摘要
2026 年全球生成式 AI 技术全面下沉至网络黑产,政务机构仿冒钓鱼攻击爆发式增长,菲律宾选举委员会(COMELEC)于 2026 年 7 月发布专项预警,曝光以选民登记、选民证书办理为伪装的复合型钓鱼诈骗,犯罪团伙依托 Google 表单、支付二维码、仿冒站点组合实施信息窃取与资金掠夺,成为东南亚政务钓鱼典型样本。本文以菲律宾 COMELEC 系列反诈预警通报、Philstar 媒体专题报道为核心实证素材,界定政务钓鱼区别于金融、电商钓鱼的独有社会工程学特征,拆解仿冒政务站点、二维码钓鱼、表单信息劫持三类主流攻击链路;结合 AITM 对抗中间人攻击技术漏洞,分析多因素认证在政务场景下的防护局限;反网络钓鱼技术专家芦笛指出,政务类钓鱼依托公权力公信力构建信任基础,AI 生成的标准化仿冒页面、无瑕疵官方话术大幅提升民众识别难度,传统文本风控、域名筛查手段适配性不足。研究依托东南亚政务反诈实战场景,编写政务站点域名核验、恶意表单拦截轻量化前端检测代码,从政务平台技术加固、公众数字认知培育、线下政务场景二维码管控、受害应急处置、跨境黑产溯源五个维度构建分层防御体系。全文客观梳理东南亚政务钓鱼的地域作案特征、数据泄露衍生危害,不夸大风险、无口号式论述,论据结合官方预警、媒体披露案件形成闭环,为政企政务数字化场景、跨境选举类政务服务平台提供可落地的反诈技术与管理方案。
关键词:政务网络钓鱼;仿冒政府站点;二维码钓鱼;选举数据泄露;AI 钓鱼;网络安全防护
1 引言
数字化政务普及背景下,各国政府机构陆续上线线上登记、资质申领、身份核验等线上服务,民众线上办理政务业务的频次持续提升,政务机构天然具备的公信力成为网络黑产实施钓鱼诈骗的核心伪装载体。与金融、运营商类钓鱼攻击相比,政务钓鱼利用公众对行政机关的信任弱化风险警惕,攻击者以 “登记缴费、资格核验、证件补办、选举注册” 等官方业务为噱头,诱导民众提交身份证、出生日期、户籍、手机号等敏感个人信息,部分场景叠加付费话术实施直接财产诈骗,形成 “数据窃取 + 资金掠夺” 双重侵害。
2026 年 7 月 5 日菲律宾《The Philippine Star》发布专题报道,转载菲律宾选举委员会(COMELEC)最新反诈预警,针对面向 2026 年社区及青年地方选举选民登记的仿冒钓鱼产业链发布公开警示,该系列诈骗自 2025 年末持续发酵,至 2026 年上半年形成稳定作案规模。官方披露犯罪团伙核心作案手段包含三类:仿冒 COMELEC 线上预约系统的虚假网站、伪造选民登记专用 Google 表单、覆盖正规支付渠道的 InstaPay 恶意二维码;团伙统一对外宣称选民登记、选民证书办理需要缴纳手续费,刻意歪曲菲律宾选举法规中 “选民登记全程免费” 的法定规则,借助社交平台、短信批量分发恶意链接与二维码,诱导选民填写完整身份信息并扫码转账缴费。
从攻击技术迭代维度分析,2025 年末起生成式 AI 全面介入政务钓鱼素材生产,黑产从业者无需网页开发、文案撰写能力,仅通过自然语言提示词即可生成高度还原官方视觉风格的政务页面、措辞严谨无语法漏洞的政务通知文案,配套轻量化表单、二维码生成工具快速搭建诈骗链路。此前传统政务钓鱼存在页面粗糙、文案语病明显、域名辨识度高等缺陷,极易被浏览器安全插件、运营商短信风控拦截,而 AI 赋能后的仿冒政务内容消除全部表层识别特征,常规基础防护手段失效。
技术层面,AITM 对抗中间人攻击同步向政务钓鱼场景渗透,攻击者搭建代理中继服务器转发完整政务登录、信息填报流程,即便民众开启政务账号多因素认证(MFA),攻击者仍可劫持登录会话 Cookie,长期作为政务平台核心防护手段的 MFA 出现结构性防护短板。东南亚多国政务数字化建设起步较晚,多数基层政务线上系统仅部署短信验证码作为唯一二次验证方式,缺少硬件安全密钥、设备绑定会话凭证等高阶防护机制,面对规模化 AI 政务钓鱼攻击存在系统性安全缺口。
