文 | 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心 蘆笛 邵連偉 徐堯* 付家新

2025年，網(wǎng)絡(luò)釣魚(yú)（Phishing）是進(jìn)一步滲透至電信網(wǎng)絡(luò)詐騙、金融犯罪與國(guó)家級(jí)間諜活動(dòng)的核心手段。公安部2025年6月發(fā)布的《電信網(wǎng)絡(luò)詐騙犯罪白皮書(shū)》顯示，網(wǎng)絡(luò)釣魚(yú)在電詐案件中占比超六成。國(guó)家安全部于同年6月亦通報(bào)三起境外間諜利用釣魚(yú)郵件竊密案件。國(guó)際安全機(jī)構(gòu)亦觀察到，全球網(wǎng)絡(luò)釣魚(yú)事件數(shù)量持續(xù)攀升。網(wǎng)絡(luò)釣魚(yú)攻擊已從傳統(tǒng)欺詐，演進(jìn)為高級(jí)持續(xù)性威脅（APT）初始入口、資產(chǎn)劫持前置環(huán)節(jié)與地緣情報(bào)收集手段，其戰(zhàn)略化、精準(zhǔn)化與基礎(chǔ)設(shè)施化特征日益凸顯。

一、2025年網(wǎng)絡(luò)釣魚(yú)攻擊全景概覽

2025年，網(wǎng)絡(luò)釣魚(yú)已從傳統(tǒng)鏈接欺詐演進(jìn)為由人工智能（AI）驅(qū)動(dòng)、多因素認(rèn)證繞過(guò)、供應(yīng)鏈滲透與地緣政治嵌入交織的復(fù)合型系統(tǒng)性威脅，并廣泛用于APT攻擊初始入侵與金融犯罪。

《電信網(wǎng)絡(luò)詐騙犯罪白皮書(shū)》指出，網(wǎng)絡(luò)釣魚(yú)已深度嵌入刷單返利、虛假投資理財(cái)、冒充客服等七類(lèi)高發(fā)電詐類(lèi)型，占全部案件超六成。國(guó)家反詐中心監(jiān)測(cè)數(shù)據(jù)顯示，利用“語(yǔ)音克隆”“AI換臉”等技術(shù)實(shí)施的精準(zhǔn)化釣魚(yú)案件呈增長(zhǎng)態(tài)勢(shì)，個(gè)別案件中受害者的最小年齡記錄為6歲。

在國(guó)家安全層面，網(wǎng)絡(luò)釣魚(yú)被境外情報(bào)機(jī)構(gòu)頻繁用于竊密。2025年6月，國(guó)家安全部通報(bào)三起典型案例。其中一起涉及某國(guó)家級(jí)重點(diǎn)實(shí)驗(yàn)室工作人員因打開(kāi)釣魚(yú)郵件附件，導(dǎo)致計(jì)算機(jī)被植入遠(yuǎn)程控制程序，造成敏感信息外泄；另一起案例顯示，某機(jī)關(guān)單位工作人員誤將偽裝成官方文件的釣魚(yú)郵件當(dāng)作正常通知處理，致使郵箱憑證及內(nèi)部資料被盜。此類(lèi)攻擊多以“政策文件”“會(huì)議通知”“內(nèi)部通告”等形式作為誘餌，精準(zhǔn)投送給政府、科研、軍工等行業(yè)人員，旨在竊取核心情報(bào)。

在國(guó)際方面，微軟威脅情報(bào)與美國(guó)網(wǎng)絡(luò)安全公司“眾擊”（CrowdStrike）在2025年發(fā)布的多份威脅報(bào)告中指出，開(kāi)放授權(quán)（OAuth）濫用仍是企業(yè)環(huán)境中常見(jiàn)的初始入侵向量之一，尤其是在結(jié)合釣魚(yú)郵件與社會(huì)工程時(shí)仍具高效性。攻擊者通過(guò)濫用谷歌Classroom、微軟Teams等合法協(xié)作平臺(tái)分發(fā)惡意鏈接，規(guī)避傳統(tǒng)安全審查機(jī)制。因其默認(rèn)受信，相關(guān)郵件更易繞過(guò)安全網(wǎng)關(guān)并獲得較高點(diǎn)擊率。

