政务账号沦陷引发钓鱼攻击的机理与防御体系研究

摘要

政务机构与高校办公邮箱遭遇入侵并被滥用于分发钓鱼链接、恶意文件，已成为当前定向网络钓鱼攻击的重要演变形态。乌兹别克斯坦国家网络安全中心监测数据显示，攻击者利用被攻陷的公职人员邮箱，模仿官方公文样式向政企单位推送钓鱼内容，单台沦陷账号可辐射五十余家外部机构，安全危害呈现链式扩散特征。本文以该真实安全事件为核心研究样本，梳理政务邮箱被入侵的诱因、攻击全流程与技术手段，剖析依托可信政务账号实施钓鱼攻击的传播逻辑与风险传导路径，结合代码示例实现钓鱼邮件检测、邮箱异常行为识别等核心防护功能。研究依托反网络钓鱼技术专家芦笛的专业研判，从人员安全习惯、邮件系统架构、技术检测规则、管理制度、应急响应机制五个维度，解析此类复合型钓鱼攻击泛滥的深层原因，构建事前加固、事中拦截、事后溯源的全闭环防御体系。全文立足公共部门网络安全运维实际，客观评估现有防护方案的短板与适配场景，所形成的技术模型、管理策略可为各国政府机关、高等院校等公共机构抵御账号劫持类钓鱼攻击提供理论支撑与落地参考。

1 引言

数字化政务建设推动办公邮件、线上公文流转成为公共机构日常运转的基础载体，政务邮箱作为对内沟通、对外对接的核心通信工具，承载着公文通知、业务协作、信息传递等多项职能。由于政务账号具备天然的公信力，普通单位、社会公众对官方来源邮件普遍缺乏警惕性，这一特性使得政务邮箱逐步成为网络攻击者重点觊觎的目标。攻击者不再局限于传统广撒网式钓鱼，转而采取 “先劫持可信账号、再借助信任实施二次钓鱼” 的进阶攻击模式，大幅提升钓鱼内容的传播效率与欺骗能力。

乌兹别克斯坦计算机应急响应团队（UZCERT）在 2026 年 6 月发布安全预警，当地多家政府机关、高等院校的办公邮件基础设施遭到非法入侵，大量员工邮箱账号被攻击者控制。不法分子利用这些已沦陷的政务账号，向全国范围内各类公立、私营机构批量推送恶意文件与钓鱼链接。为提升攻击成功率，攻击者精心打磨邮件内容，完整复刻日常官方往来文书的格式、措辞与行文逻辑，诱导收件人下载可疑附件、点击不安全链接。技术溯源结果表明，此次大规模账号沦陷的根源，在于公职人员使用工作邮箱注册各类非可信第三方网络平台，叠加全员网络安全操作规范落实不到位，为黑客提供了可利用的入侵入口。

追溯当地近期网络安全事件，2026 年 2 月该国电信运营商 MobiUz 也曾出现服务器入侵事件，攻击者突破企业隔离测试服务器，但因该服务器未接入核心业务架构，加之企业常态化安全监测机制发挥作用，入侵行为被快速遏制，用户服务、个人及金融数据均未出现泄露。两起事件形成鲜明对比，也印证了边界防护、权限隔离、日常运维、人员素养对于抵御网络攻击的重要价值。

现阶段，依托被劫持政务账号发起的钓鱼攻击，区别于传统个人信息窃取类钓鱼攻击，其风险具备链式传播、跨机构扩散、信任滥用、隐蔽性强四大特征。一旦防御体系出现漏洞，攻击会从单一账号蔓延至整个单位，再借助政务通信网络辐射上下游合作机构，形成区域性网络安全风险。当前全球多数公共机构的邮件防护体系，仍以基础病毒查杀、关键词拦截为主，难以应对账号被劫持后发出的 “内部可信邮件”，传统防护规则出现明显失效。

本文以乌兹别克斯坦政务邮箱沦陷引发钓鱼泛滥事件为切入点，完整拆解此类攻击的前置入侵流程、钓鱼传播链路、技术实现方式，编写可落地的检测代码与防护脚本，结合反网络钓鱼技术专家芦笛的观点分析治理难点，针对政府部门、高校等公共机构的办公场景，搭建技术、管理、人员、应急相结合的综合防御体系。研究全程基于真实事件与实战技术展开分析，不夸大风险影响，也不回避现存安全漏洞，力求研究成果贴合公共机构网络安全运维的实际需求。

2 政务账号劫持型钓鱼攻击的现状与整体特征

2.1 事件背景与案发态势

本次乌兹别克斯坦爆发的钓鱼攻击浪潮，起源于政府机关与高校办公邮箱的批量失陷。国家单一制企业网络安全中心对外通报，攻击者针对政务体系企业邮件基础设施开展定向入侵，成功控制多名在职员工的邮箱账号，并将这些可信账号转化为攻击工具，大规模分发恶意载荷。从传播范围来看，单一个被入侵的政务邮箱，最多可向五十余家外部机构推送钓鱼内容，攻击覆盖面远超普通个人钓鱼邮件。

