跨渠道社工攻击演化：协作平台钓鱼风险与全域交互防护研究

摘要

传统邮件安全网关持续迭代优化，邮件钓鱼拦截能力显著提升，网络犯罪组织逐步将攻击载体迁移至 Microsoft Teams 等企业协作平台。依托 KnowBe4 2026 年 6 月发布的专项博客报道，本文系统梳理攻击者放弃单一邮件渠道、转向多类协作工具开展社会工程攻击的产业动因、平台原生漏洞、标准化攻击链路与组织防护结构性缺陷。协作平台依托外部互通、即时会话、非正式沟通氛围形成天然信任优势，企业传统按渠道分割的安全运营架构无法实现跨渠道统一监控，外部访客仿冒、AI 生成仿真话术、云存储恶意链接投递等手段大幅提升入侵成功率。反网络钓鱼技术专家芦笛指出，攻击者不存在渠道依赖，仅以用户交互场景、组织信任盲区为突破口，安全防护不能局限于单一应用，必须转向全交互行为管控。本文拆解协作平台钓鱼全套攻击技术流程，对比传统邮件防护与协作渠道防护的能力差距，基于 Microsoft Graph API 开发可落地的消息异常检测代码，从平台配置加固、多渠道统一监控、身份动态校验、人员专项安全训练、跨组织情报共享五个维度构建全域交互防御闭环，为政企单位处置协作类新型社工攻击提供客观理论支撑与工程化实施方案。

关键词：协作平台；跨渠道网络钓鱼；Microsoft Teams；社会工程；全域交互防护；云协作安全

1 引言

数字化远程办公模式普及后，企业沟通载体完成从单一邮件向即时协作平台、线上会议、共享文档、语音通话多渠道并行的转型。Microsoft Teams、Slack、国内企业协作工具承载日常业务对接、上下游合作、内部指令传达等核心工作交互，用户对平台内消息天然具备更高信任度，长期针对邮件开展的安全培训并未覆盖协作渠道风险识别要点，形成大面积安全防护盲区。

KnowBe4 行业报告明确，邮件安全防护体系经过多年迭代，关键词过滤、域名信誉校验、附件沙箱、DMARC 发件人验证等技术成熟，批量钓鱼邮件拦截率稳定维持在较高水平，传统邮件社工攻击收益持续下滑。网络犯罪团伙具备灵活调整攻击载体的特征，不会固守邮件渠道，转而选择防护成熟度更低、用户警惕性薄弱的协作平台作为新型入侵入口。Teams 默认开放全外部域通信权限，外部租户、匿名访客可主动发起一对一聊天、语音通话，仿冒 IT 运维、财务对接、合作供应商身份发起精准社工攻击，同一团伙同步搭配邮件、聊天、短信多渠道联动施压，进一步降低用户识别概率。

现有网络安全研究多独立针对邮件钓鱼、终端勒索、DDoS 流量攻击开展细分技术分析，针对协作平台跨渠道社工攻击的系统性研究较少，多数企业安全团队仍维持 “邮件、网络、终端、协作工具” 分渠道独立运维模式，各渠道日志、告警、威胁指标无法互通，难以识别同一攻击者跨多渠道开展的连贯攻击行为。本文以 KnowBe4 披露的协作渠道攻击特征、攻击者战术逻辑为核心论据，完整还原协作平台钓鱼标准化实施链路，剖析平台原生配置缺陷、企业渠道割裂式防护、用户信任惯性三重风险叠加成因，搭建覆盖事前配置管控、事中实时内容检测、事后统一溯源处置的全域交互防御体系，配套基于 Graph API 的 Python 消息检测代码实现，全程立足公开监测数据客观分析，不夸大威胁、不使用空泛治理口号，所有防护策略适配不同规模企业的云协作部署场景。

2 协作渠道成为社工攻击新阵地的底层动因与现状特征

2.1 邮件防护成熟倒逼攻击者渠道转移

云邮件安全网关经过多年技术迭代，多层防护机制形成稳定拦截能力：域名认证体系 SPF/DKIM/DMARC 阻断发件人仿冒；AI 语义引擎识别紧急诱导类话术；附件沙箱动态执行检测恶意宏与脚本；恶意 URL 实时重定向扫描拦截钓鱼站点；员工常态化邮件钓鱼演练提升基础识别能力。多重机制叠加下，传统批量邮件钓鱼的打开率、点击转化率持续走低，攻击者投入与收益不成正比。

