文章总结： 网络钓鱼是利用伪造信息诱骗受害者泄露数据的社会工程学攻击，包括批量邮件、鱼叉式及BEC等形式。随着AI和二维码钓鱼兴起，攻击更隐蔽。防范需结合安全意识培训、严格流程政策与多因素认证等技术手段，应对利用人为漏洞的威胁。 综合评分： 88 文章分类： 社会工程学,安全意识,网络安全

phishing

原创

王水江

CISSP Learning

2026年1月5日 08:30 北京

什么是网络钓鱼？

网络钓鱼（Phishing）是一种网络攻击手段，攻击者通过伪造的电子邮件、短信、电话或网站，诱骗受害者泄露敏感数据、下载恶意软件，或使受害者陷入其他网络犯罪风险。

网络钓鱼攻击属于  社会工程学（Social Engineering） 攻击的一种。与其他直接针对网络和资源的网络攻击不同，网络钓鱼利用人为操纵手段，诱使受害者无意识地对自身或所在组织造成损害。

在典型的网络钓鱼骗局中，黑客会伪装成受害者信任的对象，例如同事、上司、权威人士或知名品牌的代表。黑客发送的消息会指示受害者执行某项操作，如支付账单、打开附件、点击链接等。

由于受害者信任消息的假定发送方，便会遵照指示操作，最终落入诈骗者的陷阱。所谓的 “账单” 可能直接指向黑客的账户；附件可能会在用户设备上安装勒索软件；链接则可能引导用户进入窃取信用卡号、银行账户信息、登录凭证或其他个人数据的钓鱼网站。

为何网络钓鱼是重大网络威胁？

网络钓鱼深受网络犯罪分子青睐，且攻击成功率极高。根据 IBM《数据泄露成本报告》，网络钓鱼是最常见的数据泄露途径，占所有泄露事件的 15%。由网络钓鱼导致的泄露事件，平均给企业造成 488 万美元的损失。

网络钓鱼的巨大威胁性在于，它利用的是人的漏洞，而非技术漏洞。攻击者无需直接入侵系统，也无需绕过网络安全工具，只需诱骗那些有权访问目标（资金、敏感信息或其他资源）的人员，让其代行恶意操作。

网络钓鱼者既可以是单独行动的诈骗分子，也可以是组织严密的犯罪团伙。他们的钓鱼目的多种多样，包括身份盗用、信用卡诈骗、财产盗窃、敲诈勒索、账户劫持、间谍活动等。

网络钓鱼的目标覆盖普通个人、大型企业乃至政府机构。最著名的网络钓鱼攻击案例之一是，俄罗斯黑客通过伪造密码重置邮件，从 2016 年美国大选希拉里・克林顿的竞选团队中窃取了数千封电子邮件。

由于网络钓鱼骗局操纵的是人为因素，传统的网络监控工具和技术往往无法实时检测到这类攻击。事实上，在上述克林顿竞选团队的攻击事件中，就连竞选团队的 IT 服务台都误以为伪造的密码重置邮件是真实的。

为防范网络钓鱼，企业必须将高级威胁检测工具与完善的员工培训相结合，确保用户能够准确识别诈骗企图，并采取安全的应对措施。

网络钓鱼攻击的类型

“网络钓鱼（Phishing）” 一词的命名，源于诈骗者利用具有吸引力的 “诱饵（Lures）” 诱骗受害者，这与渔民使用鱼饵捕鱼的方式如出一辙。在网络钓鱼中，“诱饵” 即看似可信的伪造消息，其目的是触发受害者的强烈情绪，如恐惧、贪婪和好奇。

钓鱼诈骗者使用的诱饵类型，取决于其攻击目标和攻击目的。常见的网络钓鱼攻击类型包括：

批量邮件钓鱼（Bulk Email Phishing）

批量邮件钓鱼中，诈骗者会向大量用户无差别地发送垃圾邮件，寄望于部分目标中招。

诈骗者通常会制作看似来自大型合法企业的邮件，例如银行、在线零售商或热门应用开发商。通过冒充知名品牌，诈骗者能提高目标用户恰好是该品牌客户的概率 —— 如果用户经常与某品牌互动，就更有可能打开声称来自该品牌的钓鱼邮件。