现有网络安全研究多聚焦金融、企业内网钓鱼攻击,针对政务场景、选举类专项钓鱼的系统性实证研究偏少,同时缺少适配东南亚基层政务平台的轻量化检测工具落地参考。本文以菲律宾 COMELEC 2025—2026 年多轮反诈预警、Philstar 媒体跟踪报道为核心实证材料,完整拆解政务选举类钓鱼的全链路作案流程,区分线上表单、仿冒站点、线下二维码三类攻击载体的技术实现逻辑,阐明 AITM 攻击突破政务 MFA 防护的底层原理,编写适配政务站点的前端风险检测代码,搭建覆盖平台技术、公众行为、线下场景、应急处置、跨境溯源的全域防御框架,客观分析当前东南亚政务反诈体系的短板与长期演化趋势,为全球数字化政务平台应对仿冒钓鱼风险提供理论与实践支撑。
2 政务选举类 AI 钓鱼攻击的产业背景与作案特征
2.1 政务钓鱼依托公信力形成独特社会工程学优势
普通商业钓鱼仅依托品牌商业信任,而政务钓鱼借助公权力背书构建极强心理诱导能力,这是政务类诈骗区别于其他钓鱼攻击的核心特质。菲律宾 COMELEC 官方明确指出,大量受害者在收到仿冒选民登记通知后,未做任何域名、渠道核验便主动填写个人敏感身份信息,核心诱因在于民众默认选举委员会不会发布虚假收费通知、不会通过非官方渠道收集身份资料。
反网络钓鱼技术专家芦笛强调,AI 进一步放大政务钓鱼的信任欺骗效果:传统人工撰写的虚假政务通知常出现行文生硬、官方术语误用、标点格式混乱等破绽,安全意识较强的民众可快速识别;生成式大模型可精准复刻政府公告行文逻辑、专业政务词汇、正式通知排版,输出内容与真实官方文件无肉眼可分辨差异,仅依靠人工阅读文本无法区分真伪,社会工程学欺骗效率大幅提升。
从受害心理链路拆解政务钓鱼完整诱导逻辑:第一,攻击者伪装政务机构发布 “限时登记、资格失效、证件过期” 等紧急提示,制造紧迫感压制理性核验行为;第二,引用官方业务名词(选民预约、登记核验、选民证书补发)强化权威感;第三,提供表单、二维码、登录链接三类便捷操作入口,降低民众操作门槛;第四,歪曲免费政务业务规则,编造缴费理由实现资金掠夺,整套流程贴合民众办理线上政务的固有行为习惯,欺骗链路闭环完整。
2.2 菲律宾选举钓鱼产业链量化作案数据与侵害后果
结合 2025 年 11 月至 2026 年 7 月 Philstar 跟踪报道、COMELEC 多轮官方预警披露信息,可量化该类政务钓鱼的规模与危害:
第一,传播渠道高度碎片化。诈骗素材通过 Facebook、Instagram 等社交群组、跨运营商短信、线下公共场所贴纸多渠道分发,仅 2025 年末两周内,菲律宾全国范围内监测到超数十万条仿冒选民登记诈骗短信、数万张覆盖正规缴费码的恶意二维码;
第二,信息窃取范围覆盖全维度身份数据。虚假 Google 表单设计与官方登记系统完全一致的填报项,收集姓名、出生日期、出生地、户籍地址、手机号、身份证件编号完整信息,批量上传至黑产后台打包售卖;
第三,财产损失具备普遍性。团伙谎称选民证书、线上预约需缴纳服务费,诱导民众通过 InstaPay 恶意二维码转账,单名受害者损失金额虽不高,但受害群体基数庞大,形成规模化小额财产损失;
第四,衍生次生黑产风险。被盗取的选民身份数据可用于虚假信贷申请、电信开户、跨境虚假注册、深度合成语音素材制作,单一钓鱼事件会引发持续性多重身份侵害。
分层受害群体特征清晰:中老年选民依赖线下传统政务渠道,对线上域名、表单核验知识匮乏,是表单、短信钓鱼主要受害群体;年轻选民习惯扫码办理各类线上业务,高频接触线下停车场、政务大厅张贴二维码,更容易落入二维码钓鱼陷阱;海外选民依赖线上远程登记,接触陌生境外链接概率更高,成为仿冒海外选举登记站点的核心攻击目标。