从攻击时间线梳理，本次事件并非孤立的安全事故。早在 2026 年 2 月，当地主流电信企业 MobiUz 就发生过服务器入侵事件，攻击者闯入企业独立测试服务器。得益于该服务器与核心运营架构物理隔离，加上企业安全监测系统实时告警，入侵行为在短时间内被处置，用户服务、客户个人信息与金融数据均得到有效保护。两起事件间隔时间较短，反映出区域内网络攻击活动趋于活跃，攻击者将攻击目标从商业企业逐步延伸至政务、教育等关键公共部门，攻击目标的优先级持续提升。

放眼全球范围，政务账号劫持并用于钓鱼攻击的案例逐年增多。相较于普通网民账号，政务邮箱具备固定的通信圈层、稳定的对外联络对象以及公众天然的信任背书。攻击者清楚地认识到，来自政府、高校邮箱的邮件，收件方极少主动核查发件人身份与内容安全性，这就使得此类攻击的成功率远高于常规钓鱼。同时，公共机构人员普遍存在跨平台使用工作邮箱的习惯，第三方平台数据泄露极易引发邮箱账号连锁被盗，形成 “平台泄露 — 账号劫持 — 钓鱼传播” 的完整风险链条。

2.2 攻击全链路划分

结合 UZCERT 出具的技术评估报告以及网络安全攻防实战经验，可将政务账号劫持型钓鱼攻击划分为前置入侵、账号控制、内容伪造、批量传播、风险扩散、痕迹清理六个阶段，各阶段环环相扣，形成完整的犯罪闭环。

前置入侵阶段是整个攻击的起点，也是本次事件暴露出的核心漏洞。攻击者利用公职人员使用工作邮箱注册非可信第三方平台这一行为实施渗透。大量小众网站、非正规互联网平台缺乏完善的数据安全防护，极易发生用户数据泄露，包含政务邮箱账号、明文密码的数据集流入黑产链条。攻击者通过撞库、暴力破解等方式，尝试使用泄露的账号密码登录政务邮箱系统。同时，部分员工未遵守基础网络安全规范，使用弱口令、多平台共用同一套账号密码、在公共网络环境下登录工作邮箱，进一步放大了入侵风险。该阶段攻击者无需复杂的漏洞利用技术，仅依托黑产泄露数据即可完成初步突破。

账号控制阶段。攻击者成功登录政务邮箱后，会第一时间进行权限加固，例如修改邮箱登录密码、新增备用邮箱、绑定陌生手机号、开启邮件转发规则。部分进阶攻击者还会关闭邮箱系统的异地登录提醒、异常设备告警等安全功能，确保原账号使用者无法及时发现账号被盗，实现对邮箱的长期控制。至此，原本安全可信的政务邮箱，彻底沦为攻击者的 “肉鸡” 节点。

内容伪造阶段，也是此类钓鱼攻击具备高迷惑性的核心环节。攻击者长期潜伏在沦陷邮箱中，研读历史往来邮件，熟悉该单位公文格式、行文语气、常用称谓、业务术语。在正式发起钓鱼攻击时，完全模仿正规官方往来邮件的样式编写内容，去除明显的语法错误、格式漏洞。邮件正文以日常工作通知、文件传达、业务协作为伪装，内嵌恶意下载附件或者钓鱼链接，从视觉、内容、语境三个维度欺骗收件人。

批量传播阶段。攻击者借助沦陷的政务邮箱通讯录、历史收件列表，向该单位内部员工、上下游合作机构、社会合作单位批量发送伪造邮件。由于发件人显示为正规政府部门、高校工作人员，收件方放松警惕，直接下载附件、点击链接。附件多为捆绑木马的文档、可执行程序，链接则指向仿冒官网、信息窃取页面，完成二次攻击。

风险扩散阶段。收件方点击链接、运行恶意文件后，自身终端设备、办公邮箱可能被再次入侵，进而成为新的传播节点，继续向外推送钓鱼内容。攻击从最初的单点沦陷，逐步演变为跨单位、跨行业的链式传播，形成区域性网络安全风险。对于政府机关而言，一旦涉密岗位账号被劫持，还可能引发内部公文泄露、敏感数据失窃等次生危害。

痕迹清理阶段。为规避溯源与打击，攻击者在完成一轮大规模钓鱼传播后，会删除邮箱内的发送记录、登录日志，取消邮件转发规则，甚至短暂放弃该账号。由于公共机构邮箱日志留存、审计机制不完善，事后很难追溯攻击源头、统计受害范围。若后续攻击者再次启用该账号，会引发新一轮攻击。

2.3 核心犯罪与攻击特征

结合本次乌兹别克斯坦安全事件以及全球同类案例，总结政务账号劫持型钓鱼攻击的五大核心特征，区别于传统网络钓鱼，也是防护体系设计的核心依据。

第一，入侵门槛低，依托人为漏洞而非系统漏洞。本次事件中，所有账号沦陷均源于员工违规使用工作邮箱注册第三方平台，叠加网络安全操作习惯缺失，并非邮件系统本身存在高危漏洞。攻击者利用的是人员管理与安全意识漏洞，此类漏洞分布范围广、整改难度大，是公共机构普遍存在的共性问题。