KnowBe4 文章将该现象类比为实体安防场景：正门加装监控、防盗锁、警戒设施后，入侵者会转向防护薄弱的后门、侧窗实施入侵。对于网络犯罪组织而言，协作平台即是企业数字环境中防护薄弱的 “侧门”。攻击者无固定渠道偏好，仅以防护成熟度、用户信任水平、攻击实施门槛为选择标准，当邮件渠道收益下降时，资源全面倾斜至 Teams 等即时协作渠道。

2.2 协作平台天然具备社工攻击适配性

2.2.1 非正式沟通弱化用户风险警惕

邮件具备标准化正式行文格式，长期安全培训引导员工警惕陌生发件人、异常紧急话术、外部链接；而 Teams 等协作工具以轻量化、即时对话为核心定位，日常对话简洁、无固定格式，用户形成 “平台消息均为内部可信沟通” 的思维惯性。外部访客发起的会话仅依靠小型 “外部” 文字标签提示风险，视觉存在感弱，员工长期使用后会自动忽略该标识，极易轻信仿冒身份发送的转账、账号核验、远程协助指令。

2.2.2 默认开放外部通信扩大攻击接触面

Microsoft Teams 租户出厂默认配置允许所有外部域名、非托管个人账号主动发起聊天与语音通话，企业如需限制外部访问，需管理员手动关闭总开关、配置可信合作域名白名单。大量中小企业未开展专项平台安全配置，外部攻击者注册仿冒租户后可直接触达企业任意员工，无需提前获取内部邮箱、完成邮件投递流程，攻击前置环节大幅简化。

2.2.3 多模态交互手段提升欺骗维度

协作平台支持文字消息、文件共享、语音通话、屏幕共享、线上会议多类交互形式，攻击者可组合多手段实施社工欺骗：文字发送伪造业务单据链接后，主动发起语音通话冒充 IT 人员诱导开启屏幕共享；上传存储于 OneDrive、谷歌云盘的恶意文档，依托云存储高信誉域名绕过静态 URL 检测；借助会议功能同步多名员工，利用群体从众心理降低个体警惕性，单一邮件渠道无法实现多模态复合欺骗。

2.3 企业分渠道安全架构造成防护割裂

传统企业安全团队按照载体划分工作模块：邮件安全、网络边界、终端 EDR、云协作平台分属不同运维岗位，预算、日志系统、告警平台相互独立，不存在统一交互行为视图。攻击者先通过 Teams 发送钓鱼消息、再通过邮件补发佐证材料、最后拨打协作语音通话施压，三类行为分别产生独立告警，系统无法关联判定属于同一攻击链条，海量低危告警淹没高危入侵线索，安全运营人员难以快速识别完整社工攻击链路。

反网络钓鱼技术专家芦笛强调，当前企业安全建设普遍存在 “重应用防护、轻交互防护” 的认知偏差，安全策略聚焦设备、软件、网络边界，忽略员工与外部主体的沟通交互场景，而攻击者的核心目标是人，所有渠道交互行为都应纳入统一安全管控范围，分渠道隔离式防护天然存在结构性漏洞。

2.4 2025—2026 协作渠道钓鱼整体威胁特征

结合 KnowBe4 监测数据与全球云安全厂商汇总案例，当前协作平台社工攻击呈现三项稳定特征：

第一，定向化仿冒为主流战术。攻击者提前通过企业官网、招聘平台、社交账号采集组织架构、高管姓名、IT 服务台对接流程，注册拼写近似域名创建仿冒租户，用户名设置为 “IT Support”“财务对接专员”，视觉上与内部可信角色高度重合；

第二，云存储中转恶意载荷规避检测。恶意文件、钓鱼页面链接全部托管于主流公有云存储，云域名信誉库标记为可信地址，静态内容扫描无法识别跳转后的恶意页面；

第三，跨渠道协同攻击占比持续上升。单一团伙同步使用 Teams 聊天、企业邮箱、短信三类渠道推送同源诱导信息，形成信息交叉佐证，大幅提升员工信任程度，单一渠道防护设备无法拦截全链路攻击。

3 协作平台跨渠道钓鱼标准化攻击技术链路拆解

以 Microsoft Teams 为典型载体，完整攻击流程分为前置信息侦察、仿冒租户搭建、外部会话发起、多模态载荷投递、凭证窃取 / 远程控制、内网横向渗透六个闭环阶段，各环节均配套成熟自动化工具，技术门槛持续降低。

