AI加持下的钓鱼攻击激增,我们该如何应对?

在线体验各类最新模型,更有模型 免费Token 额度领取!
立即体验
简介: 2026年,AI驱动的“设备代码钓鱼攻击”激增1380%,绕过多因素认证(MFA),窃取会话令牌而非密码。依托“钓鱼即服务”(PhaaS)平台,攻击实现高度自动化、个性化,门槛大幅降低。防御需结合零信任架构、物理安全密钥、CAE持续评估及FIDO2无密码认证。(239字)

2026年的网络安全态势正面临一场前所未有的风暴。最新数据显示,一种能够绕过传统身份验证机制的设备代码钓鱼攻击数量正在呈爆炸式增长。根据网络安全公司Huntress发布的报告,仅在2026年的前四个月,这类攻击的数量相较于2025年下半年就激增了1380%,接近15倍的增幅令人触目惊心。

这并非传统意义上拼凑错漏百出的垃圾邮件,而是一场由人工智能(AI)驱动的、高度自动化的精准狩猎。过去,网络犯罪分子主要利用AI来润色钓鱼邮件的文本,使其更具欺骗性。然而,如今的攻击者已经将视野扩展到了整个攻击流程的自动化。通过将生成式AI钓鱼即服务Phishing-as-a-Service, PhaaS)平台深度集成,攻击者能够以前所未有的规模和效率发起攻击。

这种转变意味着,即便是没有深厚技术背景的脚本小子,也能通过订阅这些服务,轻易发起曾经只有高级持续性威胁(APT)组织才能实施的复杂攻击。攻击门槛的大幅降低,使得网络钓鱼从一种需要精湛技艺的手艺活,变成了一种可以流水线生产的工业化产品

设备代码钓鱼攻击利用的是微软一项合法身份验证流程中的漏洞

在这一波攻击浪潮中,钓鱼即服务平台扮演了至关重要的角色。这些平台将身份窃取基础设施、钓鱼工具包和AI驱动的工作流程打包成订阅服务,出售给下游的犯罪分子。以Huntress报告中提到的设备代码钓鱼攻击为例,这种攻击利用了微软一项合法身份验证流程中的漏洞。该流程原本是为了方便那些在智能电视等不便输入密码的设备上登录而设计的。攻击者会诱导受害者访问一个看似合法的微软登录页面,并要求受害者输入攻击者生成的设备代码。

一旦受害者在该页面上完成了登录,甚至是通过了多因素身份验证(MFA),攻击者就能截获由此产生的访问令牌。在这个过程中,AI发挥了巨大的作用。研究人员在数百起攻击事件中,没有发现两起完全相同的钓鱼诱饵。这意味着威胁行为者正在利用生成式AI对钓鱼消息进行大规模的个性化定制。这种千人千面的攻击方式,极大地提高了钓鱼邮件的迷惑性和成功率。正如Huntress首席执行官Kyle Hanslovan所言:当你把这么多操作环节都自动化之后,你不需要是系统工程师……也不需要搞清楚怎么做数据标准化。这些知识你根本不需要掌握,任何人都能获得访问权限。

数据来源:Barracuda 2026 电子邮件威胁报告

提到网络安全,很多人第一时间想到的是多因素认证MFA)。确实,MFA通过要求用户提供两种或以上的验证因素(如密码+手机验证码),极大地提高了账户的安全性。然而,在2026年这种新型的会话劫持式钓鱼攻击面前,传统的MFA显得有些力不从心。

传统的MFA防御思路是攻击者不知道你的密码,也拿不到你的验证码,因此无法登录。但在设备代码钓鱼或类似的实时中间人攻击中,攻击者不再试图窃取你的静态凭证,而是窃取你的会话令牌。当受害者被诱导在攻击者控制的代理服务器上登录时,这个代理服务器就像一个中间人,它会实时地将受害者的登录请求转发给真实的微软服务器。受害者在代理页面上输入设备代码并完成MFA后,真实的服务器会返回一个有效的访问令牌给代理服务器,代理服务器再将这个令牌截获并用于非法访问受害者的账户。