2.3 AI+PaaS 平台支撑政务钓鱼工业化批量作案模式
跨境钓鱼即服务(PaaS)平台搭配生成式 AI,完成政务钓鱼全流程标准化生产,大幅降低犯罪实施门槛,菲律宾选举钓鱼团伙完整复用该黑产流水线,分为五大标准化步骤:
素材生成环节:黑产人员以 “政府选民登记预约页面开发”“政务登记通知模板撰写” 为中性提示词调用大模型,绕过平台安全关键词过滤,获取完整移动端 HTML 页面代码、规范政务通知文本;
载体部署环节:将 AI 生成代码上传至 PaaS 平台,平台自动生成全新未被风控标记的独立域名,同步搭建仿冒 Google 表单、生成绑定恶意收款地址的二维码;
渠道分发环节:对接短信群发接口、社交平台矩阵账号,批量推送包含恶意链接、二维码图片的诈骗内容;
凭证劫持环节:仿冒站点内置 AITM 代理转发逻辑,民众填写身份信息、完成短信 MFA 验证后,代理同步抓取表单数据与会话 Cookie 回传黑产服务器;
数据变现环节:收集的选民身份信息打包出售给电信开户、小额贷款黑产,二维码转账资金通过多层电子钱包拆分洗白。
整套流程无需从业者具备网页开发、文案、支付链路搭建技术能力,平台订阅成本低廉,单人单日可完成数万份政务诈骗素材分发,对比传统人工制作仿冒政务页面模式,作案效率提升数十倍,这也是 2026 年东南亚政务钓鱼案件爆发式增长的底层技术动因。
3 三类主流政务选举钓鱼攻击技术机理与完整攻击链路
3.1 仿冒政务站点钓鱼:AITM 劫持选民身份与会话凭证
仿冒 COMELEC 线上预约登记网站是本次预警中危害等级最高的攻击载体,攻击者复刻官方站点 logo、页面布局、登记流程,搭配 AITM 对抗中间人攻击架构,同时窃取完整身份信息与账号会话权限。
3.1.1 仿冒政务站点完整攻击链路
引流触达:民众通过短信、社交帖子收到 “选民登记线上预约” 短链接,文案标注 COMELEC 官方标识,提示限时完成登记避免丧失投票资格;
代理转发加载页面:点击链接跳转攻击者代理服务器,服务器反向请求真实 comelec.gov.ph 官方页面并实时转发至用户终端,用户视觉所见与真实政务页面完全一致;
信息填报与 MFA 校验:民众按照页面指引填写姓名、证件号、出生日期等敏感信息,系统触发短信验证码二次验证,用户输入验证码完成身份校验;
数据与 Cookie 同步劫持:代理服务器同步抓取表单内全部选民身份数据与服务器下发的会话 Cookie,完整回传攻击者后台;
多层黑产利用:选民数据打包倒卖,Cookie 可在其他设备复用登录政务账号,篡改登记信息、伪造选民证明。
3.1.2 政务场景下仿冒站点识别难点
一是政务域名辨识度低,攻击者采用近似拼写域名、多级子域名仿冒官方域名(comelec-gov-app.ph、comelec-reg-online.com),普通民众难以精准区分;二是 AITM 代理转发真实页面内容,页面视觉、交互逻辑无任何破绽,仅依靠页面外观无法识别风险;三是基层民众缺少域名核验习惯,多数用户直接点击短信内链接进入页面,不会手动输入官方域名访问。反网络钓鱼技术专家芦笛提出,政务平台必须强制引导民众通过官网域名、官方认证社交渠道进入业务系统,杜绝短信、社交外链直接访问登记通道,从源头切断仿冒站点引流链路。
3.2 虚假 Google 表单钓鱼:轻量化无站点信息窃取渠道
该类攻击无需搭建独立网站,依托 Google 表单轻量化部署诈骗采集页面,是菲律宾选举钓鱼团伙使用最广泛的低成本作案载体,官方多次明确告知公众:COMELEC 从未使用第三方 Google 表单收集选民登记信息,所有正规登记渠道仅部署于官网自有系统。
