文 | 中国互联网络信息中心 芦笛 邵连伟 徐尧* 付家新
2025年,网络钓鱼(Phishing)是进一步渗透至电信网络诈骗、金融犯罪与国家级间谍活动的核心手段。公安部2025年6月发布的《电信网络诈骗犯罪白皮书》显示,网络钓鱼在电诈案件中占比超六成。国家安全部于同年6月亦通报三起境外间谍利用钓鱼邮件窃密案件。国际安全机构亦观察到,全球网络钓鱼事件数量持续攀升。网络钓鱼攻击已从传统欺诈,演进为高级持续性威胁(APT)初始入口、资产劫持前置环节与地缘情报收集手段,其战略化、精准化与基础设施化特征日益凸显。
一、2025年网络钓鱼攻击全景概览
2025年,网络钓鱼已从传统链接欺诈演进为由人工智能(AI)驱动、多因素认证绕过、供应链渗透与地缘政治嵌入交织的复合型系统性威胁,并广泛用于APT攻击初始入侵与金融犯罪。
《电信网络诈骗犯罪白皮书》指出,网络钓鱼已深度嵌入刷单返利、虚假投资理财、冒充客服等七类高发电诈类型,占全部案件超六成。国家反诈中心监测数据显示,利用“语音克隆”“AI换脸”等技术实施的精准化钓鱼案件呈增长态势,个别案件中受害者的最小年龄记录为6岁。
在国家安全层面,网络钓鱼被境外情报机构频繁用于窃密。2025年6月,国家安全部通报三起典型案例。其中一起涉及某国家级重点实验室工作人员因打开钓鱼邮件附件,导致计算机被植入远程控制程序,造成敏感信息外泄;另一起案例显示,某机关单位工作人员误将伪装成官方文件的钓鱼邮件当作正常通知处理,致使邮箱凭证及内部资料被盗。此类攻击多以“政策文件”“会议通知”“内部通告”等形式作为诱饵,精准投送给政府、科研、军工等行业人员,旨在窃取核心情报。
在国际方面,微软威胁情报与美国网络安全公司“众击”(CrowdStrike)在2025年发布的多份威胁报告中指出,开放授权(OAuth)滥用仍是企业环境中常见的初始入侵向量之一,尤其是在结合钓鱼邮件与社会工程时仍具高效性。攻击者通过滥用谷歌Classroom、微软Teams等合法协作平台分发恶意链接,规避传统安全审查机制。因其默认受信,相关邮件更易绕过安全网关并获得较高点击率。
上述案例反映出,网络钓鱼不仅被持续用于针对个人用户的财产侵害,也频繁地出现在对政府机关、科研单位及关键信息基础设施部门的定向攻击中。攻击手段智能化、攻击路径系统化,攻击目标涵盖金融、科技与公共管理等多个敏感领域。
尽管防火墙、反垃圾邮件网关和多因素认证(MFA)等防护措施已广泛部署,2025年网络钓鱼攻击态势仍然表明,现有防御体系面临新挑战:AI生成的钓鱼内容可动态调整文本特征以规避现有的检测规则;攻击者亦借合法协作平台分发恶意链接,规避安全审查。这表明,仅靠技术层面的叠加式防护,可能难以有效应对融合社会工程与信任机制滥用的复合型攻击。
二、2025年网络钓鱼攻击的技术趋势
2025年,网络钓鱼攻击在技术实现层面呈现出三大显著趋势:智能化内容生成、隐蔽化会话劫持与全渠道协同投递。这些技术演进不仅提升了攻击成功率,也对传统防御体系构成系统性挑战。
(一)智能化:人工智能驱动的高仿真钓鱼内容生成
AI技术的普及显著降低了高质量钓鱼素材的制作门槛。2025年,攻击者利用大语言模型(LLM)自动生成高度仿真的钓鱼邮件、短信及社交私信。能动态嵌入目标企业的真实部门名称、公告关键词、行业术语乃至内部行文风格,欺骗性显著提升。例如,某大型制造企业收到以“增值税专用发票信息变更通知”为题的钓鱼邮件,内含准确的财务对接人姓名、公司税号及近期合作项目简称,后被确认为AI批量生成。类似手法还被用于冒充银行、证券公司发送“账户异常提醒”,诱导用户点击恶意链接。
此外,AI语音克隆与换脸技术进一步拓展了钓鱼载体。国家反诈中心通报的多起案件显示,攻击者通过合成亲属或同事声音拨打电话,谎称“紧急转账”“验证码协助”,成功绕过用户警惕。此类语音钓鱼(Vishing)在2025年呈明显上升趋势,尤其针对老年群体与远程办公人员。
(二)隐蔽化:绕过多因素认证的会话劫持