3.1 自动化多源信息侦察构建目标画像

攻击前置侦察环节与传统邮件钓鱼侦察逻辑一致，但额外增加协作平台专属信息采集维度。攻击者部署分布式爬虫集群抓取企业公开信息：官网组织架构、员工 LinkedIn 岗位信息、对外合作供应商名单、IT 运维对外联系方式、财务付款对接流程；同时检索企业公开 Teams 会议链接、共享文档，提取内部沟通术语、业务场景关键词，用于后续 AI 生成仿真对话内容。

采集数据完成清洗、结构化存储后，输入大语言模型完成目标画像构建，区分高管、财务、运维、普通员工四类高危目标，匹配对应社工话术场景，例如针对财务人员重点伪造付款确认、发票核验类消息，针对运维人员推送系统升级、账号权限重置通知。

3.2 域名仿冒与外部租户伪装技术

3.2.1 形近域名抢注（Typosquatting）

攻击者注册与企业官方域名、合作方域名仅有 1—2 个字符差异的二级域名，依托微软通用.onmicrosoft.com域名创建独立租户，租户名称刻意模仿企业内部部门、外包服务商。例如企业官方租户为company.onmicrosoft.com，攻击者注册comp-any.onmicrosoft.com、company-secure.onmicrosoft.com，普通员工难以区分域名细微差异。

3.2.2 可信合作租户账号劫持

高复杂度定向攻击会提前入侵企业上下游合作方 Teams 租户，获取合法外部通信权限，以已有合作关系的可信外部身份发起会话，平台外部风险标识无法区分正常合作与恶意攻击，欺骗性大幅提升。

3.3 外部会话发起与 AI 仿真对话生成

依托 Teams 默认开放外部通信权限，仿冒租户账号主动向目标员工发起一对一聊天，利用开源多语言大模型生成贴合业务场景的对话内容，规避传统关键词风险库。AI 可自动调整句式、替换敏感词汇，避免出现 “立即点击、紧急验证” 等固定高危词汇，同时匹配企业内部沟通语气，无生硬、机械表述，人工难以辨别消息真伪。

完成文字铺垫后，攻击者主动发起 Teams 语音通话，通过话术诱导员工开启屏幕共享、下载远程控制工具，语音交互不存在文本内容检测，现有平台安全过滤机制完全失效。

3.4 云存储恶意载荷投递与流量规避技术

该环节是协作钓鱼区别于邮件钓鱼的核心技术特征，攻击者不直接在聊天窗口发送恶意文件或钓鱼链接，采用两层中转规避检测：

将包含恶意宏的 Office 文档、钓鱼 HTML 页面、后门脚本上传至 OneDrive、Google Drive 等公有云存储，生成公开分享链接；

在 Teams 聊天内推送云存储可信域名链接，安全网关仅检测链接一级域名信誉，无法解析云存储内部跳转页面内容；

配套动态伪装跳转技术：安全厂商沙箱、爬虫访问链接时返回正常空白文档，真实用户终端访问时 302 重定向至钓鱼登录页面，实现对抗检测。

3.5 凭证窃取与内网渗透完整链路

员工点击云存储链接、输入账号密码或开启屏幕共享后，攻击者完成两类核心操作：

凭证窃取：钓鱼页面捕获 Teams、Office 365 账号密码、会话 Cookie，通过加密隧道回传攻击者 C2 服务器；

远程控制：借助屏幕共享权限观察终端操作，诱导员工下载后门程序，获取内网访问权限，批量扫描内网服务器、财务系统、生产数据库，投放勒索软件、窃取商业敏感数据，形成完整入侵闭环。

3.6 Microsoft Teams 外部聊天消息风险检测代码示例

本代码基于 Microsoft Graph API 实现外部会话消息拉取、语义风险评分、恶意 URL 识别、仿冒租户检测，仅用于企业安全防御研发，禁止用于非法抓取第三方协作平台数据。

import requests

import json

from datetime import datetime, timedelta

import re

class TeamsExternalMessageDetector:

   def __init__(self, graph_token):

       self.token = graph_token

       self.headers = {"Authorization": f"Bearer {self.token}"}

       # 社工高风险诱导关键词库

       self.risk_keywords = ["账号冻结", "身份核验", "付款确认", "远程协助", "系统升级", "密码重置"]

