AI使网络钓鱼成功率飙升4.5倍

人工智能安全威胁的狼终于来了！根据微软最新发布的《2025年数字防御报告》，AI彻底打破了网络安全的攻防平衡，尤其是网络钓鱼的攻击规模和效率大幅提升。

AI钓鱼：点击率飙升、利润暴涨

传统的钓鱼邮件往往因语法蹩脚（尤其是跨国跨语种跨行业攻击）、逻辑混乱而易于识破。但AI时代，这一切都已改变。

根据微软的统计数据，由AI自动化生成的网络钓鱼邮件，其点击率已经飙升至54%，而传统非AI钓鱼邮件的点击率仅为12%。这意味着，AI加持下的钓鱼攻击有效性飙升了4.5倍。

更令人震惊的是其潜在的经济效益。报告宣称，AI不仅提高了点击率，还可能使网络钓鱼的盈利能力激增高达50倍。

AI使得犯罪分子能够：

• 精准定制：针对特定受害者精心制作更具针对性的诱饵。

• 跨越语言障碍：自动生成受害者母语的、行文流畅的欺诈内容。

• 高度仿真：制造出更难以辨别的虚假场景和紧急事务。

微软在报告中警告：“这种巨大的投资回报将激励那些尚未使用AI的威胁行为者，将其迅速纳入自己的工具箱。”

从网络犯罪到国家级对抗，网络攻击全面“AI化”

AI的威胁远不止于网络钓鱼。犯罪分子正将AI全面整合到攻击的各个环节：

• 攻击自动化：更快、更大规模地扫描和利用漏洞。

• 侦察与社工：自动化进行侦察，锁定个人和组织进行社会工程攻击。

• 恶意软件开发：辅助生成和变种恶意软件。

与此同时，语音克隆和深度伪造（Deepfake）视频等新型AI工具，为攻击者提供了前所未有的欺骗手段。甚至大型语言模型（LLM）本身，也已成为新的攻击界面。

值得注意的是，这不仅是“散兵游勇”的狂欢。微软客户安全与信任企业副总裁 Amy Hogan-Burney指出：“国家级行为体也在持续将AI纳入其网络影响力行动。”

数据显示，这一趋势正在急剧加速：

• 2023年7月：微软记录到由政府支持的组织产生的AI内容样本为0个。

• 2024年7月：这一数字跃升至50个。

• 2025年1月：约125个样本。

• 2025年7月：飙升至约225个样本。

尽管国家级攻击（仅在美国就记录了623起）威胁严重，但报告强调，对大多数组织而言，最直接的威胁仍来自逐利的网络犯罪分子。数据显示，在所有已知动机的攻击中，至少52%是由经济利益驱动的，而纯粹的间谍攻击仅占4%。

攻击新范式：“登录”而非“闯入”

微软观察到，攻击者获取初始访问权限的方式正发生“急剧变化”。

传统的“闯入”（Breaking In）模式（如暴力破解）正在被“登录”（Logging In）模式取代。攻击者不再依赖“简单的钓鱼”，而是转向“多阶段攻击链”，这种攻击链混合了技术漏洞利用、社会工程、基础设施滥用以及通过合法平台进行规避。

异军突起：ClickFix成为头号初始访问威胁

在所有初始访问方式中，一种名为ClickFix的新型社会工程技术已经异军突起，成为过去一年中最常见的威胁。

ClickFix是一种诱骗用户在自己机器上执行恶意命令的技巧，通常伪装成合法的修复程序或系统提示，从而绕过传统的钓鱼防御机制。

数据显示，在微软Defender专家观察到的攻击通知中，ClickFix占比高达 47%，成为最常见的初始访问方式。网络钓鱼（Phishing）退居第二，占比 35%。

网络犯罪团伙和国家队都在使用ClickFix来分发信息窃取器、远程访问木马（RAT）和后门。

高级组合拳：邮件轰炸+Vishing+Teams伪装

报告还揭示了一种日益复杂的“组合拳”战术，该战术将邮件轰炸、语音钓鱼（Vishing）和Microsoft Teams伪装巧妙地结合起来。

攻击步骤如下：

• 邮件轰炸：攻击者首先将受害者的邮箱注册到数千个新闻通讯和在线服务中，使其收件箱瞬间被成百上千的订阅邮件淹没。

• 隐藏关键警报：其真正目的是利用这些“噪音”来隐藏关键的安全警报，例如密码重置、多因素认证（MFA）请求或欺诈警报。

• Vishing/Teams伪装：随后，攻击者会通过电话（Vishing）或冒充的Teams消息联系目标，伪装成IT支持人员，声称能“帮助解决邮件轰炸问题”。

• 建立信任并获取控制：在受害者不堪其扰、急于解决问题的心态下，攻击者会引导其安装远程访问工具（RATs）。

• 攻击得手：一旦安装，攻击者便获得了“手控键盘”（hands-on-keyboard）的控制权，可以部署恶意软件、窃取数据并保持持久化访问。

GoUpSec总结：AI时代，人成为最重要的防火墙

微软报告表明，AI已经成为黑客的核心生产力工具。防御方正面临着前所未有的挑战：攻击者不再是简单的“闯入者”，而是善于利用AI、社会工程和合法工具的“欺诈艺术家”。

传统的安全边界正在被瓦解，“人的防火墙”——即员工的安全意识和对新型欺诈手法的警惕，已成为网络安全防御体系中至关重要、也最易被攻破的一环。网络钓鱼点击率的飙升，表明大多数企业急需加强/升级对员工的安全意识培训，以应对AI时代网络钓鱼的威胁升级。

参考链接：

https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/bade/documents/products-and-services/en-us/security/Microsoft-Digital-Defense-Report-2025.pdf

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。