网络犯罪分子会竭尽全力让钓鱼邮件看起来真实可信：他们可能使用被冒充发件人的标志和品牌元素；可能通过邮件地址欺骗（Spoof Email Addresses），让消息看似来自被冒充者的域名；甚至可能复制被冒充者的真实邮件，并修改为恶意用途。

诈骗者会设计邮件主题行，以迎合用户的强烈情绪或制造紧迫感。经验丰富的诈骗者会使用被冒充品牌可能真实使用的主题，例如 “你的订单存在问题” 或 “附件为你的账单”。

邮件正文会指示收件人执行一项看似合理的操作，而该操作最终会导致敏感信息泄露或恶意软件下载。例如，钓鱼链接可能显示为 “点击此处更新你的个人资料”，当受害者点击该恶意链接时，会被引导至窃取登录凭证的虚假网站。

部分诈骗者会选择在节假日或其他用户更易受压力影响的时段发起钓鱼攻击。例如，针对亚马逊用户的钓鱼攻击，通常会在该电商平台的年度促销活动 “会员日（Prime Day）” 前后激增 。诈骗者会发送关于虚假优惠和支付问题的邮件，利用用户放松警惕的心理实施攻击。

鱼叉式网络钓鱼（Spear Phishing）

鱼叉式网络钓鱼是针对特定个人的定向钓鱼攻击。攻击目标通常是那些有权访问敏感数据，或拥有诈骗者可利用的特殊权限的人员，例如能够从公司账户转账的财务经理。

鱼叉式钓鱼者会对目标进行调查，收集必要信息，以便伪装成目标信任的对象，如朋友、上司、同事、供应商或金融机构。社交媒体和职业社交平台是鱼叉式钓鱼调查的重要信息来源 —— 人们会在这些平台上公开祝贺同事、认可供应商，且往往存在过度分享的情况。

鱼叉式钓鱼者会利用收集到的信息，制作包含特定个人细节的消息，使其在目标眼中极具可信度。例如，钓鱼者可能伪装成目标的上司，发送邮件称：“我知道你今晚要去度假，但能否在今日下班前支付这份账单？”

针对企业高管、高净值人群或其他高价值目标的鱼叉式钓鱼攻击，被称为捕鲸式网络钓鱼（Whale Phishing/Whaling Attack）。

企业邮件入侵（Business Email Compromise, BEC）

企业邮件入侵是鱼叉式钓鱼攻击的一个类别，其目的是从企业或其他组织窃取资金或高价值信息（如商业机密、客户数据或财务信息）。

企业邮件入侵攻击有多种形式，其中两种最常见的形式为：

1. CEO 诈骗（CEO Fraud）

   诈骗者冒充企业高管（通常通过劫持高管的电子邮件账户），向低层员工发送消息，指示其将资金转移至欺诈账户、向虚假供应商采购，或向未授权方发送文件。

2. 邮件账户入侵（Email Account Compromise, EAC）

   诈骗者入侵低层员工的电子邮件账户（如财务、销售或研发部门的经理账户），利用该账户向供应商发送虚假账单、指示其他员工进行欺诈性付款，或请求访问机密数据。

企业邮件入侵攻击可能是成本最高的网络攻击之一，诈骗者单次攻击往往能窃取数百万美元。一个著名案例是，某诈骗团伙通过冒充合法软件供应商，从脸书和谷歌窃取了超过 1 亿美元 。

部分企业邮件入侵诈骗者正逐渐放弃上述高调手段，转而对更多目标发起小型攻击。根据反网络钓鱼工作小组（APWG）的数据，2023 年企业邮件入侵攻击的频率有所上升，但诈骗者单次攻击索要的金额平均值却有所下降。