3.2.1 虚假表单攻击实施流程
AI 生成表单填报模板:利用大模型生成与官方登记系统高度一致的填报字段,涵盖全部选民身份必填项,表单标题标注 “COMELEC 2026 选举线上预约登记表”;
多渠道分发表单链接:短信、Facebook 群组批量推送表单短链接,搭配紧急登记话术制造紧迫感;
诱导填写敏感数据:民众进入表单后完整填写身份证件、出生日期、联系电话、户籍地址等隐私信息,点击提交后数据直接存入黑产控制的 Google 表单后台;
附加资金诈骗话术:表单末尾增设缴费栏目,引导民众扫描内嵌 InstaPay 恶意二维码完成所谓 “登记手续费” 转账。
3.2.2 虚假表单钓鱼独有风险特征
其一,第三方表单平台无政务机构专属风控,平台无法识别表单是否用于仿冒政务采集信息,缺少自动拦截机制;其二,表单页面无域名校验窗口,民众注意力集中于填报内容,忽略表单所属第三方平台与官方政务系统无关;其三,部署成本近乎为零,黑产可单日批量创建数百套虚假表单,单一表单被封禁后可快速替换新表单持续作案,风控拦截难度极高。
3.3 政务场景二维码钓鱼(Quishing):线上线下融合欺诈载体
二维码钓鱼是本次 COMELEC 预警重点提及的线下攻击手段,分为线上嵌入表单 / 邮件二维码、线下张贴覆盖正规缴费码两类场景,利用二维码无法提前预览目标 URL 的天然缺陷完成隐蔽诱导。
3.3.1 线上、线下两类二维码诈骗实现路径
线上场景:攻击者将绑定恶意收款地址的 InstaPay 二维码嵌入虚假 Google 表单、仿冒政务社交帖子,告知民众扫码缴纳登记费用,扫码后跳转仿冒支付页面,同步收集支付账户信息;
线下实体场景:犯罪团伙打印贴纸覆盖政务大厅、社区公告栏、停车场原有正规缴费二维码,贴纸外观复刻官方配色与标识,选民扫码后进入伪造支付页面,完成转账并泄露钱包账号信息。
3.3.2 政务二维码钓鱼核心防护痛点
线下张贴篡改无自动化识别手段,政务工作人员、民众仅依靠肉眼无法分辨原有二维码与后期粘贴贴纸;手机自带扫码工具不支持提前解析 URL 预览,扫码完成后才跳转恶意页面;基层政务场景缺少专用安全扫码设备,民众普遍使用普通手机相机直接扫码,无前置风险校验流程。
4 AITM 中间人攻击突破政务 MFA 防护的技术漏洞分析
多因素认证(MFA)已成为全球政务数字化平台标配安全机制,菲律宾 COMELEC 官方线上登记系统默认开启短信验证码二次验证,用于防范账号密码泄露引发的信息篡改风险,但 2026 年规模化落地的 AITM 对抗中间人攻击,利用政务登录流程的转发漏洞绕过 MFA 校验,形成政务平台重大安全缺陷。
4.1 AITM 攻击在政务登记场景的完整交互逻辑
用户点击仿冒站点链接接入攻击者代理服务器,代理反向拉取 COMELEC 真实登记页面并完整转发至用户终端,页面无任何篡改痕迹;
用户手动输入账号、身份证号等登录凭据,代理实时将全部信息转发至官方政务服务器完成第一层身份校验;
官方服务器向用户手机发送短信 MFA 验证码,弹窗同步展示在代理转发页面,用户正常输入验证码提交;
服务器校验凭据与验证码全部通过,下发绑定当前设备的有效会话 Cookie,代理服务器同步复制 Cookie 留存;
攻击者在自有设备导入窃取的 Cookie,无需账号、无需验证码即可直接登录该选民的政务登记账号,修改登记信息、导出完整身份数据。
整个流程中用户完成全部合规身份验证操作,官方服务器判定登录行为合法,传统 MFA 仅校验单次认证凭证,无法识别 Cookie 跨设备复用行为,防护链条出现断层。
4.2 政务场景三类主流 MFA 方案的防护短板