在这个过程中,攻击者并没有获取受害者的密码或验证码,而是直接获取了能够代表用户身份的入场券(即访问令牌)。因此,即便用户开启了MFA,也无法防御这种攻击。这揭示了一个残酷的现实单纯依赖静态密码或一次性验证码的MFA,在面对实时的、交互式的钓鱼攻击时,已经不再是绝对的安全壁垒。

新型钓鱼攻击的破坏力在真实的商业环境中已经得到了印证。根据卡巴斯基发布的数字足迹情报研究,2026年全球88.5%的网络钓鱼攻击依然将目标锁定在在线账户凭证上。但不同的是,攻击者获取凭证后的变现模式已经高度产业化。卡巴斯基的研究揭示了一个被称为数据转储的地下黑市:攻击者利用自动化系统处理钓鱼窃取来的海量数据,将其打包出售。例如,一个包含完整银行账户信息的凭证包在暗网上的均价可达350美元。

更令人警惕的是,AI的加入催生了针对高价值目标的鲸钓Whaling)攻击。攻击者不再盲目群发钓鱼邮件,而是利用开源情报和过往的泄露数据,精心制作高度个性化的骗局,专门针对企业高管或掌握核心权限的财务人员。一旦这些关键人物在钓鱼链接中输入了凭证,攻击者便能直接接管企业核心系统,造成难以估量的损失。这些真实的黑产数据表明,钓鱼攻击早已超越了单纯的骗取密码阶段,而是演变成了一条从AI生成诱饵、实时绕过MFA,到暗网批量变现的完整犯罪产业链。

面对如此严峻的形势,我们并非无计可施。防御AI驱动的钓鱼攻击需要个人、企业和安全厂商共同努力,构筑起一道多层次的防线。

在个人层面,用户需要提高警惕,拒绝一键登录。应尽量避免使用需要输入设备代码的登录方式,除非完全确认该页面的来源。同时,应尽量避免使用基于短信的验证码,推荐使用身份验证器应用(如Microsoft Authenticator)或物理安全密钥(如YubiKey)。物理安全密钥能够有效防御中间人攻击,因为它会在底层验证目标网站的真实性。此外,在输入任何凭证之前,务必仔细核对浏览器地址栏中的URL,防范高度仿真的钓鱼域名。

在企业层面,防御策略必须从边界防御转向零信任。企业应强制要求员工启用连续访问评估(CAE)功能,该功能能够在用户会话期间持续评估风险,一旦检测到异常行为(如地理位置突变),会立即要求重新验证或终止会话。同时,传统的防火墙已无法应对新型攻击,企业需要部署专门的反钓鱼网关或云访问安全代理(CASB),对进出网络的流量进行深度检测。当然,人依然是安全链条中最薄弱的一环,企业应定期开展针对新型钓鱼手段的安全意识培训,并进行模拟钓鱼演练。

在技术层面,安全厂商正在利用AI技术来对抗AI驱动的攻击。通过机器学习算法分析邮件的上下文、写作风格和链接行为,可以更准确地识别出由AI生成的钓鱼邮件。同时,基于公钥加密技术的无密码认证标准(如FIDO2/WebAuthn)正在成为未来的发展方向,这种认证方式从根本上消除了密码泄露的风险,是防御钓鱼攻击的终极武器。

2026年,我们正处在一个网络安全的十字路口。AI技术的双刃剑效应在这一领域体现得淋漓尽致。面对激增近15倍的钓鱼攻击,我们既不能盲目恐慌,也不能掉以轻心。只有深入了解攻击者的手段,掌握最新的防御技术,才能在这个充满挑战的数字时代守护好数据安全。