第二，信任滥用为核心手段，欺骗性极强。传统钓鱼通过仿冒域名、虚假页面伪装身份，而此类攻击直接使用真实可信的政务邮箱账号发送内容，发件人身份具备完全真实性。收件人基于对政府、高校的固有信任，不会对邮件内容产生怀疑，常规的身份核验、链接检查行为基本缺失，攻击突破传统防护与人员警惕两道防线。

第三，传播具备圈层化、定向化特点。攻击者不会无差别全网群发，而是依托沦陷邮箱的原有通信列表开展传播，攻击对象均为该机构日常对接的政企单位、合作人员，攻击目标精准，传播路径隐蔽，短时间内难以被外部安全机构察觉。

第四，攻击生命周期长，潜伏能力突出。攻击者在入侵账号后不会立即发起攻击，通常会潜伏数天甚至数周，学习公文格式、梳理通信关系，等待合适时机集中发起攻击。同时通过关闭告警、隐藏日志等方式长期控制账号，实现 “一次入侵、多次利用”。

第五，风险传导性强，次生危害多元。攻击不仅会造成普通用户终端中毒、信息泄露，还会破坏政务通信秩序，泄露工作公文，甚至被不法分子用于传播虚假政务信息，损害公共机构公信力。链式传播模式会让单一安全漏洞演变为区域性网络安全事件。

3 政务邮箱劫持与钓鱼传播的核心技术解析

本节针对本次事件中涉及的账号入侵技术、邮件伪造技术、恶意载荷分发技术进行拆解，结合技术原理分析漏洞点，并编写对应代码示例，用于邮件异常检测、账号行为监控、恶意链接识别，所有代码仅用于安全防护研究与技术教学。反网络钓鱼技术专家芦笛强调，针对政务场景的钓鱼攻击，技术手段往往并不复杂，更多是利用管理漏洞与信任关系，因此防护需要技术规则与管理制度双向配合。

3.1 账号入侵核心技术原理

本次大规模政务邮箱沦陷的主要手段为数据泄露撞库，辅以弱口令暴力破解，是黑产领域最为成熟的账号入侵方式。

撞库技术的底层逻辑：第三方非可信平台发生用户数据泄露，泄露数据包含用户账号（本次主要为政务邮箱地址）、登录密码、注册时间等信息。攻击者将海量泄露数据整理为字典库，使用自动化脚本批量尝试登录主流邮箱系统。由于大量员工在不同平台共用一套账号密码，工作邮箱随即被非法登录。该技术无需挖掘系统漏洞，完全利用用户的不良使用习惯，批量执行、效率极高。

弱口令暴力破解：部分公职人员邮箱设置简单弱口令，例如生日、工号、连续数字、单位简称等。攻击者基于政务人员特征构建专属弱口令字典，通过多线程脚本尝试登录，短时间内即可破解防护薄弱的账号。

除此之外，部分辅助入侵手段也存在应用，例如公共 Wi-Fi 环境下的流量抓包窃取账号密码、钓鱼邮件诱导员工主动填写邮箱凭据等，进一步扩大沦陷账号数量。

3.2 钓鱼邮件伪造与分发技术

攻击者控制政务邮箱后，主要通过两种形式实施钓鱼攻击：一是正文嵌入恶意 URL 链接，二是推送带毒附件。同时利用邮件原生特性规避基础防护，具体技术细节如下。

3.2.1 邮件内容伪装技术

攻击者利用沦陷邮箱的历史邮件样本，复刻标题格式、正文排版、落款信息、附件命名规则。政务公文具备固定的格式规范，攻击者完全模仿后，邮件在视觉上与正规公文无差异。部分攻击者还会在邮件中加入真实的单位名称、部门名称、对接人信息，提升内容可信度。传统基于关键词、格式异常的邮件检测规则，对此类伪造邮件完全失效。

3.2.2 恶意链接嵌入与混淆技术

为规避邮件网关的 URL 检测，攻击者对钓鱼链接进行简单混淆处理，包括 URL 编码、短链接跳转、多级域名跳转等。邮件系统若仅检测原始链接特征，无法识别经过编码、跳转处理的恶意地址，用户点击后会逐层跳转至钓鱼页面。

3.2.3 带毒附件伪装技术

恶意附件多采用常规办公文件格式（.doc、.xls、.zip），命名为 “工作通知.zip”“审批文件.doc” 等政务常用名称。文件内部捆绑木马程序、宏病毒，Windows 系统默认设置下，用户打开文档并启用宏命令后，恶意程序即可运行，窃取终端信息、监听操作行为，甚至继续向外传播钓鱼邮件。

3.3 邮箱账号异常行为检测代码实现

针对账号撞库、异地登录、批量发件等入侵行为，本节基于 Python 编写邮箱登录行为监控、批量邮件发送检测代码，适用于政务邮箱后台、邮件网关部署，实时识别异常账号行为。

