文章总结： 报告分析了2025年邮件安全态势，指出超六成攻击依赖身份伪造与BEC，攻击者滥用合法服务及HTML附件规避检测。预测2026年将面临AI驱动社交工程、二维码钓鱼及供应链攻击等威胁。建议建立查证断点、强化供应商管理及开展新型演练，以零信任思维构建多层防御体系。 综合评分： 88 文章分类： 威胁情报,社会工程学,安全意识

守内安 X ASRC 2025 年邮件安全回顾与预测

守内安

安在

2026年1月12日 18:45 上海

在分析 ASRC 2025 年全年监测的约 40 亿封邮件流后发现，当前网络攻击以伪造攻击（Forgery）为主要手段，超六成攻击通过身份伪造（Spoofing）、商业电子邮件诈骗（BEC）实施欺诈，其中大量攻击借助注册与知名企业相似的域名发送钓鱼邮件，利用视觉混淆诱导收件人上当。当前网络攻击以伪造攻击（Forgery）为主要手段，超六成攻击通过身份伪造（Spoofing）、商业电子邮件诈骗（BEC）实施欺诈，其中大量攻击借助注册与知名企业相似的域名发送钓鱼邮件，利用视觉混淆诱导收件人上当。

在邮件规避侦测的手段中，以 PDF 格式作为活页夹带载体的方式增长最为显著，攻击者试图通过该格式绕过安全检测，实现宣传推广或恶意代码传播。而在恶意附件拦截统计中，Office 文件格式仍是攻击者最主要的利用对象，其广泛的办公场景应用和复杂的文件结构，使其成为恶意代码植入的高频载体。

此外，回顾 2025 年电子邮件安全攻防态势可见，攻击者正大规模借助“合法化伪装”与“心理诱导”两大手段实施渗透。传统以黑白名单为核心的边界防御机制，因无法应对这类隐蔽性攻击，正逐步陷入失效困境。

本报告将深度剖析本年度这两大核心威胁的技术路径与演化特征，并基于攻防对抗现状，对 2026 年电子邮件安全威胁趋势做出前瞻性预测。

一、 合法服务武器化

(Weaponization of Legitimate Services)

攻击者采用基础设施寄生攻击手段，依托合法网络基础设施构建恶意邮件的传播通道，通过篡改邮件的外观特征与技术检测维度参数，使其呈现出合规无害的表象，从而规避安全网关的特征识别与拦截机制。

1. 滥用 URL 重写（URL Rewriting）防护机制：攻击者盗用企业合法账号发送恶意邮件，邮件内嵌的恶意链接已被微软 Safelinks 等主流安全防护机制重写。由于链接域名显示为安全厂商官方后缀，用户易误判其经过安全扫描且无风险，进而大幅降低警惕性，最终点击中招。

(滥用「重写（URL Rewriting）」防护机制用以躲避URL检测)

2. 利用短网址与开放式跳转（Open Redirect）漏洞：攻击者瞄准知名网站未修复的跳转功能漏洞，构造形如 legitimate.com/redirect?url=evil.com 的恶意链接。此类链接的域名源自合法平台，会让邮件过滤系统误判为安全网址，而用户点击后则会被暗中导向钓鱼页面。

(利用知名网站未修补的跳转漏洞，让邮件网关误判为合法网站链接)

3. 合法网站沦为恶意攻击跳板：攻击者瞄准维护不善的合法网站（如 WordPress 站点）实施入侵，并在站内植入恶意页面。此类网站因长期积累的良好域名信誉，其恶意流量极难被安全防护系统识别和拦截。

二、社交工程本地化与精细化

(Advanced Social Engineering)

攻击剧本已脱离通用模板，转向针对本地使用者的生活习惯、常用软件偏好及法律敬畏心理，进行高度定制化设计，精准提升欺诈成功率。

1. 跨平台引流诈骗：攻击者多借助 Gmail、mail.ru、AOL、Hotmail、Yahoo 等免费邮箱或发信工具发送邮件。此类邮件仅作为引流诱饵，不内嵌恶意链接及附件，大幅降低被安全防护设备检测拦截的概率。其核心目的是将受害者引导至封闭社交群组或其他可实现隔离式一对一互动的渠道，完成后续诈骗铺垫。同时，发送者常伪装为公开可查询的企业负责人、高管等身份，以此强化受害者的信任感，同时施加威权压力，迫使受害者配合操作。

（伪造负责人或高管发信，并在邮件内提供手机号码或QQ账号，诱骗使用者联系）

2. 权威机构与生活服务伪造：假冒综合补贴办理通知、税务通知或法院传票等，利用逾期、紧急及民众对政府公信力的认可，诱骗点击恶意连结。

（伪造综合补贴办理通知，诱骗点击恶意链接）

4. 高度逼真的「侵权警告」诈骗：攻击者发送内容详尽、举证“充分” 的版权侵害通知邮件，邮件虽看似极具威慑力，但发信源多为 Gmail 等免费邮箱。该手法精准利用受害者害怕卷入法律纠纷的恐慌心理，诱导其点击邮件内的恶意链接，最终实施诈骗或植入恶意程序。

5. ClickFix 手法的技术演变与升级：2025年年初，邮件中的 ClickFix 攻击主要以社交工程手段诱导使用者手动复制粘贴 PowerShell 指令。

（让受害者自行瓦解操作系统的安全防护措施）

到 2025 年年末，我们发现了新型特殊 ClickFix 攻击，其传播载体全面升级为 HTML 附件的攻击形式。

（整体改用HTML附件的方式进行攻击）

这类新型攻击的迷惑性极强：受害者打开 HTML 文件时，浏览器会弹出伪造的 Google利用

（利用视觉化Google reCAPTCHA让受害者放下戒心）

当受害者打开此恶意 HTML 文件的瞬间，文件内置的document.execCommand(‘copy’);代码会自动将恶意内容写入受害者计算机的剪贴板；随后攻击页面会引导受害者通过Win+R调出 Windows “执行” 窗口，再以Ctrl+V粘贴剪贴板中的恶意代码并执行。