尽管MFA已广泛部署,但2025年的攻击事件表明,其并非绝对安全。攻击者通过中间人代理(AitM)技术,构建透明代理服务器,在用户与合法服务之间实时转发流量,从而在用户完成MFA验证后直接接管会话。
微软安全团队指出,此类攻击常结合OAuth权限滥用实施。攻击者诱导用户授权一个看似无害的第三方应用(如文档扫描工具、会议日程同步器),实则请求高危API权限(如读取邮箱、发送邮件等)。一旦授权,即便未获取密码,攻击者也可通过合法API接口访问用户数据。
虽然主流云服务商已加强第三方应用审核(如引入发布者验证、权限分级提示、风险评分机制等),但由于用户授权操作本身通常不触发MFA验证,只要用户在特定上下文中点击“同意”,权限即被授予。生成式人工智能(GAI)进一步放大了这一风险——攻击者可批量生成语义自然、品牌仿真的应用名称与权限请求描述文本,显著提高了社会工程诱导的成功率。CrowdStrike在2025年报告中强调,OAuth滥用仍是企业环境中常见的初始入侵向量之一。
(三)全渠道化:从邮件到协作平台的攻击泛化
2025年,网络钓鱼攻击载体加速向非传统邮件渠道迁移。谷歌Classroom、Slack、企业微信等协作平台因具备高信任度与低审查强度,成为攻击者的新宠。例如,攻击者利用钉钉群组发送伪装成“教务处通知”或“在线课堂回放链接”的消息,诱导师生点击跳转至仿冒的统一身份认证页面,窃取校园账号凭证。由于此类消息出现在日常教学管理场景中,且链接常使用短网址跳转页,导致用户难以察觉异常。
微软Teams亦被频繁滥用。攻击者伪造“IT支持”“HR通知”等频道发送含恶意链接的消息。由于Teams消息通常不经过企业邮件网关过滤,且默认标记为“内部通信”,用户点击率显著高于普通邮件。KnowBe4发布的《2025年网络钓鱼行业基准报告》显示,协作平台钓鱼链接在模拟测试中的点击率比传统邮件高出37%。同时,二维码钓鱼(Quishing)在移动端持续蔓延。攻击者将恶意URL编码为二维码,张贴于公共场所或嵌入伪造的电子票据中,诱导用户扫码跳转至钓鱼页面。因多数移动浏览器不显示完整域名,用户难以识别异常。
三、2025年网络钓鱼攻击意图的升级与战略化
2025年,网络钓鱼的攻击目标已显著超越传统经济利益驱动,逐步演进为服务于APT、金融基础设施劫持与地缘政治渗透的战略工具。其使用场景从个体欺诈扩展至系统性情报窃取与关键资产控制,体现出明显的意图升级与任务导向特征。
(一)APT中的初始入口角色
在国家级APT活动中,网络钓鱼继续作为最常用的初始入侵手段。2025年,境外APT组织普遍采用AI批量生成的高仿真邮件,针对政府机构、科研单位及国防科技企业实施定向投递。邮件主题多伪装为“政策解读”“项目协作邀请”“会议纪要”等日常工作内容,附件或链接中嵌入定制化后门程序。
国家安全部通报的三起间谍案件中,均以钓鱼邮件为突破口,通过钓鱼链接或附件,导致计算机被植入远程控制程序,从而窃取敏感技术资料。此类攻击不再追求广撒网,而是基于前期情报侦察,精准锁定具备访问权限的关键人员,实现“一人一点、纵深渗透”。
(二)金融犯罪中的基础设施化
在网络金融领域,钓鱼攻击已从末端欺诈转变为资产劫持的前置环节。例如,针对金融机构员工的语音钓鱼曾致客户身份信息与系统凭证泄露;围绕Veeam等IT管理平台的钓鱼则常用于获取运维权限,为后续勒索或外传提供跳板。
近年来,网络钓鱼与加密货币生态的交互日益频繁。2025年公开案例显示,部分Aave投资者因点击仿冒谷歌广告链接,误入虚假登录页致钱包私钥泄露;DeFi平台Venus Protocol亦遭OAuth授权钓鱼攻击,导致约2700万美元资产被未授权转移。这些事件反映出,网络钓鱼不仅用于直接盗取数字资产,还可作为构建自动化资金流转路径的前置环节,服务于资产清洗、市场操纵或非法融资等活动。
由此,网络钓鱼在金融犯罪链条中的角色趋于“基础设施化”:不再局限于单一欺诈,而是嵌入复杂攻击生命周期,支撑跨平台、跨协议的资金劫持与隐匿,对金融系统完整性与用户信任构成潜在威胁。
(三)地缘政治背景下的定向渗透