3.3.1 邮箱异地登录与异常 IP 检测代码

该代码用于解析邮箱登录日志，比对登录 IP 归属地、常用登录地区，识别异地陌生 IP 登录行为，及时预警账号被盗风险。

import re

from ipaddress import ip_address

# 模拟政务邮箱常用登录网段（单位办公内网、固定办公IP段）

TRUSTED_IP_SEGMENTS = ["192.168.0.0/16", "10.0.0.0/8", "172.16.0.0/12", "203.120.xx.xx/24"]

# 标记高风险境外IP网段（可根据区域安全需求扩充）

RISK_COUNTRY_IP = []

def check_ip_trust(ip_str):

   """

   检测登录IP是否为可信IP

   :param ip_str: 登录IP地址字符串

   :return: bool, str  是否可信，风险描述

   """

   try:

       login_ip = ip_address(ip_str)

       # 比对可信IP段

       for segment in TRUSTED_IP_SEGMENTS:

           if login_ip in ip_address(segment):

               return True, "可信办公IP，登录正常"

       # 非内网IP判定为异地登录

       return False, f"告警：发现异地IP {ip_str} 尝试登录，疑似账号劫持"

   except ValueError:

       return False, f"告警：非法IP格式 {ip_str}，疑似恶意登录行为"

def analyze_email_login_log(log_path):

   """解析邮箱登录日志，批量检测异常登录行为"""

   abnormal_logs = []

   # 日志格式示例：2026-06-10 08:22:15  user@gov.uz  185.23.xxx.xxx  login

   log_pattern = re.compile(r"(\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2})\s+(\w+@gov\.uz)\s+(\d+\.\d+\.\d+\.\d+)\s+(login|logout)")

   with open(log_path, "r", encoding="utf-8") as f:

       for line in f.readlines():

           match_res = log_pattern.match(line.strip())

           if not match_res:

               continue

           log_time, email_account, login_ip, action = match_res.groups()

           if action == "login":

               is_trust, msg = check_ip_trust(login_ip)

               if not is_trust:

                   abnormal_logs.append({

                       "time": log_time,

                       "account": email_account,

                       "ip": login_ip,

                       "alert_msg": msg

                   })

   return abnormal_logs

# 主程序测试

if __name__ == "__main__":

   log_file = "email_login.log"

   result = analyze_email_login_log(log_file)

   if result:

       print("========== 检测到邮箱异常登录记录 ==========")

       for item in result:

           print(f"时间：{item['time']} 账号：{item['account']} 风险：{item['alert_msg']}")

   else:

       print("未检测到邮箱异常登录行为")

代码说明：该脚本适配政务邮箱标准登录日志格式，优先匹配单位内网、固定办公 IP 段，一旦出现外网 IP、陌生 IP 登录，立即生成告警记录。可部署在邮箱服务器后台，实现 7×24 小时实时监控，第一时间发现账号被劫持迹象。

3.3.2 批量群发钓鱼邮件行为检测代码

被劫持的政务邮箱会出现短时间内向大量外部地址群发邮件的行为，该代码统计单账号单位时间内的收件人数量、外部联系人占比，识别批量传播钓鱼邮件的异常行为。

from collections import defaultdict

import time

# 定义政务内部邮箱域名

GOV_INNER_DOMAIN = "gov.uz"

# 单位时间阈值：5分钟内收件人超过20人判定为批量群发

TIME_LIMIT = 300

COUNT_LIMIT = 20

def analyze_send_log(send_log_list):

   """

   分析邮件发送日志，检测批量群发行为

   :param send_log_list: 发送日志列表，单条格式：(send_account, receive_account, send_timestamp)

   :return: 异常账号列表

   """

   # 按发件账号分组

   account_send_map = defaultdict(list)

   for send_acc, recv_acc, timestamp in send_log_list:

       account_send_map[send_acc].append((recv_acc, timestamp))

 

   abnormal_account = []

   current_time = int(time.time())

   for account, rec_list in account_send_map.items():

       # 筛选5分钟内的发送记录

       recent_recv = [r for r, t in rec_list if current_time - t <= TIME_LIMIT]

       if len(recent_recv) >= COUNT_LIMIT:

           # 统计外部收件人占比

           outer_count = 0

           for recv in recent_recv:

               if GOV_INNER_DOMAIN not in recv:

                   outer_count += 1

           outer_rate = round(outer_count / len(recent_recv) * 100, 2)

           abnormal_account.append({

               "account": account,

               "send_count": len(recent_recv),

               "outer_rate": f"{outer_rate}%",

               "alert": "短时间批量向外群发邮件，疑似传播钓鱼内容"

           })

   return abnormal_account

# 测试用例

if __name__ == "__main__":

   # 模拟发送日志：(发件人, 收件人, 时间戳)

   test_logs = [

       ("staff1@gov.uz", "org1@company.uz", int(time.time()) - 10),

       ("staff1@gov.uz", "org2@company.uz", int(time.time()) - 20),

       ("staff1@gov.uz", "org3@company.uz", int(time.time()) - 30),

   ]

   res = analyze_send_log(test_logs)

   if res:

       print("========== 检测到异常群发邮件账号 ==========")

       for info in res:

           print(f"账号：{info['account']} 发送数量：{info['send_count']} 外部收件占比：{info['outer_rate']} 风险：{info['alert']}")

   else:

       print("未检测到异常群发行为")