上述案例反映出，網(wǎng)絡(luò)釣魚(yú)不僅被持續(xù)用于針對(duì)個(gè)人用戶的財(cái)產(chǎn)侵害，也頻繁地出現(xiàn)在對(duì)政府機(jī)關(guān)、科研單位及關(guān)鍵信息基礎(chǔ)設(shè)施部門(mén)的定向攻擊中。攻擊手段智能化、攻擊路徑系統(tǒng)化，攻擊目標(biāo)涵蓋金融、科技與公共管理等多個(gè)敏感領(lǐng)域。

盡管防火墻、反垃圾郵件網(wǎng)關(guān)和多因素認(rèn)證（MFA）等防護(hù)措施已廣泛部署，2025年網(wǎng)絡(luò)釣魚(yú)攻擊態(tài)勢(shì)仍然表明，現(xiàn)有防御體系面臨新挑戰(zhàn)：AI生成的釣魚(yú)內(nèi)容可動(dòng)態(tài)調(diào)整文本特征以規(guī)避現(xiàn)有的檢測(cè)規(guī)則；攻擊者亦借合法協(xié)作平臺(tái)分發(fā)惡意鏈接，規(guī)避安全審查。這表明，僅靠技術(shù)層面的疊加式防護(hù)，可能難以有效應(yīng)對(duì)融合社會(huì)工程與信任機(jī)制濫用的復(fù)合型攻擊。

二、2025年網(wǎng)絡(luò)釣魚(yú)攻擊的技術(shù)趨勢(shì)

2025年，網(wǎng)絡(luò)釣魚(yú)攻擊在技術(shù)實(shí)現(xiàn)層面呈現(xiàn)出三大顯著趨勢(shì)：智能化內(nèi)容生成、隱蔽化會(huì)話劫持與全渠道協(xié)同投遞。這些技術(shù)演進(jìn)不僅提升了攻擊成功率，也對(duì)傳統(tǒng)防御體系構(gòu)成系統(tǒng)性挑戰(zhàn)。

（一）智能化：人工智能驅(qū)動(dòng)的高仿真釣魚(yú)內(nèi)容生成

AI技術(shù)的普及顯著降低了高質(zhì)量釣魚(yú)素材的制作門(mén)檻。2025年，攻擊者利用大語(yǔ)言模型（LLM）自動(dòng)生成高度仿真的釣魚(yú)郵件、短信及社交私信。能動(dòng)態(tài)嵌入目標(biāo)企業(yè)的真實(shí)部門(mén)名稱、公告關(guān)鍵詞、行業(yè)術(shù)語(yǔ)乃至內(nèi)部行文風(fēng)格，欺騙性顯著提升。例如，某大型制造企業(yè)收到以“增值稅專用發(fā)票信息變更通知”為題的釣魚(yú)郵件，內(nèi)含準(zhǔn)確的財(cái)務(wù)對(duì)接人姓名、公司稅號(hào)及近期合作項(xiàng)目簡(jiǎn)稱，后被確認(rèn)為AI批量生成。類(lèi)似手法還被用于冒充銀行、證券公司發(fā)送“賬戶異常提醒”，誘導(dǎo)用戶點(diǎn)擊惡意鏈接。

此外，AI語(yǔ)音克隆與換臉技術(shù)進(jìn)一步拓展了釣魚(yú)載體。國(guó)家反詐中心通報(bào)的多起案件顯示，攻擊者通過(guò)合成親屬或同事聲音撥打電話，謊稱“緊急轉(zhuǎn)賬”“驗(yàn)證碼協(xié)助”，成功繞過(guò)用戶警惕。此類(lèi)語(yǔ)音釣魚(yú)（Vishing）在2025年呈明顯上升趨勢(shì)，尤其針對(duì)老年群體與遠(yuǎn)程辦公人員。

