一封“HR紧急通知”邮件，请你立即打开确认。

一条来自“IT支持”的短信：“您的AI助手订阅即将过期，点击续订以免服务中断。”

一个伪装成同事的账号私信你：“请于今日下班前，点击链接填写本次申报表。”

这些看似平常、合理的信息，可能是当下十分猖獗的网络攻击手段——新型钓鱼攻击的典型伪装。

随着大数据、人工智能技术的快速发展，网络钓鱼攻击花样翻新，呈现智能化、精准化、隐蔽化趋势，针对政府单位、大型央国企、医疗机构等进行大规模攻击，已造成不同程度的信息泄露、经济损失和安全威胁。

新型钓鱼攻击，有哪些特点

人工智能技术融合与多模态渗透

攻击者通过生成式人工智能技术实现语义伪装升级，比如，钓鱼诱饵高度贴合“放假安排”“所得税汇算清缴”等我国社会和经济活动的周期性事件，甚至伪造政府部门通知，增加用户紧迫感和好奇心。与此同时，攻击载体也从传统文本扩展至语音、视频、二维码等多模态形式。

2024年1月，江苏无锡某公司财务人员点击群聊里的“2024年1月税务稽查局企业搜查名单”链接，导致电脑被木马病毒入侵且被远程控制、窃密。

精准画像与供应链渗透

当前，钓鱼攻击的精准度正在发生质的飞跃，传统的大规模群发式钓鱼邮件已式微，取而代之的是利用开源情报构建目标人物行为图谱，比如，针对科研人员发送“学术会议通知”，针对财务人员伪造“紧急付款指令”，识别难度呈指数级上升。

更值得警惕的是，攻击者已不满足于单点突破，而将目光投向供应链的薄弱环节。西北能源基地DNS篡改事件中，某境外组织入侵设备供应商系统，在合法软件更新中植入恶意代码，借此篡改能源基地核心路由器的DNS配置，最终引发区域性服务中断。

隐蔽性提升与对抗性增强

即时通讯软件的高频使用，让攻击者找到了更隐蔽的渗透路径。与邮件相比，即时消息更具紧迫感和随意性，人们往往在碎片时间快速浏览，降低了审慎核查的意愿。攻击者常以“紧急”“帮个忙”等话术制造心理压力，诱导接收者在未经验证的情况下执行操作。

此外，攻击者还通过“时间对抗”技术延迟钓鱼页面加载以绕过检测。具体来说，攻击者发送诱导邮件，用户初次访问时，页面会以“当前非工作时间”等话术提示在特定时段（如次日早7点后）操作，当用户在指定时间进行操作，信息就会被窃取。传统检测技术因初次检测无异常且不会延时跟踪访问，误判其为正常内容，钓鱼攻击因此得以实施。

新型钓鱼攻击，该如何防

个人层面：强化生物特征与行为防护。避免在社交媒体、不明链接上传人脸、声纹、指纹等生物信息，可使用手机PIN码+硬件密钥组合验证，降低生物数据泄露风险；不随意点击陌生链接、附件，不轻信社交媒体传播的“工作通知”“放假安排”及相关工作文件和链接，应通过官方渠道进行核实。

机构层面：构建精细化防范机制。对供应链开展穿透式安全监管，对关键信息基础设施供应商实施代码审计和漏洞溯源；对数据实施“加密+脱敏+访问控制”三重防护，使用杀毒软件、防火墙、邮件过滤工具；启用多因素认证，将可疑文件上传至国家病毒协同分析平台进行安全检测，并保持防病毒软件实时监控功能开启。

社会层面：强化安全保密意识培养。采用线下宣讲、情景短剧、游戏互动等方式，围绕保密法规、网络钓鱼、信息保护等方面开展安全保密宣教活动；定期开展钓鱼邮件演练，组织模拟攻击沉浸式培训；建立钓鱼邮件举报奖励机制，开通多渠道举报通道，筑牢网络安全“防火墙”。

责任编辑：岳文燕