域名的釣魚(yú)活動(dòng)激增。

KnowBe4威脅研究團(tuán)隊(duì)指出，這些釣魚(yú)活動(dòng)增加了98%，其主要目的是收集憑據(jù)。

一些俄羅斯.ru域名由所謂的“防彈”托管提供商運(yùn)營(yíng)，這些提供商以保持惡意域名運(yùn)行并忽略針對(duì)其網(wǎng)絡(luò)犯罪客戶運(yùn)營(yíng)的網(wǎng)站的濫用報(bào)告而聞名。

10. 強(qiáng)化情報(bào)收集

在暗網(wǎng)和黑客論壇上，AI輔助的工具集變得越來(lái)越普遍。

Huntress的Linares表示 ：“這些工具可以抓取社交媒體帖子，甚至通過(guò)圖像和帖子識(shí)別用戶的確切地理位置——這是一種越來(lái)越普遍的策略。”

其他情報(bào)收集工具則專注于組織而非個(gè)人。這些工具可以抓取LinkedIn、招聘網(wǎng)站、DNS記錄、網(wǎng)絡(luò)托管服務(wù)和第三方服務(wù)提供商，以揭示有關(guān)公司基礎(chǔ)設(shè)施、軟件堆棧、內(nèi)部工具、員工、辦公地點(diǎn)和其他潛在目標(biāo)的有價(jià)值信息，用于社會(huì)工程或網(wǎng)絡(luò)攻擊。

復(fù)雜的攻擊者還重新利用合法的營(yíng)銷工具和平臺(tái)，以識(shí)別SEO劫持和釣魚(yú)攻擊的最佳機(jī)會(huì)，最大限度地?cái)U(kuò)大詐騙的范圍和有效性。

11. 通過(guò)PhaaS實(shí)現(xiàn)專業(yè)化

根據(jù)網(wǎng)絡(luò)安全供應(yīng)商Barracuda的數(shù)據(jù)，釣魚(yú)即服務(wù)（PhaaS）工具包預(yù)計(jì)將在2025年占憑據(jù)盜竊攻擊的50%，高于2024年的30%。

Barracuda預(yù)測(cè)，這些平臺(tái)正在發(fā)展，包括允許網(wǎng)絡(luò)犯罪分子竊取多因素身份驗(yàn)證（MFA）代碼并采用更高級(jí)的規(guī)避技術(shù)的功能，例如使用基于二維碼的有效載荷。

PhaaS平臺(tái)提供基于訂閱的工具和服務(wù)套件，包括儀表板和被盜憑據(jù)存儲(chǔ)，以促進(jìn)釣魚(yú)攻擊。這些網(wǎng)絡(luò)犯罪工具包通過(guò)Telegram、暗網(wǎng)論壇和地下市場(chǎng)出售。根據(jù)網(wǎng)絡(luò)威脅管理公司Adarma的數(shù)據(jù)，訂閱費(fèi)用從每月350美元起。

最廣泛使用的此類平臺(tái)——Tycoon 2FA，被Barracuda指責(zé)為89%的PhaaS事件的幕后黑手，它利用加密腳本和不可見(jiàn)的Unicode字符來(lái)逃避檢測(cè)、竊取憑據(jù)并通過(guò)Telegram外泄數(shù)據(jù)。

專為中間人攻擊設(shè)計(jì)的Sneaky 2FA濫用微軟365的“自動(dòng)抓取”功能，預(yù)先填充虛假登錄頁(yè)面，過(guò)濾掉非目標(biāo)并繞過(guò)2FA，正如Barracuda最近的一篇技術(shù)博客文章所解釋的那樣。