（二）隱蔽化：繞過(guò)多因素認(rèn)證的會(huì)話劫持

盡管MFA已廣泛部署，但2025年的攻擊事件表明，其并非絕對(duì)安全。攻擊者通過(guò)中間人代理（AitM）技術(shù)，構(gòu)建透明代理服務(wù)器，在用戶與合法服務(wù)之間實(shí)時(shí)轉(zhuǎn)發(fā)流量，從而在用戶完成MFA驗(yàn)證后直接接管會(huì)話。

微軟安全團(tuán)隊(duì)指出，此類(lèi)攻擊常結(jié)合OAuth權(quán)限濫用實(shí)施。攻擊者誘導(dǎo)用戶授權(quán)一個(gè)看似無(wú)害的第三方應(yīng)用（如文檔掃描工具、會(huì)議日程同步器），實(shí)則請(qǐng)求高危API權(quán)限（如讀取郵箱、發(fā)送郵件等）。一旦授權(quán)，即便未獲取密碼，攻擊者也可通過(guò)合法API接口訪問(wèn)用戶數(shù)據(jù)。

雖然主流云服務(wù)商已加強(qiáng)第三方應(yīng)用審核（如引入發(fā)布者驗(yàn)證、權(quán)限分級(jí)提示、風(fēng)險(xiǎn)評(píng)分機(jī)制等），但由于用戶授權(quán)操作本身通常不觸發(fā)MFA驗(yàn)證，只要用戶在特定上下文中點(diǎn)擊“同意”，權(quán)限即被授予。生成式人工智能（GAI）進(jìn)一步放大了這一風(fēng)險(xiǎn)——攻擊者可批量生成語(yǔ)義自然、品牌仿真的應(yīng)用名稱與權(quán)限請(qǐng)求描述文本，顯著提高了社會(huì)工程誘導(dǎo)的成功率。CrowdStrike在2025年報(bào)告中強(qiáng)調(diào)，OAuth濫用仍是企業(yè)環(huán)境中常見(jiàn)的初始入侵向量之一。

（三）全渠道化：從郵件到協(xié)作平臺(tái)的攻擊泛化

2025年，網(wǎng)絡(luò)釣魚(yú)攻擊載體加速向非傳統(tǒng)郵件渠道遷移。谷歌Classroom、Slack、企業(yè)微信等協(xié)作平臺(tái)因具備高信任度與低審查強(qiáng)度，成為攻擊者的新寵。例如，攻擊者利用釘釘群組發(fā)送偽裝成“教務(wù)處通知”或“在線課堂回放鏈接”的消息，誘導(dǎo)師生點(diǎn)擊跳轉(zhuǎn)至仿冒的統(tǒng)一身份認(rèn)證頁(yè)面，竊取校園賬號(hào)憑證。由于此類(lèi)消息出現(xiàn)在日常教學(xué)管理場(chǎng)景中，且鏈接常使用短網(wǎng)址跳轉(zhuǎn)頁(yè)，導(dǎo)致用戶難以察覺(jué)異常。

微軟Teams亦被頻繁濫用。攻擊者偽造“IT支持”“HR通知”等頻道發(fā)送含惡意鏈接的消息。由于Teams消息通常不經(jīng)過(guò)企業(yè)郵件網(wǎng)關(guān)過(guò)濾，且默認(rèn)標(biāo)記為“內(nèi)部通信”，用戶點(diǎn)擊率顯著高于普通郵件。KnowBe4發(fā)布的《2025年網(wǎng)絡(luò)釣魚(yú)行業(yè)基準(zhǔn)報(bào)告》顯示，協(xié)作平臺(tái)釣魚(yú)鏈接在模擬測(cè)試中的點(diǎn)擊率比傳統(tǒng)郵件高出37%。同時(shí)，二維碼釣魚(yú)（Quishing）在移動(dòng)端持續(xù)蔓延。攻擊者將惡意URL編碼為二維碼，張貼于公共場(chǎng)所或嵌入偽造的電子票據(jù)中，誘導(dǎo)用戶掃碼跳轉(zhuǎn)至釣魚(yú)頁(yè)面。因多數(shù)移動(dòng)瀏覽器不顯示完整域名，用戶難以識(shí)別異常。