2025年,网络钓鱼被频繁用于服务地缘政治目的的信息战与舆论干扰。攻击者将媒体、公关、智库及国际交流机构列为重点目标,试图通过窃取内部通信、伪造信源或操控发布渠道,影响公众认知与政策判断。
有报告指出,攻击者利用GAI伪造记者身份,以高仿真采访请求或新闻稿邀约诱导企业高管及公职人员披露敏感信息。部分案例还结合深度伪造语音技术模拟真实通话,在时间压力下促发信息泄露。
此类攻击呈现“社会工程自动化”趋势:AI可批量生成契合地域语言、文化语境与职业身份的内容,实现低成本、规模化的心理诱导。其影响已超越个体信息泄露,可能被用于制造虚假舆论、干扰公共决策,甚至削弱国家信息治理能力。
此外,部分跨境网络钓鱼活动定向采集地理测绘、城市规划、人口流动等敏感数据。若被系统性汇聚并用于建模分析,或可辅助外部实体进行社会态势推演或战略预判。尽管尚无公开证据表明此类数据已直接影响国家决策,但其长期积累将对数据自主控制构成潜在压力,凸显在网络安全框架下深化“数字主权”议题的必要性。
四、2025年网络钓鱼核心数据盘点
2025年,多份行业报告与安全通报揭示了网络钓鱼在攻击来源、目标选择与技术手法上的新特征。
(一)境外钓鱼邮件占比升至70.69%
据Coremail与CACTER联合发布的《2025年Q3企业邮箱安全性报告》,针对中国企业的钓鱼邮件中,境外来源占比达70.69%,较上半年进一步上升。其中,越南成为最大攻击源,单季度发送钓鱼邮件2248.7万封,主要伪装为跨境贸易、物流通知及财务对账类内容。
(二)BEC诈骗中Gmail账户占比达70%
反网络钓鱼工作组(APWG)发布的《2025年第二季度网络钓鱼活动趋势报告》指出,在商业邮件欺诈(BEC)攻击中,70%的诈骗账户注册于Gmail,远高于微软邮箱(15%)。除此之外,攻击者还利用与企业品牌高度相似的域名注册免费邮箱(如support@ta0ba0.com),冒充供应商或高管发起钓鱼转账。
(三)新型URL结构绕过传统检测机制
2025年10月,IEEE Spectrum报道,攻击者开始使用嵌入通用唯一识别码(UUID)样式的长链接制作钓鱼URL。此类链接因看似“系统自动生成”,可有效绕过安全网关的关键词黑名单与用户警觉,常与短链服务及一次性托管页面结合使用。
(四)假冒买家骗局在跨境电商场景高发
2025年年末,东南亚多地执法机构通报多起“假冒买家”钓鱼诈骗案。攻击者以大额采购为诱饵,诱导电商平台卖家点击伪造的“支付成功”或“订单确认”页面,窃取商户后台登录凭证。此类手法与中国跨境电商从业者面临的社交工程风险高度一致,凸显非平台内沟通渠道的安全隐患。
(五)品牌仿冒向政务与金融场景迁移
2025年年末,攻击者大规模滥用DocuSign等电子签名品牌,发送“贷款预批文件待签署”类钓鱼邮件。尽管该服务在国内使用有限,但同类策略已本土化为“电子营业执照更新”“税务UKey认证”“银行账户年检”等政务与金融主题,利用用户对官方流程的信任实施诱导。
(六)财政类钓鱼瞄准中小企业财务岗位
2025年第四季度,以“税务退税”“社保补贴发放”“公积金调整”为关键词的钓鱼邮件显著增多。攻击页面高度仿冒政府服务平台,要求用户输入身份证号、银行卡号及手机号。此类攻击主要针对中小企业财务与人事人员,利用年末财政业务密集期的信息焦虑,提升点击与填写率。
五、2026年防御展望:构建主动协同的反钓鱼体系
面对智能化、隐蔽化与全渠道化趋势,单一技术升级或孤立政策干预难以形成系统性应对能力。因此,需构建以问题为导向、以协同为核心、以闭环响应为目标的治理框架。结合公共互联网反网络钓鱼工作组的机制探索与国际实践经验,本文提出一套与前述相适应的本土化协同治理路径,推动国家网络安全体系由被动响应向主动防御转型。
(一)强化基于AI的沉浸式安全意识训练
用户行为是防御链条中的关键变量。为提升个体在复杂社会工程场景中的判断力,建议推广基于GAI的沉浸式安全训练:通过脱敏处理的真实钓鱼邮件模板,开展高频、动态的“红蓝对抗”演练。例如,反钓工作组可联合金融机构试点“AI钓鱼模拟平台”,定期向员工推送语义高度仿真的测试邮件,实时监测点击率与上报率,并据此动态调整训练强度。