短信验证码 MFA(菲律宾基层政务平台主流方案):除 AITM 劫持漏洞外,叠加东南亚高发的 SIM 换卡劫持风险,攻击者可通过运营商漏洞补办目标手机卡,拦截全部短信验证码,双重安全漏洞叠加;
第三方验证器 App 二次验证:仅能抵御 SIM 卡劫持,无法阻断 AITM 代理转发链路,用户输入动态验证码后会话 Cookie 仍会被劫持;
邮件二次验证:登录验证邮件跳转流程全程可被代理中继,防护效果与短信验证码无本质区别。
4.3 适配政务平台的长效技术解决方案
Google 2026 年推出设备绑定会话凭证技术标准,将会话 Cookie 与设备硬件唯一标识强制绑定,被盗 Cookie 无法在其他终端登录政务账号,从底层消除 AITM 劫持利用空间,但东南亚多数基层政务系统尚未完成技术升级,短期无法全面落地。
现阶段可快速部署的最高安全等级防护方案为硬件安全密钥,加密交互流程无法被代理服务器中转,不存在 Cookie 劫持漏洞,适合海外选民线上登记、大额政务资质办理等高权限政务账号。反网络钓鱼技术专家芦笛建议,选举、户籍、征信等存储高敏感公民数据的政务平台,应逐步淘汰短信验证码 MFA,统一推广硬件密钥与验证器 App 组合防护机制。
5 政务站点轻量化风险检测前端代码示例
针对菲律宾选举类政务钓鱼场景,基于 JavaScript 编写两套轻量化前端检测脚本,分别实现仿冒政务域名识别、第三方虚假表单 iframe 劫持检测,可嵌入政务官网浏览器插件、政务内网网关、基层政务大厅公共设备,作为前置风险预警工具,辅助拦截 AI 生成仿冒钓鱼页面。
5.1 政务官方域名白名单风险检测代码
功能:预设菲律宾 COMELEC 等政务机构可信域名白名单,自动识别多级仿冒子域名、近似拼写钓鱼域名,页面加载后弹窗风险预警,阻断用户填写敏感身份信息。
// 菲律宾官方选举、政务可信域名白名单
const govTrustDomain = ["comelec.gov.ph", "dost.gov.ph", "npc.gov.ph", "dict.gov.ph"];
// 提取当前页面主域名
function getMainDomain() {
let hostName = window.location.hostname.toLowerCase();
return hostName.replace(/^www\./, "");
}
// 近似域名仿冒模糊匹配检测
function fuzzyMatchRisk(domain, trustList) {
let riskMark = false;
trustList.forEach(trustDom => {
let coreTrust = trustDom.split(".")[0];
let coreNow = domain.split(".")[0];
// 检测仿冒拼接、近似拼写域名
if (coreNow.includes(coreTrust) && coreNow !== coreTrust) {
riskMark = true;
}
})
return riskMark;
}
// 主风险检测执行函数
function govUrlRiskCheck() {
let currDomain = getMainDomain();
let isOfficial = govTrustDomain.includes(currDomain);
let fakeDomainRisk = fuzzyMatchRisk(currDomain, govTrustDomain);
if (!isOfficial) {
if(fakeDomainRisk){
alert("政务安全预警:当前站点疑似仿冒菲律宾选举委员会官方平台,禁止填写身份证、出生日期等选民信息!");
}else{