三、2025年網(wǎng)絡(luò)釣魚(yú)攻擊意圖的升級(jí)與戰(zhàn)略化

2025年，網(wǎng)絡(luò)釣魚(yú)的攻擊目標(biāo)已顯著超越傳統(tǒng)經(jīng)濟(jì)利益驅(qū)動(dòng)，逐步演進(jìn)為服務(wù)于APT、金融基礎(chǔ)設(shè)施劫持與地緣政治滲透的戰(zhàn)略工具。其使用場(chǎng)景從個(gè)體欺詐擴(kuò)展至系統(tǒng)性情報(bào)竊取與關(guān)鍵資產(chǎn)控制，體現(xiàn)出明顯的意圖升級(jí)與任務(wù)導(dǎo)向特征。

（一）APT中的初始入口角色

在國(guó)家級(jí)APT活動(dòng)中，網(wǎng)絡(luò)釣魚(yú)繼續(xù)作為最常用的初始入侵手段。2025年，境外APT組織普遍采用AI批量生成的高仿真郵件，針對(duì)政府機(jī)構(gòu)、科研單位及國(guó)防科技企業(yè)實(shí)施定向投遞。郵件主題多偽裝為“政策解讀”“項(xiàng)目協(xié)作邀請(qǐng)”“會(huì)議紀(jì)要”等日常工作內(nèi)容，附件或鏈接中嵌入定制化后門(mén)程序。

國(guó)家安全部通報(bào)的三起間諜案件中，均以釣魚(yú)郵件為突破口，通過(guò)釣魚(yú)鏈接或附件，導(dǎo)致計(jì)算機(jī)被植入遠(yuǎn)程控制程序，從而竊取敏感技術(shù)資料。此類(lèi)攻擊不再追求廣撒網(wǎng)，而是基于前期情報(bào)偵察，精準(zhǔn)鎖定具備訪問(wèn)權(quán)限的關(guān)鍵人員，實(shí)現(xiàn)“一人一點(diǎn)、縱深滲透”。

（二）金融犯罪中的基礎(chǔ)設(shè)施化

在網(wǎng)絡(luò)金融領(lǐng)域，釣魚(yú)攻擊已從末端欺詐轉(zhuǎn)變?yōu)橘Y產(chǎn)劫持的前置環(huán)節(jié)。例如，針對(duì)金融機(jī)構(gòu)員工的語(yǔ)音釣魚(yú)曾致客戶身份信息與系統(tǒng)憑證泄露；圍繞Veeam等IT管理平臺(tái)的釣魚(yú)則常用于獲取運(yùn)維權(quán)限，為后續(xù)勒索或外傳提供跳板。

近年來(lái)，網(wǎng)絡(luò)釣魚(yú)與加密貨幣生態(tài)的交互日益頻繁。2025年公開(kāi)案例顯示，部分Aave投資者因點(diǎn)擊仿冒谷歌廣告鏈接，誤入虛假登錄頁(yè)致錢(qián)包私鑰泄露；DeFi平臺(tái)Venus Protocol亦遭OAuth授權(quán)釣魚(yú)攻擊，導(dǎo)致約2700萬(wàn)美元資產(chǎn)被未授權(quán)轉(zhuǎn)移。這些事件反映出，網(wǎng)絡(luò)釣魚(yú)不僅用于直接盜取數(shù)字資產(chǎn)，還可作為構(gòu)建自動(dòng)化資金流轉(zhuǎn)路徑的前置環(huán)節(jié)，服務(wù)于資產(chǎn)清洗、市場(chǎng)操縱或非法融資等活動(dòng)。

由此，網(wǎng)絡(luò)釣魚(yú)在金融犯罪鏈條中的角色趨于“基礎(chǔ)設(shè)施化”：不再局限于單一欺詐，而是嵌入復(fù)雜攻擊生命周期，支撐跨平臺(tái)、跨協(xié)議的資金劫持與隱匿，對(duì)金融系統(tǒng)完整性與用戶信任構(gòu)成潛在威脅。