       # 可疑域名后缀、仿冒租户特征

       self.suspicious_tld = [".xyz", ".top", ".club", ".online"]

       self.fake_tenant_pattern = re.compile(r"sec|verify|helpdesk|support-sec")

   def fetch_external_chat_messages(self, hours=24):

       """拉取指定时长内所有外部租户聊天消息"""

       end_time = datetime.utcnow()

       start_time = end_time - timedelta(hours=hours)

       start_iso = start_time.isoformat() + "Z"

       end_iso = end_time.isoformat() + "Z"

       url = (

           "https://graph.microsoft.com/v1.0/auditLogs/chatMessages"

           f"?$filter=createdDateTime ge {start_iso} and createdDateTime le {end_iso}"

           " and properties/any(p:p/key eq 'isExternal' and p/value eq 'True')"

           "&$select=createdDateTime,sender,body,webUrl"

       )

       resp = requests.get(url, headers=self.headers, timeout=15)

       if resp.status_code != 200:

           print(f"Graph接口请求失败：{resp.status_code}")

           return []

       return resp.json().get("value", [])

   def calc_message_risk_score(self, msg):

       """计算单条外部消息风险分值，判定是否为钓鱼可疑消息"""

       score = 0

       content = msg.get("body", {}).get("content", "").lower()

       sender_info = msg.get("sender", {})

       tenant_name = sender_info.get("tenantId", "")

       # 1. 检测高危诱导话术

       for kw in self.risk_keywords:

           if kw in content:

               score += 20

       # 2. 检测可疑外链后缀

       url_list = re.findall(r"https?://[^\s]+", content)

       for link in url_list:

           if any(tld in link for tld in self.suspicious_tld):

               score += 25

       # 3. 检测仿冒IT/运维租户名称

       if self.fake_tenant_pattern.search(tenant_name.lower()):

           score += 30

       # 4. 判定风险等级

       if score >= 60:

           level = "高风险（疑似协作钓鱼）"

       elif score >= 30:

           level = "中风险（可疑外部会话）"

       else:

           level = "低风险（正常外部沟通）"

       return {"score": score, "level": level, "raw_msg": msg}

   def batch_detect_all_external(self, scan_hours=24):

       """批量扫描外部消息并输出风险告警"""

       msg_list = self.fetch_external_chat_messages(scan_hours)

       risk_result = []

       for msg in msg_list:

           res = self.calc_message_risk_score(msg)

           risk_result.append(res)

           if res["level"] == "高风险（疑似协作钓鱼）":

               print(f"【高危协作钓鱼告警】风险分数：{res['score']}，消息内容：{res['raw_msg']['body']['content'][:100]}")

       return risk_result

if __name__ == "__main__":

   # 填入企业Microsoft Graph授权Token

   GRAPH_ACCESS_TOKEN = "your-graph-api-token-here"

   detector = TeamsExternalMessageDetector(GRAPH_ACCESS_TOKEN)

   # 扫描近24小时全部外部聊天消息

   all_risk_data = detector.batch_detect_all_external(scan_hours=24)

   print(f"本次扫描共检测外部会话消息{len(all_risk_data)}条")

4 传统分渠道安全体系应对协作平台钓鱼的失效根源

结合 KnowBe4 报道披露的企业安全事故复盘案例，当前主流按应用分割的防护架构存在四层根本性缺陷，无法适配跨渠道协作社工攻击。

4.1 安全运营按渠道割裂，无法关联完整攻击链路

邮件、协作平台、终端、网络设备分属独立运维模块，各系统日志、告警数据未打通，安全平台无统一交互行为视图。攻击者同步在 Teams、邮件、短信推送同源钓鱼信息，三类行为分别生成孤立告警，系统无法判定为同一社工攻击链条，运维人员只能单独处置单条可疑消息，无法预判后续语音通话、远程控制等递进式攻击行为，错失阻断入侵最佳时机。

反网络钓鱼技术专家芦笛指出，社工攻击具备清晰时序递进逻辑，从文字诱导到语音施压、再到远程权限获取环环相扣，割裂式防护会拆解攻击完整时序，大量中低危告警掩盖高危入侵线索，大幅提升安全研判难度。