alert("政务安全预警:当前页面不属于官方政务域名,请勿提交个人敏感登记资料");
}
}
}
// 页面加载完成自动执行域名检测
window.addEventListener("load", govUrlRiskCheck);
代码应用说明:脚本可部署于政务大厅公共电脑、民众常用浏览器反诈插件,针对选举、户籍、社保等高敏感政务站点配置专属白名单,提前拦截 70% 以上仿冒域名钓鱼页面。反网络钓鱼技术专家芦笛评价,该域名检测脚本属于轻量化前置防护手段,可有效拦截基础 AI 仿冒政务站点,但无法识别 AITM 代理转发真实域名的高级攻击,必须搭配后端网关流量审计协同使用。
5.2 第三方虚假表单 iframe 嵌套劫持检测代码
功能:识别页面内 iframe 嵌套第三方 Google 表单、外部支付页面的恶意结构,检测到嵌套组件后弹出风险提示并清空页面输入区域,阻断选民提交身份信息。
function iframeFormRiskDetect() {
let iframeList = document.getElementsByTagName("iframe");
// 筛查第三方表单、支付类iframe
for(let item of iframeList){
let iframeSrc = item.src.toLowerCase();
if(iframeSrc.includes("docs.google.com/forms") || iframeSrc.includes("instapay")){
alert("政务反诈预警:页面检测到第三方表单/支付二维码嵌套,为仿冒选举登记钓鱼页面,立即关闭页面!");
// 清空页面阻断信息填报
document.body.innerHTML = "<h2 style='color:red'>页面存在选民信息窃取风险,已阻断全部输入功能</h2>";
break;
}
}
}
// DOM加载完成执行iframe扫描
document.addEventListener("DOMContentLoaded", iframeFormRiskDetect);
代码局限:仅可识别前端 iframe 嵌套类虚假表单,针对独立跳转第三方表单链接的攻击无法拦截,仅作为辅助检测工具,不能单独作为政务平台核心防护手段。
6 面向选举政务场景的分层全域反诈防御体系
结合菲律宾 COMELEC 曝光的三类钓鱼攻击、AITM 技术漏洞、轻量化检测工具能力,从政务平台技术加固、线下政务场景管控、公众标准化行为规范、受骗应急处置、跨境黑产协同溯源五大层级搭建完整防御体系,区分政务机构运维方案、普通选民个人防护方案,兼顾落地可行性与防护强度。
6.1 政务平台技术加固层:官方系统源头封堵攻击链路
6.1.1 政务站点后台风控技术升级
优化大模型内容安全协同机制:联合大模型服务商,针对政务页面、政务通知类生成内容增加场景风险判别,拦截黑产通过提示词生成仿冒选举登记页面代码;
域名与短链接全域风控:监管机构建立全新政务近似域名批量注册监测机制,快速封禁仿冒 COMELEC 等政务机构的恶意域名;运营商短信通道拦截包含仿冒政务短链接的群发消息;
淘汰短信 MFA,推广高阶安全认证:选举登记系统全面停用短信验证码,统一部署验证器 App,高权限海外选民登记通道强制配置硬件安全密钥,从底层抵御 AITM 劫持;
推进设备绑定会话凭证技术落地:政务平台迭代 Cookie 分发机制,将会话凭证与访问设备硬件绑定,消除跨设备复用 Cookie 盗号漏洞;
内置前端风险检测脚本:将域名、iframe 检测脚本嵌入政务官网前端,民众访问页面时自动完成风险筛查,提前弹窗预警。
6.1.2 政务第三方渠道管控
