在数字化浪潮席卷全球的今天,网络空间已成为继陆、海、空、天之后的“第五疆域”。然而,这片疆域并非净土,潜伏着无数试图窃取身份、资金和数据的“数字猎手”。国际反网络钓鱼工作组(APWG)发布的《2025年第四季度网络钓鱼活动趋势报告》显示,尽管整体攻击数量略有回落,但攻击手段的智能化、隐蔽化和针对性却达到了前所未有的高度。本文将基于最新权威数据,深入剖析当前网络钓鱼的技术细节与演变趋势,并结合真实案例为公众和企业构建一道认知防火墙。
图1 2025年全年报告的钓鱼攻击数量趋势
一、总体态势:数量微降,危机暗涌
2025年第四季度,全球共监测到853,244起独特的网络钓鱼攻击。虽然这一数字较第三季度下降了4%,但这绝非安全的信号。相反,这反映了攻击策略的转变:从“广撒网”式的垃圾邮件轰炸,转向了更精准、更难被传统过滤器拦截的定向钓鱼攻击。
值得注意的是,垃圾邮件活动的数量急剧下降了45%。这并非因为攻击者收手,而是由于现代邮件系统的安全机制日益完善,能够自动拦截并阻止用户转发含有恶意链接的邮件,从而导致上报到公共数据库的数据减少。这意味着,大量攻击在用户感知之前已被拦截,或者采用了更隐蔽的传播渠道,如短信(Smishing)和社交媒体。数据显示,基于短信的欺诈检测量每季度保持30%~40%的增长,攻击者正利用短信绕过企业级邮件过滤,直接触达受害者的私人设备。
图2 2025年第四季度最受攻击的行业领域
二、核心战场:社交媒体与SaaS成为重灾区
2025年的攻击版图发生了显著变化。长期以来被视为安全防线的金融行业虽然仍是目标,但其受攻击比例有所下降。取而代之的是社交媒体和SaaS/Webmail服务,两者各占据了20.3%的攻击份额,并列成为最受攻击的行业。
电信行业的受攻击比例更是从第三季度的5.9%飙升至18.7%。这一趋势的背后,是攻击者对“身份入口”的争夺。社交媒体账号不仅是个人隐私的仓库,更是诈骗亲友、传播恶意软件的跳板;而SaaS和Webmail账号则是企业数据的门户。一旦攻陷,攻击者即可实施“商业电子邮件欺诈”(BEC),造成巨额损失。
根据网络安全公司ZeroFox的监测,2025年社交媒体上的威胁主要由诈骗(52%)和冒充(34%)构成。金融、零售和联邦政府部门是社交媒体威胁的主要受害者,三者合计占所有确认威胁的近70%。攻击者不再仅仅依赖伪造的网页,而是直接在LinkedIn发布虚假招聘信息,或在Meta平台上投放恶意广告,利用用户对平台的信任进行收割。
图3 2025年各社交媒体平台钓鱼事件数量季度环比增长率
三、技术演进:二维码钓鱼与动态规避
在技术层面,二维码钓鱼(Quishing)已成为攻击者规避检测的利器。2025年第四季度,尽管二维码攻击总量环比下降9%,但仍检测到超过65万个恶意二维码。
技术原理解析:
传统的邮件安全网关擅长扫描文本和URL,但难以识别嵌入图片中的二维码内容。攻击者利用这一盲区,将恶意链接生成二维码并嵌入邮件附件或正文中。
动态跳转技术:现代二维码生成器允许攻击者在二维码生成后更改其指向的目标URL。这意味着一个二维码在通过安全检查时指向合法网站(如Google首页),而在用户扫描的瞬间,后台将其切换至钓鱼网站。
多层重定向:攻击者常利用SCAN.PAGE、VIEW.PAGE等新兴域名作为中间层,甚至通过TINYURL.COM等短链接服务再次跳转,极大地增加了追踪和封禁的难度。
时间窗口攻击:报告指出,攻击者特意在“黑色星期五”等购物高峰期发动二维码攻击,利用用户对订单通知和支付确认的高度关注和低警惕性实施攻击。
真实案例映射:
