釣魚攻擊長期以來一直是安全漏洞的主要來源，盡管經過多年的安全意識培訓，它仍然是當今網絡安全的主要問題之一。

然而，隨著戰術的改進和人工智能（AI）技術的惡意利用，這種長期存在的社會工程技術不斷演變，網絡犯罪分子正在尋找新的方法來誘使用戶點擊惡意鏈接。游戲規則本質上沒有改變，只是變得更加激烈。

攻擊者不再只是復制徽標和偽造域名；他們還會劫持合法的電子郵件線程，在正在進行的對話中嵌入惡意鏈接，甚至使用被入侵的企業電子郵件，使他們的釣魚嘗試看起來更加真實。

AI技術使釣魚攻擊活動能夠比以往更快、更輕松地部署，同時確保拼寫和語法的完美，并采用一系列操縱策略，例如暗示緊迫性或利用已在網上共享的信息以增加相關性。

CSO采訪了專家，以挑選出網絡犯罪分子在改進釣魚技術時采用的關鍵戰術變化，以及這些技術如何使釣魚攻擊更具針對性和有效性。首席信息安全官（CISO）和網絡安全團隊應將這些知識納入培訓計劃，并在可能的情況下測試相關場景。

1. 利用生成式AI提升攻擊技巧

攻擊者越來越多地使用生成式AI來模仿寫作風格，避免傳統的釣魚攻擊警示標志，甚至基于公開數據個性化欺詐電子郵件。

IEEE高級會員、英國阿爾斯特大學網絡安全教授Kevin Curran表示 ：“生成式AI現在被用來編寫更具‘吸引力’和利潤豐厚的釣魚郵件，其關鍵功能之一是能夠根據用戶輸入實時生成響應，現在它被用于詐騙場景中，讓人們誤以為他們正在與真人交流。”

例如，WormGPT背后有大型語言模型（LLM）的支持，使得發送的電子郵件不再像傳統釣魚詐騙那樣充滿錯誤。

GhostGPT——另一種面向網絡犯罪的AI聊天機器人——已被用于創建精美的魚叉式釣魚郵件，包括偽造的DocuSign請求，幾乎完美地模仿了合法品牌的通信。

最近，LLM還被用于自動生成虛假的登錄頁面。

Recorded Future的威脅情報分析師Allan Liska表示：“生成式AI最常用于快速生成數千個獨特的、本地語言的誘餌，通過這種方式，這種復雜的技術被利用來創建大量看似合法的詐騙電子郵件，因為語言顯得更加真實且不那么可疑。它可以使釣魚郵件更難被檢測到，CISO可能需要通過安全模擬這些類型的攻擊來教育員工并建立抵御能力。”

2. 利用語音和視頻進行誘騙

惡意行為者還利用AI的能力，從在線音頻、視頻片段或圖像中克隆聲音和形象。

結合模仿來電顯示的工具，網絡犯罪分子可以通過打電話并冒充家庭成員、朋友或同事尋求緊急幫助來欺騙目標。此類電話可以令人信服地模仿受信任者的聲音和舉止。

認證供應商Yubico的英國和愛爾蘭區域總監Niall McConachie表示 ：“這些技術已經被攻擊者廣泛使用——隨著網絡犯罪分子對AI的使用變得更加熟練和自如，我們可以預期在不久的將來會看到更多創新的AI驅動的網絡攻擊。”

AI還使網絡犯罪分子能夠創建越來越復雜的語音和視頻深度偽造，以促進釣魚攻擊。例如，工程公司Arup的香港子公司被詐騙了2560萬美元，原因是財務員工在一次視頻會議后被深度偽造的“首席財務官”欺騙，進行了轉賬操作。

3. 復活虛假的“線程”和回復鏈

“僵尸”電子郵件線程——網絡犯罪分子在劫持受害者的收件箱后復活的郵件鏈——并不是什么新鮮事，但在生成式AI的支持下，它們可能會變得越來越可信。

安全意識公司ThinkCyber Security的安全行為和分析總監Lucy Finlay指出：“以前，這些類型的電子郵件更容易被識別，因為語氣或上下文與發送者模仿的真實電子郵件相比會顯得‘不對勁’，生成式AI可以更容易地瀏覽之前的郵件鏈，并使用正確的語氣生成釣魚郵件，使其成為更具可信度的誘餌。”