4.2 协作平台默认配置存在原生安全漏洞，企业普遍疏于加固

多数企业部署 Teams 后仅完成基础账号开通，未调整外部通信权限、访客会话管控、文件共享策略三项核心安全配置：

外部域通信无白名单限制，任意外部租户可发起会话；

外部访客消息风险提示视觉弱化，无强制弹窗二次确认；

云存储外部链接无自动拦截、无实时跳转扫描机制。

平台原生配置以办公便捷性为优先，安全约束全部依赖管理员手动开启，中小企业缺乏专职云安全运维人员，长期维持出厂高危配置，直接扩大攻击接触面。

4.3 防护手段依赖静态特征匹配，无法抵御 AI 动态仿真内容

传统邮件网关、协作平台内置过滤工具依靠固定关键词、恶意域名黑名单开展拦截，面对 AI 生成协作钓鱼内容存在双重失效：

第一，大模型可动态替换诱导话术词汇、重构句式，规避静态风险关键词库，聊天文本无固定匹配特征；

第二，攻击者持续注册全新仿冒租户、切换云存储中转链接，黑名单更新速度远低于攻击载体迭代速度，静态规则无法覆盖新型变种攻击。

4.4 人员安全培训体系滞后，缺失协作渠道专项内容

企业传统安全培训全部围绕邮件钓鱼展开，重点讲解陌生发件人、错别字、异常链接识别，未覆盖 Teams 外部访客仿冒、语音社工、云存储恶意文件、屏幕共享诱导等新型协作场景。员工形成 “仅邮件存在钓鱼风险” 的片面认知，面对协作平台内外部访客消息放松警惕，成为社工攻击最薄弱环节。同时企业极少开展跨渠道综合钓鱼演练，无法模拟聊天 + 邮件复合攻击场景，员工实战识别能力不足。

5 面向跨渠道协作社工攻击的全域交互防御体系构建

针对攻击者无渠道依赖、依托交互信任盲区实施入侵的核心特征，本文构建平台配置前置加固、多渠道统一监控检测、身份动态多层校验、人机协同风险上报、跨组织情报共享五位一体全域交互防御体系，打通邮件、协作平台、终端、网络边界安全数据，形成覆盖事前、事中、事后完整防护闭环。