报告中提到,零售巨头沃尔玛(Walmart)是第四季度被冒充次数最多的品牌,占比高达61%。攻击者很可能利用了沃尔玛庞大的物流体系,发送包含二维码的“包裹投递失败”或“退款确认”邮件。用户扫描二维码后,可能被引导至一个高仿的沃尔玛登录页面,输入账号密码后即遭窃。此外,制药巨头阿斯利康(AstraZeneca)也遭遇了大规模冒充,显示出攻击目标已从单纯的消费者向高价值企业品牌蔓延。
图4 2025年社交媒体平台中各行业面临的威胁分布
四、终极杀招:商业电子邮件欺诈(BEC)的升级
如果说普通钓鱼是为了窃取账号,那么商业电子邮件欺诈(BEC)则是为了直接掠夺资金。2025年第四季度,涉及电汇的BEC攻击数量激增了136%。这一增长主要归因于一个名为“Scripted Sparrow”的威胁组织。该团伙成员来自南非、尼日利亚、美国和土耳其,每月发送高达600万封高度定制化的邮件。
攻击手法:他们不再使用粗糙的语法错误邮件,而是精心伪造高管与下属、公司与供应商之间的回复链。例如,他们会先入侵或“网钓”一个看似合法的咨询邮箱,发送关于“高管培训费用”的发票。邮件中包含了真实的过往沟通记录(可能是从公开信息或之前的泄露数据中获取),使得请求显得合情合理。
资金清洗:一旦财务人员受骗汇款,资金会迅速通过Green Dot、SoFi等银行进行清洗。报告显示,27%的资金转移都指向Green Dot旗下的银行账户。
数据警示:
第四季度,BEC攻击中平均单笔电汇请求金额高达50,297美元,且呈上升趋势。礼品卡诈骗依然盛行,占所有BEC变现方式的59%,因其匿名性和难以追回的特性,成为攻击者的首选。
五、防御之道:从技术到意识的全面武装
面对如此狡猾的对手,我们需要构建多层次防御体系:
(一)技术层面
1.部署AI驱动的邮件安全网关:传统规则库无法应对动态变化的二维码和新型域名。必须采用具备图像识别和行为分析能力的AI系统,能够解码邮件中的二维码并实时检测其目标URL的信誉。
2.实施多因素认证(MFA):这是防止账号被盗的最后一道防线。即使密码泄露,没有第二重验证(如硬件密钥、生物识别),攻击者也无法登录。
3.域名监控与品牌保护:企业应持续监控与其品牌相似的域名注册情况,及时发现并取缔仿冒网站。
(二)意识层面
1.“停、想、连”原则:收到任何要求紧急操作、转账或提供敏感信息的请求时,务必停下来思考,通过另一条独立渠道(如电话)核实对方身份。
2.警惕二维码:不要随意扫描来源不明的二维码,尤其是邮件中所附带的。如果必须扫描,确保手机安全软件能预览链接地址并检查域名是否官方。
3.识别BEC特征:财务人员在处理转账请求时,需特别留意发件人邮箱的细微差别(如@company.com与@c0mpany.com),并对任何改变付款流程的要求保持高度怀疑。
结语
回顾2025年第四季度的数据,网络钓鱼的本质并未改变,但攻击的门槛和伪装度已显著提高。攻击者不再依赖广撒网的粗糙邮件,而是转向利用二维码规避检测、在社交媒体上构建虚假信任链,以及通过高度定制的BEC脚本直接针对财务流程。对于普通用户和企业而言,依赖传统的垃圾邮件过滤器已不足以应对当前的威胁。
面对这一现状,最基础的防御措施往往是最有效的:对任何未经允许的转账要求坚持“二次核实”,不随意扫描来源不明的二维码,并在所有关键账户强制开启多因素认证(MFA)。APWG的报告数据清晰地表明,攻击者正在不断测试防御体系的边界,而保持对异常细节的敏感度,依然是阻断攻击链条成本最低、也最有效的手段。
作者:芦笛、曾冲寒 中国互联网络信息中心
数据及案例来源:APWG《2025年第四季度网络钓鱼活动趋势报告》
编辑:芦笛(公共互联网反网络钓鱼工作组)