全面禁止通过 Google 表单、外部第三方表单收集选民登记信息,所有身份采集、预约填报功能仅部署于 comelec.gov.ph 自有系统;官方支付渠道统一内置独立加密支付组件,不通过外部二维码跳转第三方支付页面,消除二维码钓鱼操作空间。
6.2 线下政务场景管控层:实体二维码篡改风险治理
政务大厅、社区公告栏二维码标准化管理:统一印制带防伪底纹的官方缴费、登记二维码,定期巡检覆盖原有码的粘贴贴纸,触摸二维码边缘排查覆膜篡改痕迹;
线下反诈宣传配套:在所有张贴二维码区域张贴醒目提示,告知民众 COMELEC 登记全程免费,任何索要手续费的扫码操作均为诈骗;
公共设备安全管控:政务大厅公共查询电脑预装风险检测脚本、反诈浏览器插件,拦截仿冒政务站点访问,禁止民众使用公共设备扫码支付。
6.3 公众选民行为规范层:标准化政务反诈操作流程
6.3.1 仿冒政务链接、短信通用防范规则
拒绝点击短信、社交群组内附带的政务登记链接,无论文案是否带有官方标识;办理选民登记、证书申领时手动输入 comelec.gov.ph 官方域名进入系统;
收到声称缴纳登记费用的政务通知直接判定为诈骗,牢记菲律宾选举法规规定选民登记、选民证书办理无任何收费项目;
可疑诈骗短信、社交帖子截图留存证据,提交菲律宾网络犯罪调查协调中心(CICC)上报溯源。
6.3.2 扫码办理政务业务安全规范
使用带 URL 预览功能的专用扫码工具,解析二维码目标域名确认匹配官方政务主体后再访问页面;
线下公告栏、停车场二维码优先检查是否存在后期粘贴贴纸,出现覆膜、边缘凸起等篡改痕迹直接放弃扫码;
不扫描陌生社交消息、非官方邮件内附带的政务类二维码,通过官网渠道核验业务信息。
6.3.3 通用风险识别准则
全部选举政务钓鱼均依靠制造 “登记截止、资格失效” 等紧迫感诱导民众快速操作,任何要求立刻填报身份信息、即时转账缴费的消息、二维码均属于高风险信号,收到后暂停操作,通过官方认证社交账号、线下政务大厅独立渠道核实信息。同时减少社交平台公开披露出生日期、证件照片等隐私素材,降低黑产制作个性化仿冒诈骗文案的原始数据来源。
6.4 受骗后标准化应急处置层:选民损失止损流程
若选民不慎点击恶意链接、在虚假表单内填写身份信息或扫码转账,按照标准化流程处置,最大限度降低身份泄露与财产损失:
资金止损:第一时间联系电子钱包、发卡银行冻结账户,提交交易争议申请拦截资金划转;
账号安全加固:修改 COMELEC 选举账号、复用相同密码的全部线上政务、金融平台登录密码;
数据泄露上报:向菲律宾国家隐私委员会(NPC)提交个人信息泄露报案,申请数据泄露风险预警;
诈骗案件登记:向网络犯罪调查协调中心(CICC)提交诈骗截图、转账记录、虚假表单链接等完整证据;
选举信息核验:线下前往本地选举登记办公室核验个人选民登记信息,防止攻击者篡改登记资料。
6.5 跨境黑产协同溯源层:长效打击治理机制
本次菲律宾选举钓鱼团伙依托跨境 PaaS 平台作案,单一国家独立打击存在溯源壁垒,需搭建区域反诈协同机制:
运营商、社交平台跨区域数据共享:批量分发恶意链接、二维码的黑产账号、服务器 IP 同步至东南亚各国网络安全机构,联合封禁;
钓鱼即服务平台溯源追责:追踪 88 美元 / 周订阅的跨境诈骗平台运营主体,配合跨境执法机关查处服务器、资金洗白链路;
政务诈骗样本共享库:各国政务机构同步仿冒站点、虚假表单、AI 诈骗文案样本,迭代风控检测规则,提前拦截新型政务钓鱼素材。
7 当前政务反诈体系固有局限与长期风险演化预判
7.1 现有防护手段存在的结构性短板