（三）地緣政治背景下的定向滲透

2025年，網(wǎng)絡(luò)釣魚(yú)被頻繁用于服務(wù)地緣政治目的的信息戰(zhàn)與輿論干擾。攻擊者將媒體、公關(guān)、智庫(kù)及國(guó)際交流機(jī)構(gòu)列為重點(diǎn)目標(biāo)，試圖通過(guò)竊取內(nèi)部通信、偽造信源或操控發(fā)布渠道，影響公眾認(rèn)知與政策判斷。

有報(bào)告指出，攻擊者利用GAI偽造記者身份，以高仿真采訪請(qǐng)求或新聞稿邀約誘導(dǎo)企業(yè)高管及公職人員披露敏感信息。部分案例還結(jié)合深度偽造語(yǔ)音技術(shù)模擬真實(shí)通話，在時(shí)間壓力下促發(fā)信息泄露。

此類(lèi)攻擊呈現(xiàn)“社會(huì)工程自動(dòng)化”趨勢(shì)：AI可批量生成契合地域語(yǔ)言、文化語(yǔ)境與職業(yè)身份的內(nèi)容，實(shí)現(xiàn)低成本、規(guī)?；男睦碚T導(dǎo)。其影響已超越個(gè)體信息泄露，可能被用于制造虛假輿論、干擾公共決策，甚至削弱國(guó)家信息治理能力。

此外，部分跨境網(wǎng)絡(luò)釣魚(yú)活動(dòng)定向采集地理測(cè)繪、城市規(guī)劃、人口流動(dòng)等敏感數(shù)據(jù)。若被系統(tǒng)性匯聚并用于建模分析，或可輔助外部實(shí)體進(jìn)行社會(huì)態(tài)勢(shì)推演或戰(zhàn)略預(yù)判。盡管尚無(wú)公開(kāi)證據(jù)表明此類(lèi)數(shù)據(jù)已直接影響國(guó)家決策，但其長(zhǎng)期積累將對(duì)數(shù)據(jù)自主控制構(gòu)成潛在壓力，凸顯在網(wǎng)絡(luò)安全框架下深化“數(shù)字主權(quán)”議題的必要性。

四、2025年網(wǎng)絡(luò)釣魚(yú)核心數(shù)據(jù)盤(pán)點(diǎn)

2025年，多份行業(yè)報(bào)告與安全通報(bào)揭示了網(wǎng)絡(luò)釣魚(yú)在攻擊來(lái)源、目標(biāo)選擇與技術(shù)手法上的新特征。

（一）境外釣魚(yú)郵件占比升至70.69%

據(jù)Coremail與CACTER聯(lián)合發(fā)布的《2025年Q3企業(yè)郵箱安全性報(bào)告》，針對(duì)中國(guó)企業(yè)的釣魚(yú)郵件中，境外來(lái)源占比達(dá)70.69%，較上半年進(jìn)一步上升。其中，越南成為最大攻擊源，單季度發(fā)送釣魚(yú)郵件2248.7萬(wàn)封，主要偽裝為跨境貿(mào)易、物流通知及財(cái)務(wù)對(duì)賬類(lèi)內(nèi)容。

（二）BEC詐騙中Gmail賬戶占比達(dá)70%

反網(wǎng)絡(luò)釣魚(yú)工作組（APWG）發(fā)布的《2025年第二季度網(wǎng)絡(luò)釣魚(yú)活動(dòng)趨勢(shì)報(bào)告》指出，在商業(yè)郵件欺詐（BEC）攻擊中，70%的詐騙賬戶注冊(cè)于Gmail，遠(yuǎn)高于微軟郵箱（15%）。除此之外，攻擊者還利用與企業(yè)品牌高度相似的域名注冊(cè)免費(fèi)郵箱（如support@ta0ba0.com），冒充供應(yīng)商或高管發(fā)起釣魚(yú)轉(zhuǎn)賬。