其他钓鱼技术

1. 短信钓鱼（Smishing，即 SMS Phishing）短信钓鱼通过伪造短信诱骗目标。诈骗者通常会伪装成受害者的无线运营商，发送包含 “免费礼品” 等诱饵的短信，以窃取信用卡信息。部分短信钓鱼者会伪装成美国邮政署或其他快递公司，发送短信称受害者必须支付一笔费用，才能收到所订购的包裹。
2. 语音钓鱼（Vishing，即 Voice Phishing）语音钓鱼通过电话进行钓鱼攻击。近年来，语音钓鱼事件呈爆发式增长 —— 根据反网络钓鱼工作小组的数据，2022 至 2023 年间，语音钓鱼事件增幅高达 260%。语音钓鱼的兴起，部分原因在于网络电话（VoIP）技术的普及，诈骗者可利用该技术每天拨打数百万通自动语音钓鱼电话。诈骗者通常会使用来电显示欺骗（Caller ID Spoofing），让来电看似来自合法组织或本地号码。语音钓鱼电话通常会通过警告信用卡处理问题、逾期付款或法律纠纷等方式，让收件人产生恐慌。最终，收件人会为 “解决” 问题而向网络犯罪分子提供敏感数据或资金。
3. 社交媒体钓鱼（Social Media Phishing）社交媒体钓鱼利用社交媒体平台诱骗用户。诈骗者会使用平台内置的消息功能（如脸书信使、领英私信和 X 平台私信，前身为推特），其操作方式与电子邮件和短信钓鱼完全相同。诈骗者通常会伪装成需要目标帮助登录账户或赢得比赛的用户，以此为幌子窃取目标的登录凭证，并劫持其平台账户。对于在多个账户中使用相同密码的受害者（这是一种极为普遍的习惯），此类攻击的危害尤为严重。

#

网络钓鱼的最新趋势

诈骗者不断设计新的钓鱼技术以规避检测，近期的主要趋势包括：

1. 人工智能钓鱼（AI Phishing）人工智能钓鱼利用生成式人工智能（AI）工具制作钓鱼消息。这些工具能够生成定制化的电子邮件和短信，且不存在拼写错误、语法不一致等钓鱼攻击的常见特征。生成式人工智能还能帮助诈骗者扩大攻击规模。根据 IBM X-Force 威胁情报指数，诈骗者手动制作一封钓鱼邮件需要 16 小时，而借助人工智能，仅需 5 分钟就能生成更具迷惑性的消息。诈骗者还会使用图像生成器和语音合成器，进一步提高骗局的可信度。例如，2019 年，攻击者利用人工智能克隆了一家能源公司 CEO 的声音，从一名银行经理处诈骗了 24.3 万美元。
2. 二维码钓鱼（Quishing）二维码钓鱼通过嵌入在电子邮件、短信中，或张贴在现实场景中的伪造二维码实施攻击。这种方式能让黑客将恶意网站和软件隐藏在公众视野中。例如，美国联邦贸易委员会（FTC）去年就曾警告过一种骗局：犯罪分子替换了公共停车计时器上的二维码，受害者扫描后，支付数据会被窃取。
3. 混合语音钓鱼（Hybrid Vishing）混合语音钓鱼将语音钓鱼与其他攻击方式相结合，以规避垃圾邮件过滤器并获取受害者的信任。例如，诈骗者可能发送一封看似来自美国国税局（IRS）的电子邮件，称受害者的纳税申报存在问题。为解决该问题，受害者必须拨打邮件中提供的电话号码，而该号码会直接将其连接至诈骗者。

#

网络钓鱼攻击的识别标志

不同骗局的细节可能存在差异，但以下常见标志可提示某条消息可能是钓鱼企图：

1. 强烈情绪与施压手段钓鱼骗局试图让受害者产生紧迫感，使其在未经思考的情况下迅速采取行动。诈骗者通常会通过触发恐惧、贪婪、好奇等强烈情绪来实现这一目的，他们可能会设置时间限制，并威胁不切实际的后果（如监禁）。常见的钓鱼借口包括：

• “你的账户或财务信息存在问题。请立即更新，以免失去访问权限。”
• “我们检测到非法活动。请立即支付罚款，否则你将被逮捕。”
• “你已赢得一份免费礼品，但需立即领取。”
• “这份账单已逾期。请立即支付，否则我们将暂停你的服务。”
• “我们为你提供一个激动人心的投资机会。立即存款，我们保证你获得高额回报。”