4. 通過ClickFix攻擊欺騙PowerShell新手

ClickFix攻擊涉及發送帶有惡意網站鏈接的電子郵件，當受害者訪問這些網站時，會提示他們打開運行對話框，并復制粘貼一行SQL代碼以在其計算機上執行，通常以修復原始電子郵件中提到的問題為幌子。

威脅情報供應商Silobreaker的研究主管Hannah Baumgaertner說：“在過去六個月中，這種新的所謂ClickFix社會工程技術越來越多地被威脅行為者用作其釣魚活動的一部分。”

該技術涉及各種誘餌，以說服用戶將PowerShell腳本粘貼到運行命令中，從而導致惡意軟件感染。使用該技術傳播的惡意軟件包括Lumma Stealer、StealC、NetSupport等。

雖然該技術本身相對較新，但其誘餌本身卻相當常見，包括關于發票、待簽署文件或虛假驗證碼的釣魚郵件。

5. 更逼真地冒充受信任品牌

品牌冒充仍然是誘使用戶打開惡意文件或在釣魚網站上輸入其詳細信息的一種常用方法。威脅行為者通常冒充主要品牌，包括文檔共享平臺，如微軟的OneDrive和SharePoint，以及越來越頻繁的DocuSign。

攻擊者利用員工對常用應用程序的固有信任，通過偽造其品牌標識，誘騙收件人輸入憑據或批準欺詐性文檔請求。

例如，電子郵件安全公司Abnormal Security報告了一項針對依賴聯合身份驗證系統的組織的持續釣魚活動，使用偽造的微軟Active Directory聯合服務（ADFS）登錄頁面來收集憑據并繞過多因素身份驗證。

Abnormal Security的威脅情報主管Piotr Wojtyla指出： “在此活動中，攻擊者利用ADFS登錄頁面的受信任環境和熟悉設計，誘使用戶提交其憑據和第二因素身份驗證詳細信息，這些攻擊的成功得益于高度逼真的釣魚技術，包括偽造的發件人地址、合法品牌標識和URL混淆。”

受害者通常被欺騙查看、下載或簽署虛假文件，如發票，并被提示輸入個人信息，這些信息隨后被攻擊者竊取。

Recorded Future的現場CISO Richard LaTulip補充道：“這些類型的攻擊正在演變，包括更復雜的域名冒充，例如相似域名和同形異義字攻擊，以逃避傳統的電子郵件過濾器。”

6. 濫用受信任的服務

釣魚攻擊的另一個重要演變涉及濫用受信任的服務和內容交付平臺。

攻擊者越來越多地使用合法的文檔簽名和文件托管服務來分發釣魚誘餌。他們首先將惡意內容上傳到信譽良好的提供商，然后制作引用這些受信任服務和內容交付平臺的釣魚電子郵件或消息。

托管檢測和響應供應商Huntress的首席威脅情報分析師Greg Linares警告稱： “由于這些服務托管了攻擊者的內容，即使謹慎的用戶在點擊前檢查URL，仍可能被誤導，因為這些鏈接似乎屬于合法且知名的平臺，通過利用這些受信任的提供商，攻擊者確保受害者在不經意間下載惡意文件，同時繞過基于允許列表和聲譽的安全系統，這些系統本可以阻止他們的釣魚嘗試。”

7. 利用二維碼進行攻擊

越來越多的網絡犯罪分子利用二維碼的流行性，開展基于二維碼的釣魚攻擊。

“quishing”（二維碼釣魚）的興起是對電子郵件安全性提高的直接回應。攻擊者知道傳統的釣魚鏈接會被過濾器標記，因此他們轉向推送惡意二維碼，以繞過電子郵件安全過濾器。

攻擊者可以在電子郵件中嵌入惡意二維碼，并將其偽裝成多因素身份驗證（MFA）提示、交付通知或企業登錄請求。這些二維碼通常會引導到與合法門戶網站非常相似的憑據收集網站。

Abnormal Security的Wojtyla表示：“隨著二維碼在營銷、身份驗證和商業交易中變得越來越普遍，用戶更有可能信任它們，我們發現，現在有17%的繞過原生垃圾郵件過濾器的攻擊使用二維碼，其中89%是憑據釣魚。”