（三）新型URL結(jié)構(gòu)繞過(guò)傳統(tǒng)檢測(cè)機(jī)制

2025年10月，IEEE Spectrum報(bào)道，攻擊者開(kāi)始使用嵌入通用唯一識(shí)別碼（UUID）樣式的長(zhǎng)鏈接制作釣魚(yú)URL。此類(lèi)鏈接因看似“系統(tǒng)自動(dòng)生成”，可有效繞過(guò)安全網(wǎng)關(guān)的關(guān)鍵詞黑名單與用戶警覺(jué)，常與短鏈服務(wù)及一次性托管頁(yè)面結(jié)合使用。

（四）假冒買(mǎi)家騙局在跨境電商場(chǎng)景高發(fā)

2025年年末，東南亞多地執(zhí)法機(jī)構(gòu)通報(bào)多起“假冒買(mǎi)家”釣魚(yú)詐騙案。攻擊者以大額采購(gòu)為誘餌，誘導(dǎo)電商平臺(tái)賣(mài)家點(diǎn)擊偽造的“支付成功”或“訂單確認(rèn)”頁(yè)面，竊取商戶后臺(tái)登錄憑證。此類(lèi)手法與中國(guó)跨境電商從業(yè)者面臨的社交工程風(fēng)險(xiǎn)高度一致，凸顯非平臺(tái)內(nèi)溝通渠道的安全隱患。

（五）品牌仿冒向政務(wù)與金融場(chǎng)景遷移

2025年年末，攻擊者大規(guī)模濫用DocuSign等電子簽名品牌，發(fā)送“貸款預(yù)批文件待簽署”類(lèi)釣魚(yú)郵件。盡管該服務(wù)在國(guó)內(nèi)使用有限，但同類(lèi)策略已本土化為“電子營(yíng)業(yè)執(zhí)照更新”“稅務(wù)UKey認(rèn)證”“銀行賬戶年檢”等政務(wù)與金融主題，利用用戶對(duì)官方流程的信任實(shí)施誘導(dǎo)。

（六）財(cái)政類(lèi)釣魚(yú)瞄準(zhǔn)中小企業(yè)財(cái)務(wù)崗位

2025年第四季度，以“稅務(wù)退稅”“社保補(bǔ)貼發(fā)放”“公積金調(diào)整”為關(guān)鍵詞的釣魚(yú)郵件顯著增多。攻擊頁(yè)面高度仿冒政府服務(wù)平臺(tái)，要求用戶輸入身份證號(hào)、銀行卡號(hào)及手機(jī)號(hào)。此類(lèi)攻擊主要針對(duì)中小企業(yè)財(cái)務(wù)與人事人員，利用年末財(cái)政業(yè)務(wù)密集期的信息焦慮，提升點(diǎn)擊與填寫(xiě)率。

五、2026年防御展望：構(gòu)建主動(dòng)協(xié)同的反釣魚(yú)體系

面對(duì)智能化、隱蔽化與全渠道化趨勢(shì)，單一技術(shù)升級(jí)或孤立政策干預(yù)難以形成系統(tǒng)性應(yīng)對(duì)能力。因此，需構(gòu)建以問(wèn)題為導(dǎo)向、以協(xié)同為核心、以閉環(huán)響應(yīng)為目標(biāo)的治理框架。結(jié)合公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚(yú)工作組的機(jī)制探索與國(guó)際實(shí)踐經(jīng)驗(yàn)，本文提出一套與前述相適應(yīng)的本土化協(xié)同治理路徑，推動(dòng)國(guó)家網(wǎng)絡(luò)安全體系由被動(dòng)響應(yīng)向主動(dòng)防御轉(zhuǎn)型。