参考原文:安全内参《AI驱动攻击自动化,网络钓鱼攻击今年激增近15倍》

编辑:芦笛、卫俊凯  中国互联网络信息中心

目录
相关文章
|
3天前
|
人工智能 弹性计算 运维
|
1天前
|
缓存 人工智能 安全
GPT-5.6 Terra与GPT-5.5性能实测:成本减半后的跑分对比与快速迁移指南
GPT-5.6 Terra 的定价为每百万 token 输入 2.50/输出 15。GPT-5.5 则是 5/ 30。Terra 的每一项费率,包括 $0.25/M 的缓存读取,都恰好是 GPT-5.5 的一半,因此在任何工作负载组合下,Terra 都固定 便宜 2.0x。以每天 10 万次请求、3K token 提示词计算,大约是 Terra 每天 2,000,GPT−5.5每天 4,000,即每月约 60,000对 120,000。问题在于:OpenAI 没有发布任何针对 Terra 的编码基准。那个著名的 91.9% Terminal-Bench 数字是 Sol 在 Ul
|
24天前
|
Linux 程序员 数据格式
【2026最新】Notepad++下载、安装和使用一篇搞定(附中文版安装包)
Notepad++ 是一款免费开源、轻量高效的 Windows 文本编辑器,支持 C/Python/HTML 等 80+ 语言语法高亮、代码折叠、正则替换、编码转换及插件扩展,专为程序员与文本处理用户打造,完美替代系统记事本。(239字)
|
9天前
|
人工智能 缓存 安全
Claude Code 封号真实原因曝光,这次彻底不装了,直接针对国内开发者的账号下手?
Claude Code 封号潮背后:逆向扒出客户端隐写区域标记,Anthropic 政策收紧叠加 DeepSeek 7 月涨价,国产替代更紧迫。
|
18天前
|
存储 人工智能 监控
QoderWork完全指南:从入门到精通,把“AI实习生”变成你的全能工作搭档
阿里云2026年推出的桌面端AI工作助手QoderWork,不止聊天,更可动手干活:本地运行、安全可控,支持文件整理、数据分析、PPT生成、网页开发等;内置专家套件、多Agent协作与自定义Skills,让AI真正成为你身边的“AI实习生”。
|
15天前
|
人工智能 JSON 自然语言处理
让教学更智慧:用阿里云百炼工作流,自动生成中小学教材内容#小有可为#有温度的AI
通过可视化工作流编排,将大模型推理能力转化为标准化的教学内容生成引擎。教师只需输入教材标题和适用学段,即可自动获得结构完整、符合课程标准的章节内容,大幅降低备课门槛,助力教育资源均衡化。
502 127
|
8天前
|
人工智能 编解码 物联网
2026 最新Stable Diffusion 本地部署教程 下载安装使用详细图解(含官网安装包)
Stable Diffusion(SD)是2022年发布的开源文生图模型,由Stability AI等联合开发。支持文生图、图生图、局部重绘等,依托VAE降低算力需求,可在消费级显卡运行。本文提供秋葉aaaki制作的Windows整合包(含图形界面与插件),开箱即用,零配置启动。
|
10天前
|
人工智能 安全 程序员
终于,Claude Code 封号的原因被曝光了!竟然针对中国用户,植入隐形代码?!
通俗易懂地揭秘 Claude Code 封号的手段,分享一些自己对 AI 编程困境的思考,Codex、Cursor、DeepSeek、智谱 GLM、甚至是豆包,都有所行动了
510 1
|
18天前
|
人工智能 弹性计算 API
什么是 AlibabaCloud Agent Toolkit
Alibaba Cloud Agent Toolkit 是面向AI Agent的阿里云智能工具套件,集成OpenAPI、Terraform、CLI与文档能力,提供MCP插件、场景化Skills及执行审计机制,助AI准确查API、生成代码、规划架构、校验部署,实现安全、可靠、可追溯的云上智能运维。
450 2