文章总结： 文档揭露年终钓鱼邮件高发，攻击者利用冒充HR、带码PDF及二维码窃取凭证。介绍钓鱼工具包2.0、隐写术及OAuth滥用等高级规避技术，预测未来攻击将更依赖AI和验证码。建议企业放弃传统防御，部署AI驱动的智能邮件安全平台，通过多维度分析自动拦截定制化钓鱼攻击。 综合评分： 83 文章分类： 社会工程学,安全意识,威胁情报,解决方案

“2025年终奖核对，请查收？”这类邮件，可能是最贵的“钓鱼饵”！

企业网络信息安全

2025年12月22日 19:09 广东

永远不要只看发件人名称！ 务必检查完整的邮箱地址和链接域名。在年终这个节点是钓鱼邮件的高发期，骗子往往会利用您处理邮件时的繁忙与疏忽，进而信息窃取或网络入侵攻击。

年终主要“钓鱼邮件”类型

• 冒充人力资源HR或薪资财务，使用带密码的PDF附件绕过邮件扫描，窃取企业单点登录会话令牌，绕过双重验证，入侵企业系统。
• 仿冒权威机构的工作邮箱域名，利用公众对权威机构的信任，窃取个人信息，或向科研、机关单位等特定目标实施定向攻击。
• 在邮件附件中使用二维码，诱使用户手机扫码，绕过电脑端安全软件。利用AI工具生成高仿真内容，仿冒知名品牌，窃取企业邮箱、办公平台的登录凭证。

梭子鱼网络（Barracuda）威胁分析团队预测：到2026年底，超过90%的凭证泄露攻击将由钓鱼工具包促成，占所有钓鱼事件的60%以上。

钓鱼工具包2.0

现有的和新兴的钓鱼工具包目的都是获取目标用户详细信息，通过部署自动化策略来绕过安全措施，例如：通过窃取访问验证或通过合法网站中继认证来突破多重身份验证（MFA）等保护。

利用人工智能来开发的新兴钓鱼工具包，使攻击更加个性化和有效。下一代PhaaS工具包的商业模式将具有结构化的订阅层级，范围从基础钓鱼工具包到高度针对性和复杂的人工智能个性化攻击。

钓鱼攻击使用的先进规避和反检测技术包括：

• 将恶意代码隐藏在无害的图像和音频文件中（隐写术）。
• “点击修复”社会工程学技术：诱骗用户手动执行已秘密复制到其剪贴板的恶意命令。
• 攻击中使用更多拆分和嵌套的QR码，以及动态和多阶段QR码的引入。
• 广泛滥用OAuth（开放授权）——一种广泛使用的系统，用于在不共享密码的情况下登录应用程序或服务。
• 高度先进的URL规避技术，包括使用临时Blob URI。Blob URI是一种用于在本地内存中存储数据的网络地址，攻击者喜欢使用它们，因为它们不从外部服务器加载，并且可以在受害者的浏览器中托管钓鱼页面，使得传统措施难以检测。
• 动态代码注入和完全伪装的恶意脚本。

梭子鱼网络（Barracuda）威胁分析团队预测：到2026年底，超过85%的钓鱼攻击将使用验证码来规避自动化安全工具，并确保交互是由人类执行的。

预计将增加使用的流行技术——尤其是在钓鱼工具包中——包括在电子邮件正文或主题中使用随机字母数字字符串、混淆发件人地址或在主题中使用包含时间戳或收件人姓名的长标题、在每封电子邮件中使用略有不同的链接，以及变化附件名称。

攻击者进一步利用合法平台，将越来越多地利用人工智能驱动的零代码平台来快速构建和托管钓鱼网站。这些工具消除了技术障碍，使威胁行为者能够以最小的努力大规模发起复杂的攻击。

利用URL保护服务和URL屏蔽策略（例如滥用开放重定向、营销/跟踪链接和合法URL）的情况正在上升，2025年这出现在约25%的钓鱼攻击中。

钓鱼邮件一直存在的攻击方式，如：通过人力资源和工资相关的诈骗、递送和物流诈骗、虚假MFA通知、税务和政府服务诈骗以及文件共享诈骗，将继续存在，很少有组织能免受钓鱼或社会工程攻击的影响。

根据梭子鱼网络最新的市场研究显示，78%的组织在过去12个月内遭受过电子邮件安全漏洞，发现和遏制威胁所需的时间越长，损失就越重。面对高度定制化、智能化、隐蔽化的钓鱼邮件攻击，规则库与人工识别的传统防御，已如用渔网拦截雨点，力不从心。

搭建由人工智能驱动、集多维度分析于一身的智能邮件安全平台，已成为企业网络安全管理的必然之选。它不仅是一个技术工具，更是一种全新的防御范式——它能持续学习、自动演化，在邮件抵达员工收件箱之前，就精准识别并拦截伪装巧妙的垃圾邮件与钓鱼攻击，将威胁消弭于无形。

了解更多，关注公众号↓↓↓↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：企业网络信息安全 《“2025年终奖核对，请查收？”这类邮件，可能是最贵的“钓鱼饵”！》