3.4 钓鱼邮件内容与恶意附件检测代码

针对攻击者伪造的钓鱼邮件、带毒附件，编写邮件内容特征检测脚本，识别恶意链接、高危附件格式，部署在邮件网关实现前置拦截。

3.4.1 邮件正文恶意 URL 检测代码

import re

from urllib.parse import unquote

# 高危钓鱼关键词与风险域名后缀

PHISH_KEY_WORDS = ["账户验证", "紧急通知", "文件下载", "点击确认"]

RISK_SUFFIX = {"xyz", "top", "club", "site", "online"}

# 匹配URL的正则表达式

URL_PATTERN = re.compile(r"http[s]?://(?:[a-zA-Z]|[0-9]|[$-_@.&+]|[!*\\(\\),]|(?:%[0-9a-fA-F]{2}))+")

def decode_url(url):

   """多层URL解码，还原混淆链接真实地址"""

   decode_times = 3

   real_url = url

   for _ in range(decode_times):

       real_url = unquote(real_url)

   return real_url

def check_mail_content(mail_title, mail_body):

   """检测邮件标题、正文的恶意链接与敏感关键词"""

   risk_level = "正常"

   risk_msg = []

   # 检测敏感关键词

   all_content = mail_title + mail_body

   for key in PHISH_KEY_WORDS:

       if key in all_content:

           risk_level = "预警"

           risk_msg.append(f"内容包含高危诱导关键词：{key}")

   # 提取并检测URL

   url_list = URL_PATTERN.findall(mail_body)

   for url in url_list:

       real_url = decode_url(url)

       # 提取域名后缀

       suffix = real_url.split(".")[-1].lower()

       if suffix in RISK_SUFFIX:

           risk_level = "高危"

           risk_msg.append(f"发现恶意后缀链接：{real_url}")

   return {"risk_level": risk_level, "risk_detail": risk_msg}

# 测试

if __name__ == "__main__":

   title = "紧急工作通知"

   body = "请点击链接完成账户验证：https://xxx.xyz/verify"

   result = check_mail_content(title, body)

   print(f"风险等级：{result['risk_level']}")

   for msg in result["risk_detail"]:

       print(f"风险详情：{msg}")

3.4.2 高危附件格式检测代码

def check_attachment(file_name):

   """检测邮件附件是否为高危格式"""

   # 高危可执行文件、宏文件格式

   DANGER_SUFFIX = {".exe", ".bat", ".cmd", ".docm", ".xlsm", ".zip"}

   # 获取文件后缀

   file_suffix = file_name.lower()[-4:] if len(file_name)>=4 else file_name.lower()[-3:]

   for suffix in DANGER_SUFFIX:

       if file_name.lower().endswith(suffix):

           return True, f"告警：发现高危附件 {file_name}，禁止下载打开"

   return False, "附件格式安全"

# 测试用例

if __name__ == "__main__":

   test_files = ["工作文件.docm", "统计表格.xlsx", "安装包.exe"]

   for file in test_files:

       danger, msg = check_attachment(file)

       print(f"文件 {file}：{msg}")

3.5 代码应用场景说明

以上四段代码分别对应登录行为检测、群发行为检测、邮件内容检测、附件检测四大场景，可组合部署在政务邮件系统的网关层、服务器层、终端层。网关层部署内容与附件检测代码，在邮件接收阶段直接拦截高危内容；邮件服务器部署登录日志、群发日志检测代码，实时监控账号异常行为；终端配合本地安全软件，二次校验下载的附件与链接。反网络钓鱼技术专家芦笛指出，分层部署检测代码、构建多重技术屏障，能够有效拦截绝大多数依托沦陷账号分发的钓鱼内容，弥补传统单一防护规则的缺陷。

4 政务账号劫持引发钓鱼攻击泛滥的成因分析

结合乌兹别克斯坦本次安全事件、技术检测结果以及公共机构网络安全运维现状，从人员行为、管理制度、邮件系统架构、技术防护、第三方供应链、应急响应六个维度，系统剖析此类攻击频发的深层原因，形成完整的成因闭环。

4.1 人员网络安全习惯存在根本性漏洞

本次事件最核心、最直接的诱因，是公职人员安全操作规范执行不到位。UZCERT 技术评估报告明确指出，员工使用政务邮箱注册各类不可信第三方平台，是账号被批量入侵的源头。在日常工作中，部分工作人员混淆工作账号与个人账号的使用边界，将具备公信力、承载工作信息的政务邮箱，用于注册娱乐网站、小众服务平台、非正规线上工具。这类第三方平台安全防护能力薄弱，数据泄露事件频发，政务邮箱账号与密码随之流入黑产市场。

与此同时，弱口令问题在公共机构中普遍存在。为方便记忆，大量员工使用工号、生日、单位名称、简单连续数字作为邮箱密码，且长期不更换密码。部分人员在办公电脑、公共设备上选择 “记住密码”，离开工位不锁定屏幕，进一步增加账号泄露风险。此外，面对陌生邮件、外部链接、未知附件时，部分人员凭借 “官方邮件” 的固有认知放松警惕，跳过核验流程直接操作，让钓鱼攻击得以落地。