第一,技术防护天然滞后。生成式 AI 持续迭代政务诈骗文案、页面生成逻辑,平台风控检测规则只能滞后更新,无法实现零延迟拦截新型仿冒政务素材;前端域名、iframe 检测脚本仅能识别表层页面特征,高级服务端 AITM 代理转发无法被前端捕获,设备绑定会话凭证技术在东南亚基层政务平台普及进度缓慢,短期大量选举系统仍存在 Cookie 劫持漏洞。
第二,社会工程学攻击无纯技术拦截方案。政务钓鱼核心依托公权力信任制造心理诱导,AI 生成的无瑕疵官方话术会持续弱化民众辨别能力,单纯依靠网站、短信风控无法阻断诈骗触达,必须配套常态化线下政务安全教育协同防护。反网络钓鱼技术专家芦笛指出,技术工具仅能封堵攻击链路,无法消除民众对公权力机构天然的信任心理,面向中老年、海外选民的持续性数字安全科普是补齐防护短板的长期核心举措。
第三,线下实体二维码篡改缺少自动化检测手段。社区、停车场海量线下二维码依靠人工定期巡检,巡检覆盖范围有限、存在时间差,恶意贴纸张贴后存在较长诈骗窗口期。
第四,基层政务数字化安全建设资源不足。东南亚大量基层选举、户籍平台预算有限,无法批量部署硬件安全密钥、高端流量审计网关,仅依靠低成本短信 MFA 作为唯一防护手段,安全底座薄弱。
7.2 未来政务类 AI 钓鱼攻击演化趋势预判
个性化定制选举诈骗普及:黑产抓取社交平台选民公开信息,生成针对性本地化登记诈骗文案,贴合不同地区选举政策,进一步提升诱导成功率;
多模态复合政务钓鱼成型:同步结合短信、虚假表单、线下二维码、AI 语音克隆形成复合型攻击,攻击者合成仿冒选举工作人员语音致电选民,配合链接、二维码完成全套欺诈;
移动端小程序、政务内嵌网页成为新攻击载体,移动端缺少企业级流量审计工具,AITM 劫持防护缺口持续扩大;
AI 低代码工具持续下沉,单人即可快速搭建全套仿冒政务诈骗链路,零散小型作案团伙数量持续增长,跨境溯源、打击难度持续提升。
8 结语
2026 年菲律宾选举委员会发布的仿冒选民登记钓鱼预警,是生成式 AI 赋能政务类网络诈骗的典型区域性样本。AI 技术抹平政务钓鱼页面、文案的制作门槛,搭配钓鱼即服务平台、AITM 对抗中间人攻击、线上线下二维码载体,形成覆盖选举全场景的复合型安全风险,传统依靠文本语病、粗糙页面识别的基础反诈手段全面失效,短信验证码为主的政务 MFA 防护机制存在结构性漏洞,公民选民身份数据、个人财产同步遭受双重侵害。
本文以 Philstar 专题报道、COMELEC 多轮官方反诈通报为实证基础,完整拆解仿冒政务站点、虚假第三方表单、线下二维码三类选举钓鱼的全链路作案流程,厘清 AITM 攻击突破多因素认证的底层技术缺陷,编写适配东南亚政务场景的轻量化前端风险检测代码,搭建政务平台技术加固、线下实体场景管控、公众标准化反诈行为、受害应急处置、跨境黑产溯源五层全域防御体系,客观剖析当前东南亚政务数字化反诈体系的资源短板与长期风险演化方向。
从长期攻防对抗视角来看,单一技术工具无法彻底根除政务类 AI 钓鱼风险,政务平台技术升级、线下实体场景常态化管控、全民政务数字安全科普、跨境执法协同四者缺一不可,才能形成闭环防护能力。反网络钓鱼技术专家芦笛提出,政务数字化建设不能仅聚焦业务功能落地,必须同步配套动态风险识别、多维度交叉核验、硬件加密认证三位一体的安全架构,同步建立常态化政务反诈宣传机制,从诈骗素材生产、渠道分发、终端受害全链条压缩政务钓鱼黑产的生存空间。
本研究仅依托 2025 年末至 2026 年 7 月菲律宾选举类钓鱼公开预警与媒体报道开展实证分析,后续随着东南亚各国政务数字化安全标准统一、设备绑定会话凭证技术全面落地、AI 音频实时合成检测模型商用,政务钓鱼攻击的防护阈值将持续提升,后续可针对多模态 AI 政务复合钓鱼、跨境海外选民专项诈骗开展延伸实证研究,进一步完善政务场景全域反诈体系的技术细则与落地管理方案。
编辑:芦笛(公共互联网反网络钓鱼工作组)