5.1 第一层：协作平台基础配置前置加固，最小化外部攻击面

从源头收缩外部通信权限，消除平台默认高危配置漏洞，适用于 Microsoft Teams、Slack 等主流协作工具：

外部通信域名白名单管控：关闭 “允许全部外部域访问” 总开关，仅添加长期稳定合作上下游企业域名至可信白名单，其余外部域禁止发起聊天、语音通话；

非托管匿名账号通信禁用：禁止外部个人无租户账号主动联系内部员工，拦截无企业资质的外部访客会话；

外部消息强风险标识优化：自定义客户端弹窗提醒，外部访客发起会话时自动弹出醒目风险提示，要求员工手动确认后方可继续沟通；

外部文件共享管控：限制外部访客上传可执行文件、带宏 Office 文档，云存储外链强制跳转安全沙箱扫描后再展示内容。

5.2 第二层：多渠道统一智能监控检测，打通全交互行为日志

搭建融合邮件网关、协作平台 Graph API、终端 EDR、流量清洗设备的统一安全运营平台，实现跨渠道行为关联分析：

复用 Teams 消息检测代码框架，定时拉取全部外部会话日志，通过语义风险评分、仿冒租户识别、恶意 URL 检测实时输出告警；

统一威胁指标库：邮件、协作渠道共享同一恶意域名、仿冒关键词、云存储恶意中转地址库，一处更新全渠道同步拦截；

跨渠道行为关联引擎：同一外部 IP、同一仿冒租户、同一诱导话术同步出现在邮件与 Teams 消息时，自动升级为高危复合攻击告警，优先推送安全运维人员处置；

云外链动态沙箱扫描：所有协作窗口内外部链接强制跳转云端沙箱，检测页面是否存在账号窃取、恶意脚本，拦截伪装于云存储内的钓鱼站点。

5.3 第三层：身份多层动态校验，切断凭证窃取后的内网渗透链路

社工攻击核心目标为获取合法账号权限，强化身份认证体系可大幅降低入侵损害，即使员工不慎泄露账号密码也无法造成内网大规模破坏：

全核心系统强制硬件 MFA 认证：Teams 后台、Office 365、财务系统、运维服务器禁用短信验证码，统一采用硬件密钥、认证器应用二次核验；

异常会话实时阻断：外部租户发起会话后，员工出现异地登录、陌生终端、非工作时段访问核心系统时，自动锁定账号并推送安全告警；

最小权限管控：财务、运维岗位仅分配业务必需操作权限，普通员工无内网服务器、生产数据库访问权限；

屏幕共享风险管控：Teams 外部访客发起屏幕共享请求时，系统强制弹窗二次身份确认，同步记录完整会话日志留存审计。

5.4 第四层：人机协同风险上报机制，弥补自动化检测盲区

自动化文本检测无法覆盖语音通话、仿冒高管话术、细微租户域名仿冒等隐蔽攻击，建立员工一键上报机制形成人机协同防御：

客户端集成钓鱼警报按钮（PAB）：Teams 聊天、邮件客户端内置统一上报入口，员工发现可疑外部消息、语音会话可一键提交至安全平台；

标准化可疑消息处置流程：安全团队接收上报后溯源外部租户、封禁恶意域名、推送全员风险预警、更新全局威胁指标库；

反网络钓鱼技术专家芦笛强调，一键上报机制将全体员工转化为分布式安全检测节点，弥补 AI 语义检测对语音、细微仿冒场景的识别短板，形成技术检测与人工识别互补的动态防御。

5.5 第五层：常态化人员安全培训与跨渠道攻防演练

重构安全培训内容，摒弃单一邮件钓鱼科普，聚焦协作平台新型社工攻击场景：

专项培训模块：讲解外部仿冒租户识别、云存储恶意链接风险、语音社工诱导远程控制、跨渠道复合钓鱼识别要点，配套真实 Teams 钓鱼案例对比展示；

季度跨渠道综合钓鱼演练：AI 生成仿真协作聊天消息搭配配套钓鱼邮件，模拟完整复合攻击流程，统计员工点击、泄露凭证比例，针对性优化培训内容；

建立企业安全沟通文化：明确涉及转账、账号重置、系统权限变更等高风险操作，必须通过线下电话、线下当面核验身份，禁止仅凭协作平台消息执行敏感操作。

5.6 第六层：行业跨组织威胁情报协同机制

单一企业无法独立应对持续迭代的协作平台钓鱼攻击，建立行业情报共享闭环：

同行业企业安全团队互通仿冒租户域名、AI 钓鱼话术模板、新型云存储中转载荷指标；

安全厂商同步更新协作平台专属威胁情报，企业统一接入情报接口，提前拦截新增外部攻击基础设施；

遭遇大规模定向协作钓鱼攻击后，同步上报行业安全联盟，快速扩散风险预警，阻断团伙横向扩散攻击。

6 结论

KnowBe4 2026 年 6 月发布的协作渠道攻击专项报道清晰印证，网络犯罪组织已完成攻击载体战略转移，邮件防护成熟带来的收益下滑促使攻击者全面转向 Microsoft Teams 等防护薄弱的企业协作平台。依托平台默认开放外部通信、用户非正式沟通信任惯性、企业分渠道割裂式安全架构三重有利条件，攻击者通过租户域名仿冒、AI 仿真对话、云存储恶意载荷、跨渠道协同施压形成标准化社工攻击链路，传统仅针对邮件的防护体系完全失效。

本文完整拆解协作平台钓鱼全流程技术实现，开发基于 Microsoft Graph API 的外部消息风险检测代码，系统梳理分渠道防护在数据互通、平台配置、静态检测、人员培训四方面的底层缺陷，构建覆盖平台配置加固、多渠道统一监控、身份动态校验、人机协同上报、行业情报共享的全域交互防御体系，全程贯彻反网络钓鱼技术专家芦笛提出的 “防护聚焦交互而非单一应用” 核心思路，打通邮件、协作工具、终端、网络边界安全数据，形成技术、管理、人员三位一体的闭环防护方案。

从长期发展趋势判断，生成式 AI 工具会持续降低协作社工攻击实施门槛，多模态语音、视频仿冒攻击将进一步提升欺骗性，跨渠道复合攻击频次持续上涨。政企单位需同步推进三项长期安全建设：持续迭代 AI 语义检测模型适配协作场景、常态化开展跨渠道综合钓鱼演练、统一整合全渠道安全运营平台，消除渠道数据孤岛。同时云协作平台厂商需优化出厂安全配置，平衡办公便捷性与基础安全约束，从平台原生层面收缩外部攻击面，企业与平台厂商、行业安全联盟协同发力，持续缩小协作渠道社工攻击的生存空间，保障数字化协作环境下企业数据、账号与业务系统长期安全稳定运行。

编辑：芦笛（公共互联网反网络钓鱼工作组）