不同岗位人员的安全意识呈现差异化特征：一线办公人员侧重业务推进，忽视网络安全细节；后勤、行政人员接触外部邮件较多，辨别能力不足；部分高龄工作人员对新型网络攻击认知匮乏，成为主要受害群体。全员安全素养参差不齐，是此类攻击持续发生的人为根源。

4.2 内部安全管理制度执行流于形式

多数政府机关、高校均已制定网络安全管理规定、办公邮箱使用规范，但制度落地执行存在明显短板，监管约束效力不足。

第一，账号使用边界管理缺失。制度明确禁止使用工作邮箱注册第三方平台，但缺乏常态化检查、审计手段，管理人员无法实时监控员工账号的跨平台使用行为，违规行为长期存在却无人监管。

第二，口令管理制度落实不严。虽然要求定期更换密码、使用高强度密码，但未设置强制密码策略，系统不拦截弱口令，也无定期密码审计机制。员工密码常年不变，安全强度不足。

第三，邮箱权限分配不合理。部分单位存在账号权限过度开放的问题，普通员工邮箱具备大批量对外群发邮件的权限，账号一旦沦陷，可无限制传播钓鱼内容。未根据岗位职能划分邮件发送权限，例如内勤岗位限制外部收件人数量，对外联络岗位做定向权限开放。

第四，日常安全考核与培训机制缺位。网络安全培训多为年度集中宣讲，内容空洞、形式单一，未结合真实钓鱼案例、本地安全事件开展实操培训。同时未将邮箱安全使用、网络操作规范纳入员工日常考核，员工缺乏主动遵守安全规则的动力。

4.3 政务邮件系统架构与原生防护不足

传统政务邮件系统聚焦于通信功能实现，安全防护模块设计滞后，难以应对账号劫持后的链式钓鱼攻击。

一方面，系统安全告警机制不完善。多数邮箱系统仅提供基础的异地登录提醒，告警方式单一（仅站内信提醒），部分员工长期不查看站内通知，账号异常登录后无法第一时间发现。同时，系统缺少批量群发、异常收件、短时间高频发送等行为的专属告警规则，账号沦为钓鱼传播工具后，系统依旧判定为正常工作邮件。

另一方面，日志审计能力薄弱。邮件登录日志、发送日志留存时间短、分类粗糙，且缺乏可视化审计平台。发生安全事件后，运维人员难以快速梳理入侵路径、传播范围、受害账号，事后溯源、取证工作难度极大。此外，部分老旧政务邮件系统未启用 SPF、DKIM、DMARC 等邮件身份验证协议，无法校验邮件真实发件人，伪造邮件、冒用账号的行为难以被识别。

另外，部分公共机构邮件系统未做网络区域隔离，办公邮箱服务器与内部业务系统、涉密系统处于同一网络区间。一旦邮箱账号被劫持、终端被植入木马，攻击者可横向移动，渗透至核心业务区域，扩大安全危害。对比本次 MobiUz 事件中测试服务器与核心架构隔离的防护思路，可见网络分区隔离的重要价值。

4.4 技术防护体系存在短板，攻防对抗滞后

当前公共机构的邮件防护方案，大多停留在基础病毒查杀、关键词拦截、简单附件过滤阶段，防护规则固化，无法适配新型攻击形态。

传统防护依赖静态特征库，仅能拦截已知恶意链接、病毒附件。攻击者模仿官方公文样式伪造邮件内容，使用编码、短链接混淆恶意 URL，利用新型宏病毒、变种木马制作附件，静态特征库无法识别这类未知威胁。同时，防护设备各司其职，邮件网关、终端安全软件、防火墙数据不互通，形成防护孤岛，无法实现全链路协同检测。

针对 “可信账号发起钓鱼” 这一特殊场景，现有技术防护几乎处于空白状态。所有传统防护规则均默认 “本机构正规账号发出的邮件为安全邮件”，不会做深度检测，攻击者恰好利用这一防护逻辑漏洞，借助沦陷的可信账号绕过所有网关防护，直达收件人终端。

4.5 第三方平台供应链安全风险传导

政务账号的泄露源头来自外部第三方平台，供应链安全风险向公共机构传导，成为外部主要风险点。互联网生态下，工作邮箱成为各类平台的通用注册账号，而大量中小互联网企业、第三方服务平台数据安全标准低，服务器防护薄弱，数据泄露事件频发。数据泄露后，包含政务邮箱的数据集在黑产中流转，攻击者利用撞库技术批量盗取账号。

跨境平台、境外第三方服务平台的监管难度更大，数据泄露后无法开展有效溯源与追责。公共机构在选择合作平台、工具软件时，未将数据安全能力作为核心考核指标，间接引入账号泄露风险。