托管服務公司razorblue的網絡安全主管Richard Bullock補充道：“我們還看到二維碼被用于‘多階段釣魚’，第一次掃描將用戶引導到一個看似合法的頁面，但在延遲后——或在驗證用戶設備類型后——他們會被重定向到一個憑據收集網站。由于移動設備通常缺乏與企業桌面相同的安全監督，這種方法被證明非常有效。”

網絡安全供應商Sophos的全球現場CISO Chester Wisniewski預測，隨著安全服務對這種伎倆的警覺，quishing可能只是一個暫時的趨勢，可能會迫使網絡犯罪分子改變策略。

Wisniewski指出： “許多電子郵件服務過去沒有檢查嵌入在PDF或Office文檔中的二維碼，但現在它們這樣做了，這種繞過URI過濾的方法的有效性應該已經降低，我們還開始看到對SVG（可縮放矢量圖形）文件的濫用，這是另一種經常被忽視的格式，因此如果發生轉變，SVG可能會成為新的二維碼。”

攻擊者還被發現在釣魚電子郵件中使用巧妙制作的ASCII二維碼。

8. 利用圖像繞過安全過濾器

基于圖像的釣魚攻擊正變得越來越復雜。例如，欺詐者制作看起來像基于文本的電子郵件的圖像，以提高其表面真實性，同時仍然繞過傳統的電子郵件過濾器。

Recorded Future的LaTulip評論道：“這種類型的攻擊是更傳統的基于文本的釣魚攻擊的演變，是犯罪分子對電子郵件安全過濾器進步的回應。嵌入的圖像用于繞過電子郵件過濾器，圖像被用來偽裝惡意內容或鏈接。”

點擊這些圖像會將毫無戒心的員工引導到憑據收集或加載了漏洞利用的網站。

LaTulip說：“犯罪分子還可能通過更改顏色或大小不斷編輯和調整圖像，這樣做通常是為了保持圖像的新鮮感，從而增加其避免被檢測到的機會。”

9. 利用俄羅斯域名

KnowBe4報告稱，從2024年12月到2025年1月，利用俄羅斯（.ru）頂級域名的釣魚活動激增。

KnowBe4威脅研究團隊指出，這些釣魚活動增加了98%，其主要目的是收集憑據。

一些俄羅斯.ru域名由所謂的“防彈”托管提供商運營，這些提供商以保持惡意域名運行并忽略針對其網絡犯罪客戶運營的網站的濫用報告而聞名。

10. 強化情報收集

在暗網和黑客論壇上，AI輔助的工具集變得越來越普遍。

Huntress的Linares表示 ：“這些工具可以抓取社交媒體帖子，甚至通過圖像和帖子識別用戶的確切地理位置——這是一種越來越普遍的策略。”

其他情報收集工具則專注于組織而非個人。這些工具可以抓取LinkedIn、招聘網站、DNS記錄、網絡托管服務和第三方服務提供商，以揭示有關公司基礎設施、軟件堆棧、內部工具、員工、辦公地點和其他潛在目標的有價值信息，用于社會工程或網絡攻擊。

復雜的攻擊者還重新利用合法的營銷工具和平臺，以識別SEO劫持和釣魚攻擊的最佳機會，最大限度地擴大詐騙的范圍和有效性。

11. 通過PhaaS實現專業化

根據網絡安全供應商Barracuda的數據，釣魚即服務（PhaaS）工具包預計將在2025年占憑據盜竊攻擊的50%，高于2024年的30%。

Barracuda預測，這些平臺正在發展，包括允許網絡犯罪分子竊取多因素身份驗證（MFA）代碼并采用更高級的規避技術的功能，例如使用基于二維碼的有效載荷。

PhaaS平臺提供基于訂閱的工具和服務套件，包括儀表板和被盜憑據存儲，以促進釣魚攻擊。這些網絡犯罪工具包通過Telegram、暗網論壇和地下市場出售。根據網絡威脅管理公司Adarma的數據，訂閱費用從每月350美元起。

最廣泛使用的此類平臺——Tycoon 2FA，被Barracuda指責為89%的PhaaS事件的幕后黑手，它利用加密腳本和不可見的Unicode字符來逃避檢測、竊取憑據并通過Telegram外泄數據。

專為中間人攻擊設計的Sneaky 2FA濫用微軟365的“自動抓取”功能，預先填充虛假登錄頁面，過濾掉非目標并繞過2FA，正如Barracuda最近的一篇技術博客文章所解釋的那樣。