（一）強(qiáng)化基于AI的沉浸式安全意識(shí)訓(xùn)練

用戶行為是防御鏈條中的關(guān)鍵變量。為提升個(gè)體在復(fù)雜社會(huì)工程場(chǎng)景中的判斷力，建議推廣基于GAI的沉浸式安全訓(xùn)練：通過(guò)脫敏處理的真實(shí)釣魚(yú)郵件模板，開(kāi)展高頻、動(dòng)態(tài)的“紅藍(lán)對(duì)抗”演練。例如，反釣工作組可聯(lián)合金融機(jī)構(gòu)試點(diǎn)“AI釣魚(yú)模擬平臺(tái)”，定期向員工推送語(yǔ)義高度仿真的測(cè)試郵件，實(shí)時(shí)監(jiān)測(cè)點(diǎn)擊率與上報(bào)率，并據(jù)此動(dòng)態(tài)調(diào)整訓(xùn)練強(qiáng)度。

根據(jù)KnowBe4的報(bào)告，實(shí)施月度模擬測(cè)試的組織，其員工對(duì)釣魚(yú)郵件的敏感度在90天內(nèi)平均提升58%。該數(shù)據(jù)顯示，持續(xù)性、情境化的訓(xùn)練比一次性培訓(xùn)更具成效。我國(guó)可在金融、政務(wù)等高風(fēng)險(xiǎn)行業(yè)率先建立常態(tài)化AI驅(qū)動(dòng)的演練機(jī)制，逐步實(shí)現(xiàn)從“知識(shí)灌輸”向“行為塑造”的轉(zhuǎn)變。

除技術(shù)演練外，組織文化深刻影響安全行為?？山梃b美國(guó)國(guó)家航空航天局（NASA）“無(wú)責(zé)報(bào)告”經(jīng)驗(yàn)，在關(guān)鍵單位推行“安全行為觀察與反饋”機(jī)制，鼓勵(lì)員工分享可疑案例、交流識(shí)別經(jīng)驗(yàn)，并由管理層帶頭參與演練，公開(kāi)反思誤判，打破“權(quán)威不可質(zhì)疑”的慣性，營(yíng)造開(kāi)放透明的溝通環(huán)境。

針對(duì)現(xiàn)行“事后追責(zé)”抑制上報(bào)意愿的問(wèn)題，應(yīng)建立“安全上報(bào)免責(zé)+分級(jí)激勵(lì)”機(jī)制：明確上報(bào)可疑郵件不視為失誤，消除心理障礙；將安全行為納入績(jī)效加分，設(shè)立“年度安全標(biāo)兵”等榮譽(yù)；探索部門(mén)級(jí)“安全積分池”，用于兌換培訓(xùn)或團(tuán)隊(duì)資源。此類(lèi)非金錢(qián)激勵(lì)有助于培育可持續(xù)的安全文化。

（二）加速無(wú)密碼認(rèn)證技術(shù)落地

針對(duì)身份認(rèn)證環(huán)節(jié)的信任漏洞，建議在重點(diǎn)場(chǎng)景優(yōu)先部署抗釣魚(yú)能力強(qiáng)的身份驗(yàn)證技術(shù)。傳統(tǒng)密碼與短信驗(yàn)證碼易被竊取或劫持，而基于線上快速身份驗(yàn)證第二代（FIDO2）標(biāo)準(zhǔn)的Passkeys采用公鑰加密與設(shè)備綁定機(jī)制，用戶無(wú)需輸入憑證即可完成認(rèn)證，有效防御憑證竊取與AitM會(huì)話劫持攻擊。

但Passkeys主要防范認(rèn)證階段的釣魚(yú)風(fēng)險(xiǎn)，對(duì)OAuth授權(quán)濫用、二維碼跳轉(zhuǎn)、語(yǔ)音偽造詐騙等非認(rèn)證類(lèi)攻擊仍存在防護(hù)盲區(qū)。因此，應(yīng)將其定位為縱深防御體系的關(guān)鍵組件，而非萬(wàn)能解決方案。建議結(jié)合零信任架構(gòu)中的權(quán)限最小化、動(dòng)態(tài)訪問(wèn)控制等策略，形成多層次防護(hù)。