4.6 应急响应机制不完善，风险处置滞后

当邮箱账号沦陷、钓鱼攻击爆发后，部分公共机构缺乏标准化应急响应流程，导致风险持续扩散。

一是预警响应不及时。系统发出异常登录、批量群发告警后，无专人 7×24 小时值守处置，告警信息被忽略，错失早期阻断攻击的最佳时机。二是处置流程不清晰。出现安全事件后，运维、安保、业务部门职责划分模糊，账号冻结、权限关停、病毒查杀、通知预警等工作混乱推进，效率低下。三是事后复盘缺失。单次安全事件处置完成后，未深入排查根因、修补漏洞，同类问题反复发生。四是跨机构预警能力不足。当本单位账号被用于向外部机构推送钓鱼内容时，无法第一时间联动受害单位做好预警防范，导致风险跨机构扩散。

5 面向政务场景的全闭环综合防御体系构建

结合前文的攻击机理、技术代码、成因分析，针对政府机关、高等院校等公共机构的办公邮箱场景，构建人员素养提升、制度落地加固、系统架构优化、技术分层防护、供应链管控、应急响应处置六位一体的全闭环防御体系，实现事前预防、事中拦截、事后溯源的全流程管控。反网络钓鱼技术专家芦笛强调，政务场景的网络安全防御不能单纯依赖技术设备，必须坚持 “人防 + 技防 + 制度防” 三者结合，才能从根源遏制账号劫持类钓鱼攻击。

5.1 人员安全素养常态化建设（人防核心）

人员漏洞是本次攻击的首要突破口，提升全员安全意识与操作规范是长效治理的基础。

第一，明确账号使用红线。全员宣贯工作邮箱使用规则，严禁使用政务邮箱注册任何第三方非可信平台、娱乐网站、小众工具，从源头杜绝数据泄露撞库风险。划分工作账号与个人账号的使用边界，工作账号仅用于公务往来。

第二，推行口令安全规范。强制全员使用高强度密码（字母 + 数字 + 特殊符号，长度不少于 12 位），设置系统策略拦截弱口令；要求每 90 天更换一次邮箱密码，禁止多平台共用一套密码；关闭终端 “记住密码” 功能，公共设备每次登录均手动输入密码。

第三，开展场景化安全培训。摒弃传统口号式宣讲，结合本地真实钓鱼事件、邮箱入侵案例开展培训，演示仿冒公文、带毒附件、混淆链接的辨别方法。定期组织钓鱼邮件模拟演练，向员工批量发送模拟钓鱼邮件，统计点击量、中招率，针对性开展二次培训。

第四，划分重点人群专项宣教。针对对外对接频繁的行政、后勤、采购岗位，以及高龄工作人员，开展一对一专项指导，讲解外部邮件核验流程、可疑内容处置方法。

5.2 管理制度落地与常态化审计（制度防核心）

完善管理制度的同时，强化监督、审计、考核机制，让规则从纸面落到实际工作中。

第一，账号权限精细化管理。按照 “最小权限原则” 分配邮箱权限：内勤岗位限制外部收件人数量，禁止批量群发；对外岗位限定可联络的外部机构名单；涉密岗位邮箱关闭外部邮件接收权限。一旦账号出现异常群发，权限规则可自动限制传播范围。

第二，建立账号审计机制。运维部门每周开展邮箱账号审计，核查异地登录、高频发送、跨地区登录等异常行为；每月排查员工邮箱的第三方注册痕迹，及时发现违规使用行为。审计记录纳入员工绩效考核。

第三，落实设备与网络使用制度。禁止在公共网络、境外网络环境下登录政务邮箱；办公电脑必须设置开机密码，离开工位自动锁屏；禁止外接不明移动存储设备，降低终端中毒风险。

第四，建立安全责任体系。实行 “谁使用、谁负责” 的邮箱安全责任制，账号出现违规使用、被入侵滥用等问题，追究岗位人员与部门管理人员责任，强化全员责任意识。

5.3 政务邮件系统架构安全优化（系统加固）

对老旧邮件系统进行架构升级、安全模块补强，修复原生防护漏洞。

第一，启用标准邮件身份验证协议。全面部署 SPF、DKIM、DMARC 协议，校验邮件真实发件人，拦截账号冒用、邮件伪造行为，从协议层面防范仿冒邮件。

第二，优化告警与日志系统。丰富系统告警规则，除异地登录外，新增短时间批量群发、外部收件突增、频繁更换绑定手机号等异常行为告警；升级日志系统，延长日志留存时长（不少于 6 个月），搭建可视化日志审计平台，支持快速溯源取证。

第三，网络区域分区隔离。按照业务涉密等级划分网络区域，邮件服务器单独划分至安全区域，与涉密业务系统、核心办公系统做逻辑隔离。即使邮箱被入侵，也能阻止攻击者横向渗透至核心区域，参考 MobiUz 的隔离防护经验。

第四，强制开启多因素认证。为所有政务邮箱账号开启密码 + 手机验证码双因素认证，无论内网、外网登录，均需要二次验证。即便账号密码泄露，攻击者也无法完成登录，从根本上抵御撞库、暴力破解入侵。这也是 UZCERT 对所有公共部门提出的核心防护要求。

5.4 分层式技术防护体系部署（技防核心）

结合前文编写的检测代码，搭建网关层、服务器层、终端层三层技术防护体系，层层拦截恶意攻击。

网关层：部署邮件安全网关，集成前文的附件检测、URL 解码检测、内容关键词检测代码，在邮件进入内部网络前，拦截高危附件、混淆恶意链接、高风险邮件。定期更新风险域名库、恶意关键词库，提升对新型钓鱼内容的识别能力。

