2026年春,北京某公司职员王某的平静工作日被一封邮件打破。邮件来自公司内部邮箱,发件人赫然是“人事部门”,主题极具诱惑力——“领取国家补助津贴”。在公司计算机上点击链接后,一个看似官方的“社会保障局官网”页面弹出。未加核实的王某按要求输入了个人信息、银行卡号乃至最关键的验证码,近万元资金随即被盗刷。
这并非个案。根据北京刑侦部门的通报,此类“虚假补贴”类网络钓鱼诈骗近期高发,其背后是一条环环相扣、技术含量颇高的黑色产业链。这起事件为我们敲响了警钟:网络钓鱼攻击已不再是简单的“广撒网”,而是披上了更具迷惑性的“福利”外衣。
网络钓鱼APP应用界面
一、钓鱼攻击链条深度拆解:从木马植入到资金盗刷
这类攻击通常分为三个严密的阶段,每个阶段都利用了特定的技术手段和社会工程学心理。
第一阶段:投递病毒邮件,获取远程控制权
攻击的起点是一封携带木马病毒的邮件。骗子会大量发送主题为“工资单”“税务通知”或“补贴申领”的邮件,邮件附件通常伪装成文档或压缩包。
一旦收件人不慎点击,木马病毒便会悄然植入电脑。这种病毒的核心功能是远程控制,它能让攻击者获取受害者电脑的完全操作权限,如同这台电脑被“遥控”了一般。攻击者可以像操作自己的电脑一样,浏览文件、启动程序,甚至接管已登录的各类办公通讯软件账号,如微信、飞书或企业邮箱。
第二阶段:冒用合法身份,精准投放钓鱼信息
这是整个攻击链条中最关键的一步,也是迷惑性最强的一步。攻击者利用远程控制权限,在员工不在工位的空闲时段,冒用其身份在公司内部群组或向同事发送虚假通知。
这些通知内容紧跟时事热点,如“加班补贴”“高温补贴”“个人所得税退税”或“国家津贴”,并附带一个看似官方的链接或二维码。由于发件人是同事的账号,且内容与工作相关,接收者极易放松警惕,点击链接。这一步,攻击者巧妙地将“广撒网”式的钓鱼升级为“精准垂钓”,利用熟人信任关系绕过了受害者最基本的安全防线。
第三阶段:伪造官方网站,窃取敏感信息
当受害者点击链接或扫描二维码后,会进入一个精心伪造的“官方网站”或APP登录页面。这些页面在视觉上与真实官网几乎一模一样,甚至连网址都可能通过技术手段进行微调,以假乱真。
页面会引导受害者填写身份证号、银行卡号、密码、手机号等敏感信息,声称是为了“身份认证”或“银行验证”。一旦受害者提交,这些信息便会实时传输到攻击者的服务器。攻击者随即利用这些信息,在真实银行系统中进行转账或消费,完成资金盗刷。
二、技术细节透视:钓鱼攻击的“三件套”
为了更深入地理解这类攻击,我们需要了解其背后运用的几个关键技术点。
1. 木马病毒的“无文件”攻击趋势
传统木马通常会留下可被杀毒软件扫描的文件。但现代攻击者越来越多地采用“无文件”攻击技术。他们利用PowerShell等系统自带的脚本工具,在内存中直接执行恶意代码,不向硬盘写入任何文件。这使得攻击极难被传统杀毒软件检测和清除。
2. 钓鱼网站的“URL伪装”技术
为了欺骗受害者,攻击者会使用多种URL伪装技术。一种是“同形异义字符”攻击,例如用小写字母l代替大写字母I,或用数字0代替字母O,构造出与真实网址极其相似的假网址。另一种是利用短链接服务或URL重定向技术,将受害者从一个看似无害的链接引导至最终的钓鱼页面。
3. 会话劫持与Cookie窃取
在王某的案例中,攻击者通过木马病毒接管了同事的办公软件账号。这背后可能涉及“会话劫持”技术。攻击者通过窃取存储在电脑上的登录凭证(如Cookie),直接“继承”了受害者的登录状态,而无需知道其账号密码。这使得他们能以合法用户的身份在内部系统中为所欲为。
冒用账号建群:推送虚假补贴进行网络钓鱼
三、构筑安全防线:个人与企业的共同责任
面对日益狡猾的钓鱼攻击,我们并非无计可施。北京刑侦部门的提示是基础,我们还需在此之上构筑更坚固的防线。
给个人的建议:
严守“三不”原则:绝不点击来路不明的邮件链接,绝不下载来源不明的附件,绝不向任何非官方渠道提供银行卡号、密码和验证码。
养成核实习惯:收到任何涉及资金、补贴、退款的通知,务必通过官方App、官方网站或电话进行二次核实。对于同事账号发来的可疑链接,应直接通过其他方式(如电话、当面)确认。
保持软件更新:及时更新操作系统、浏览器和杀毒软件,修补已知的安全漏洞,是抵御木马病毒的基础。
给企业的建议:
部署高级安全防护:除了基础防火墙,企业应部署具备行为分析、沙箱检测能力的高级威胁防护系统,以识别和拦截无文件攻击等新型威胁。
实施“最小权限”原则:严格管理内部账号权限,确保员工只能访问其工作必需的系统和数据。即使一个账号被攻破,也能有效限制攻击者的横向移动。
开展常态化安全意识培训:定期组织员工进行网络安全演练,模拟钓鱼邮件攻击,提高全员识别和防范钓鱼邮件的能力。安全意识,是企业网络安全的最后一道防线,也是最重要的一道防线。
结语
网络空间的风险无处不在,但只要我们了解其运作方式,保持警惕,并采取正确的防护措施,就能有效保护自己的信息安全。记住,天上不会掉馅饼,任何要求你提供敏感信息的“福利”,背后都可能隐藏着陷阱。
案例来源:北京反诈公众号
作者:芦笛、曾冲寒 中国互联网络信息中心
编辑:芦笛(公共互联网反网络钓鱼工作组)