根据KnowBe4的报告,实施月度模拟测试的组织,其员工对钓鱼邮件的敏感度在90天内平均提升58%。该数据显示,持续性、情境化的训练比一次性培训更具成效。我国可在金融、政务等高风险行业率先建立常态化AI驱动的演练机制,逐步实现从“知识灌输”向“行为塑造”的转变。
除技术演练外,组织文化深刻影响安全行为。可借鉴美国国家航空航天局(NASA)“无责报告”经验,在关键单位推行“安全行为观察与反馈”机制,鼓励员工分享可疑案例、交流识别经验,并由管理层带头参与演练,公开反思误判,打破“权威不可质疑”的惯性,营造开放透明的沟通环境。
针对现行“事后追责”抑制上报意愿的问题,应建立“安全上报免责+分级激励”机制:明确上报可疑邮件不视为失误,消除心理障碍;将安全行为纳入绩效加分,设立“年度安全标兵”等荣誉;探索部门级“安全积分池”,用于兑换培训或团队资源。此类非金钱激励有助于培育可持续的安全文化。
(二)加速无密码认证技术落地
针对身份认证环节的信任漏洞,建议在重点场景优先部署抗钓鱼能力强的身份验证技术。传统密码与短信验证码易被窃取或劫持,而基于线上快速身份验证第二代(FIDO2)标准的Passkeys采用公钥加密与设备绑定机制,用户无需输入凭证即可完成认证,有效防御凭证窃取与AitM会话劫持攻击。
但Passkeys主要防范认证阶段的钓鱼风险,对OAuth授权滥用、二维码跳转、语音伪造诈骗等非认证类攻击仍存在防护盲区。因此,应将其定位为纵深防御体系的关键组件,而非万能解决方案。建议结合零信任架构中的权限最小化、动态访问控制等策略,形成多层次防护。
参考美国国家标准与技术研究院(NIST)《数字身份指南》(SP 800-63)和欧盟《欧盟电子身份、认证和信托服务条例》2.0版(eIDAS 2.0)对无密码认证的支持,我国可结合网络安全等级保护制度2.0,制定分阶段、分行业的Passkeys推广路线图。优先在金融、政务、能源等领域试点,配套完善设备管理、密钥恢复与跨平台互操作机制,逐步扩大应用范围。
在软件供应链方面,开源生态中的依赖包投毒事件频发,暴露出发布者身份验证薄弱的问题。应推动国内代码托管平台建立强身份认证机制。可借鉴GitHub于2024年起强制要求高下载量npm包维护者启用MFA的做法,提升供应链入口安全性。
(三)压实平台主体责任,构建协同治理机制
平台作为数字服务基础设施,其治理能力直接影响钓鱼攻击的传播效率。针对攻击者滥用微软Teams、企业微信、钉钉等可信平台的现象,建议依据《中华人民共和国反电信网络诈骗法》第二十五条关于禁止为诈骗提供支持的规定,细化平台在第三方应用审核、OAuth权限管理、广告内容过滤等方面的责任。
在具体操作层面,可要求平台对高权限第三方应用实施MFA授权、品牌相似度AI识别、钓鱼链接实时阻断等技术措施,强化事前预防与事中拦截能力。同时,明确平台在用户教育、异常行为预警方面的辅助责任,推动形成“平台—用户—监管”三方协同的治理结构。
在跨机构协作层面,依托反钓工作组已建成的“AI筛查+人工审核”一体化平台,共享涉钓涉诈域名与IP地址黑名单数据库,推动成员单位间钓鱼网站与恶意应用处置流程的标准化与自动化,提升响应效率;探索建立“政企协同、跨境联动”的反钓鱼执法协作机制。同时,加强与APWG、垃圾邮件黑名单组织(Spamhaus)等国际组织的情报共享合作。
综合2025年态势可见,网络钓鱼攻击正呈现出更强的精准性与战略意图,其影响范围已从传统财产损失扩展至关键行业运行与敏感信息保护。面向2026年,提升人员安全意识、推动无密码认证技术应用、压实平台主体责任,是值得重点关注的防御方向。在日益复杂的威胁环境下,技术、管理与制度的协同推进,有助于持续提升整体反钓鱼能力。(徐尧系本文通讯作者)
(本文刊登于《中国信息安全》杂志2026年第1期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