服务器层：部署登录行为、群发行为检测脚本，实时监控邮箱账号登录 IP、发送行为，发现异地登录、批量群发立即冻结账号、发出告警。服务器层作为第二道防线，拦截已经绕过网关的内部异常账号行为。

终端层：每台办公终端部署终端安全软件，开启宏病毒拦截、可执行文件查杀、网页链接检测功能。员工下载附件、点击链接时，终端完成最后一道安全校验，阻止恶意程序运行。

三层技术体系数据互通，网关、服务器、终端的风险数据同步共享，打破防护孤岛，形成协同检测、联动拦截的技术能力。

5.5 第三方平台与供应链安全管控

斩断外部数据泄露的风险传导链条，强化第三方合作平台的安全审核。

第一，筛选合规合作平台。单位采购第三方线上服务、办公工具时，将数据安全能力、隐私保护资质、过往数据泄露记录作为核心考核指标，拒绝与安全资质不足的平台合作。

第二，管控外部注册行为。通过技术手段监测工作邮箱的外部注册行为，一旦发现员工使用政务邮箱注册陌生第三方平台，及时弹窗提醒、记录违规行为。

第三，建立泄露数据监测机制。利用网络威胁情报，监测黑产数据流中是否出现本单位政务邮箱账号，提前预警账号泄露风险，做到提前处置。

5.6 标准化应急响应体系建设

制定邮件安全事件专项应急预案，明确处置流程、岗位职责，实现攻击发生后快速阻断、降低损失。

第一，7×24 小时告警值守。安排专人轮班监控邮件系统各类告警信息，异常登录、批量群发告警触发后，5 分钟内完成核查，确认账号沦陷立即冻结账号、关停发送权限。

第二，分级处置流程。一般风险（单账号异常）：冻结账号、修改密码、查杀终端病毒、约谈当事人；重大风险（多账号沦陷、大规模传播钓鱼邮件）：全网关停邮件发送权限、内部全员预警、联系外部受害机构做好防范、上报上级网络安全部门。

第三，事后复盘与漏洞修补。每起安全事件处置完成后，组织技术、管理、人员三方复盘，定位根因，修补系统漏洞、管理漏洞、人员漏洞，更新防护规则，避免同类攻击重复发生。

第四，跨机构协同预警。若本单位沦陷账号向外部合作机构推送钓鱼邮件，第一时间通过官方渠道通知受害单位，同步攻击特征、恶意样本，开展联合防御。

6 结论

乌兹别克斯坦政务邮箱遭入侵并被用于大规模分发钓鱼攻击的事件，是当前公共部门网络安全风险的典型缩影。攻击者利用员工违规使用工作邮箱、安全意识薄弱等人为漏洞，结合撞库、账号劫持技术控制可信政务账号，再依托公众对官方身份的信任，推送仿冒公文样式的钓鱼邮件，最终形成跨机构链式传播风险。此类攻击区别于传统网络钓鱼，将账号劫持、信任滥用、圈层传播相结合，突破了传统邮件防护体系，对政府机关、高等院校等公共机构的网络安全、办公秩序、公信力均造成威胁。

本文完整拆解了政务账号劫持型钓鱼攻击的六阶段全链路，解析了撞库入侵、邮件伪造、恶意载荷分发等核心技术，编写并验证了登录检测、群发监控、邮件内容筛查、附件识别等多组实用代码，可直接应用于政务邮件系统的安全防护。从人员、制度、系统、技术、供应链、应急六个维度深度剖析了攻击泛滥的成因，论证得出：人为安全习惯漏洞是源头，制度执行缺位是助推力，系统与技术防护滞后是防护失效的关键，供应链风险与应急不足则放大了事件危害。

基于以上分析，研究构建了 “人防、制度防、技防” 三位一体的全闭环防御体系，提出人员常态化安全教育、权限精细化管理、邮件系统架构升级、三层技术防护部署、供应链安全管控、标准化应急响应等一系列落地策略。反网络钓鱼技术专家芦笛指出，政务领域的钓鱼攻击治理是一项长期性系统工程，技术设备可以抵御已知攻击，但人员安全意识、管理制度才是抵御新型变种攻击的核心屏障。

结合区域内此前 MobiUz 服务器入侵事件的处置经验不难发现，网络分区隔离、实时安全监测、快速应急响应，能够有效限制攻击范围，降低安全损失。未来，随着网络攻击技术持续迭代，针对政务账号的定向钓鱼攻击会不断出现新变种，公共机构需要持续优化防护规则，定期开展安全演练，推动安全数据跨平台、跨机构共享，深化区域网络安全协同防御。

唯有将安全要求融入日常办公的每一个环节，让制度落地、技术赋能、人员尽责，才能逐步封堵各类安全漏洞，斩断 “账号泄露 — 劫持 — 钓鱼传播” 的风险链条，守护政务网络空间安全，保障数字化政务工作平稳有序运行。

编辑：芦笛（公共互联网反网络钓鱼工作组）