值得注意的是，攻击所使用的核心恶意代码及恶意软件下载链接，均采用 Base64 编码处理以提升侦测难度。

（附件型的Clickfix攻击）

经对 Base64 编码内容解码后，可识别出真实的恶意链接及俄文程序代码批注，据此推测该类 ClickFix 攻击的设计者大概率使用俄文语系。

（解码后，可见恶意链接及俄文程序代码批注）

防御的核心困境

“人” 是最后，也是最脆弱的防线。尽管 SPF、DKIM、DMARC 等技术层面的邮件验证机制已相当普及，有效垫高了攻击门槛，但也迫使攻击者将目标转向 “人的认知”。未来的防御重点已无法单纯依赖技术侦测，而必须着重于提升使用者的威胁识别能力。但目前我们正面临严峻的“教育困境”：过去推行的安全防护教育，多以教导用户识别安全特征为主，例如 “检查网址合法性”“确认 HTTPS 锁头图标”“依赖防毒扫描结果” 等；如今这些安全特征反而被攻击者利用，他们借助合法服务与加密凭证，让恶意邮件具备所有 “被教导过” 的安全特征，令用户的传统防护思维彻底失效。因此，使用者必须重建安全思维，从 “信任合法特征” 转向建立 “零信任” 的数字行为习惯。

2026 年技术趋势预测

AI 驱动的「超逼真」社交工程 (AI-Powered Social Engineering)

随着生成式 AI 技术的成熟，2026 年的钓鱼邮件将彻底摆脱 “语意不通”“繁简字体混杂” 的刻板印象。攻击者将利用 AI 生成语气自然、逻辑严谨，且完全贴合当地文化用语的邮件内容。更值得警惕的是，攻击将升级为“多模态（Multimodal）” 形式，结合 AI 生成的深伪（Deepfake）语音（如假冒企业负责人的语音指令）、视频、图片与高度逼真的商业文件，构建无懈可击的诈骗场景。

二维码钓鱼 (Quishing) 常态化

二维码将成为攻击者规避技术侦测的核心利器。加之移动设备扫描二维码后，往往缺乏完整的网站查验方式，这一特性形成了完美的防御缺口。预期 2026 年攻击者将更频繁地将恶意链接转换为二维码，并携带在 PDF 附件或各类文件中，强制使用者切换至防护能力较弱的移动设备进行访问，以此绕过传统安全网关的检测。

供应链深度攻击(Supply Chain & VEC)

在直接入侵目标企业的难度日益提升的情况下，攻击者将目标锁定该企业的上下游供货商，实施供应链攻击。攻击者会潜伏于供货商的邮件系统中，长期监控企业间的业务往来邮件；一旦侦测到付款、合同签订等关键节点，就利用真实的历史邮件流发起 “回信攻击（Reply-chain Attack）”，悄无声息地插入诈骗汇款信息。这类攻击手法极具隐蔽性，极难被察觉，将成为企业财务损失的最大风险源。

浏览器即战场 (Browser-based Threats)

攻击重心将进一步向浏览器层面转移。一方面，攻击者会利用浏览器恶意扩展套件，获取用户的敏感操作权限；与此同时，利用 PWA（渐进式网页应用程序）技术，将恶意软件伪装成合法 APP 诱导用户安装，借此绕过操作系统的安全防护机制，实现长期驻留与隐蔽攻击。

防御策略与建言

面对上述日趋复杂的威胁态势，企业与个人应采取以下主动防御措施，构建多层次安全防护体系：

建立「查证断点」机制：收到任何涉及金钱交易、个人信息提交或法律诉讼的紧急通知邮件时，请强制自己“暂停操作”。切勿直接点击邮件内的链接或下载附件，应通过自行搜寻官方网站公布的客服电话等方式进行独立查证。

强化供货商风险管理：针对企业财务汇款、合同签订等核心流程，建立严格的安全规范。任何涉及收款账户变更的通知，绝不可仅凭电子邮件内容执行，必须通过“邮件以外” 的第二验证渠道（如企业固话、当面确认）进行双重确认。

对「免费邮箱」保持“零信任”：真正具有法律效力的律师函、法院传票，或是企业官方的正式通知，绝不会通过 Gmail、Hotmail、Outlook.com等免费邮箱发送。收到来自此类发信源的相关通知，应立即提高警惕。

拒绝执行不明指令：在浏览网页或打开各类文件时，若遇到要求开启“执行（Run）” 窗口、终端机或 PowerShell，并粘贴陌生代码的操作指引，可直接判定为恶意攻击，应立即关闭相关页面或文件。

「新型态」钓鱼攻击演练：企业内部的社交工程安全演练不应局限于传统的链接点击测试，需加入“二维码扫码钓鱼”“假冒供货商回信攻击”“ClickFix 代码诱骗” 等新型攻击剧本，通过实战化演练提升员工面对真实威胁的识别能力与防御意识。

结语

2026 年，信息安全对抗不再是单纯的攻击技能与防护技术的博弈，更是对人性认知与行为习惯的考验。在信任逐渐崩塌的网络世界中，唯有保持高度警觉与适度的怀疑精神，建立“零信任” 的安全思维，才能有效保全个人与企业的资产和数据安全。

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 守内安《守内安 X ASRC 2025 年邮件安全回顾与预测》