1. 索要资金或敏感信息钓鱼骗局通常只有两个目的：骗取资金或窃取数据。未经请求或突如其来的付款要求、个人信息索取，都可能是钓鱼攻击的标志。诈骗者会将资金索要伪装成逾期账单、罚款或服务费用；将信息索取伪装成更新支付 / 账户信息或重置密码的通知。
2. 拼写与语法错误许多钓鱼团伙为跨国运作，因此其制作的钓鱼消息往往使用非母语编写，从而存在语法错误和表达不一致的问题。
3. 通用化消息内容合法品牌发送的消息通常包含具体细节，例如称呼客户的姓名、引用特定订单号，或准确说明问题所在。一条模糊的消息（如 “你的账户存在问题”）且未提供更多细节，就是一个明显的危险信号。
4. 伪造的网址与电子邮件地址诈骗者经常使用乍看之下合法的网址和电子邮件地址。例如，一封来自 “[email protected]” 的邮件可能看似安全，但仔细观察会发现，“Microsoft” 中的字母 “m” 被替换成了 “r” 和 “n”。另一种常见手段是使用类似 “bankingapp.scamsite.com” 的网址。用户可能会认为该链接指向bankingapp.com，但实际上它指向的是scamsite.com的子域名。黑客还可能使用链接缩短服务来隐藏恶意网址。
5. 其他标志诈骗者可能会发送受害者未请求且未预期收到的文件或附件；他们可能会在消息和网页中使用图片形式的文本，而非实际文本，以规避垃圾邮件过滤器。部分诈骗者会利用热点事件激怒受害者。例如，IBM X-Force 发现，诈骗者经常利用乌克兰冲突来煽动目标的情绪。

网络钓鱼的防范与缓解措施

1. 安全意识培训与企业政策由于钓鱼骗局的攻击对象是人，员工往往是企业防范此类攻击的第一道，也是最后一道防线。企业可以通过培训，教会用户如何识别钓鱼企图的标志，以及如何应对可疑的电子邮件和短信。这包括为员工提供便捷的渠道，向 IT 或安全团队报告钓鱼企图。企业还可以制定相关政策和流程，增加钓鱼者的攻击难度。例如，企业可禁止通过电子邮件发起资金转账；要求员工通过消息以外的渠道验证资金或信息索取请求的真实性（如直接在浏览器中输入网址，而非点击链接；拨打同事的办公电话，而非回复未知号码的短信）。
2. 反钓鱼工具与技术企业可以在员工培训和公司政策的基础上，辅以安全工具，帮助检测钓鱼消息，并阻止利用钓鱼手段入侵网络的黑客。

• 垃圾邮件过滤器与电子邮件安全软件

  利用已知钓鱼骗局的数据和机器学习算法，识别钓鱼邮件和其他垃圾邮件，并将其移至单独文件夹，同时清除其中的恶意链接和代码。

• 防病毒与反恶意软件软件

  检测并清除钓鱼邮件携带的恶意文件或代码。

• 多因素认证（Multifactor Authentication, MFA）

  防止黑客劫持用户账户。钓鱼者可以窃取密码，但很难获取指纹扫描、一次性验证码等第二验证因素。

• 终端安全工具

  如终端检测与响应（EDR）和统一终端管理（UEM）解决方案，可利用人工智能和高级分析技术拦截钓鱼企图并阻止恶意软件。

• 网络过滤器

  阻止用户访问已知的恶意网站，并在用户访问可疑页面时发出警报。若用户不慎点击钓鱼链接，此类工具可帮助减轻损害。

• 企业级网络安全解决方案

  如安全编排、自动化与响应（SOAR）和安全信息与事件管理（SIEM）平台，利用人工智能和自动化技术检测并响应异常活动，阻止试图安装恶意软件或劫持账户的钓鱼者。

本公众号各类文章仅供学习交流之用！

更多资料获取，请加入【网络安全行业研究】知识星球

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CISSP Learning 王水江《phishing》