參考美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）《數(shù)字身份指南》（SP 800-63）和歐盟《歐盟電子身份、認(rèn)證和信托服務(wù)條例》2.0版（eIDAS 2.0）對(duì)無(wú)密碼認(rèn)證的支持，我國(guó)可結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0，制定分階段、分行業(yè)的Passkeys推廣路線圖。優(yōu)先在金融、政務(wù)、能源等領(lǐng)域試點(diǎn)，配套完善設(shè)備管理、密鑰恢復(fù)與跨平臺(tái)互操作機(jī)制，逐步擴(kuò)大應(yīng)用范圍。

在軟件供應(yīng)鏈方面，開(kāi)源生態(tài)中的依賴包投毒事件頻發(fā)，暴露出發(fā)布者身份驗(yàn)證薄弱的問(wèn)題。應(yīng)推動(dòng)國(guó)內(nèi)代碼托管平臺(tái)建立強(qiáng)身份認(rèn)證機(jī)制?？山梃bGitHub于2024年起強(qiáng)制要求高下載量npm包維護(hù)者啟用MFA的做法，提升供應(yīng)鏈入口安全性。

（三）壓實(shí)平臺(tái)主體責(zé)任，構(gòu)建協(xié)同治理機(jī)制

平臺(tái)作為數(shù)字服務(wù)基礎(chǔ)設(shè)施，其治理能力直接影響釣魚(yú)攻擊的傳播效率。針對(duì)攻擊者濫用微軟Teams、企業(yè)微信、釘釘?shù)瓤尚牌脚_(tái)的現(xiàn)象，建議依據(jù)《中華人民共和國(guó)反電信網(wǎng)絡(luò)詐騙法》第二十五條關(guān)于禁止為詐騙提供支持的規(guī)定，細(xì)化平臺(tái)在第三方應(yīng)用審核、OAuth權(quán)限管理、廣告內(nèi)容過(guò)濾等方面的責(zé)任。

在具體操作層面，可要求平臺(tái)對(duì)高權(quán)限第三方應(yīng)用實(shí)施MFA授權(quán)、品牌相似度AI識(shí)別、釣魚(yú)鏈接實(shí)時(shí)阻斷等技術(shù)措施，強(qiáng)化事前預(yù)防與事中攔截能力。同時(shí)，明確平臺(tái)在用戶教育、異常行為預(yù)警方面的輔助責(zé)任，推動(dòng)形成“平臺(tái)—用戶—監(jiān)管”三方協(xié)同的治理結(jié)構(gòu)。

在跨機(jī)構(gòu)協(xié)作層面，依托反釣工作組已建成的“AI篩查+人工審核”一體化平臺(tái)，共享涉釣涉詐域名與IP地址黑名單數(shù)據(jù)庫(kù)，推動(dòng)成員單位間釣魚(yú)網(wǎng)站與惡意應(yīng)用處置流程的標(biāo)準(zhǔn)化與自動(dòng)化，提升響應(yīng)效率；探索建立“政企協(xié)同、跨境聯(lián)動(dòng)”的反釣魚(yú)執(zhí)法協(xié)作機(jī)制。同時(shí)，加強(qiáng)與APWG、垃圾郵件黑名單組織（Spamhaus）等國(guó)際組織的情報(bào)共享合作。

綜合2025年態(tài)勢(shì)可見(jiàn)，網(wǎng)絡(luò)釣魚(yú)攻擊正呈現(xiàn)出更強(qiáng)的精準(zhǔn)性與戰(zhàn)略意圖，其影響范圍已從傳統(tǒng)財(cái)產(chǎn)損失擴(kuò)展至關(guān)鍵行業(yè)運(yùn)行與敏感信息保護(hù)。面向2026年，提升人員安全意識(shí)、推動(dòng)無(wú)密碼認(rèn)證技術(shù)應(yīng)用、壓實(shí)平臺(tái)主體責(zé)任，是值得重點(diǎn)關(guān)注的防御方向。在日益復(fù)雜的威脅環(huán)境下，技術(shù)、管理與制度的協(xié)同推進(jìn)，有助于持續(xù)提升整體反釣魚(yú)能力。（徐堯系本文通訊作者）

（本文刊登于《中國(guó)信息安全》雜志2026年第1期）