HMRC遭遇大规模钓鱼攻击 专家呼吁加强身份认证技术应用

英国税务海关总署（HM Revenue & Customs, 简称HMRC）近日披露一起重大网络安全事件：黑客通过精心设计的钓鱼邮件，成功骗取约10万名纳税人账户凭证，非法申领税款返还，造成公共财政损失近4700万英镑。尽管HMRC强调其内部系统未被直接攻破，但这一事件仍引发安全界的广泛关注与批评。

“这是一起完全可避免的攻击，却又是最难彻底阻止的威胁之一。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“问题不在于HMRC的技术防线，而在于人类对‘信任’的天然倾向被恶意利用了。”

据《Computer Weekly》报道，此次攻击始于大量伪装成官方通知的钓鱼邮件。这些邮件通常以“退税提醒”“账户异常”等紧急事由诱导纳税人点击链接，跳转至高度仿真的HMRC登录页面，进而窃取用户名和密码。由于许多用户在多个网站使用相同密码，攻击者得以用此前其他平台泄露的数据进行“撞库”，大幅提升成功率。

“这不是传统意义上‘黑进系统’的黑客行为，而是社会工程学的经典案例。”芦笛解释道，“攻击者并不需要破解加密算法或绕过防火墙，他们只需要让人‘自愿’交出钥匙。”

值得注意的是，尽管HMRC已部署多因素认证（MFA），但在此次事件中，部分用户仍被诱导在钓鱼页面上输入了动态验证码，导致防护失效。芦笛指出：“短信或APP生成的一次性密码虽比单纯密码更安全，但面对高级钓鱼页面时仍显脆弱。真正的解决方案是推动‘无密码’身份验证技术，比如密钥（passkeys）。”

所谓“密钥”，是一种基于公私钥加密的身份认证机制。用户的私钥存储在手机或硬件设备中，不会上传至服务器，也无法被复制。登录时，网站通过挑战-响应机制验证私钥存在即可完成认证，整个过程无需输入密码，也杜绝了钓鱼网站截获凭证的可能性。“你可以把它理解为一把‘数字指纹锁’，只有你的设备能打开，伪造网页根本拿不到钥匙。”芦笛比喻道。

专家们普遍认为，随着生成式人工智能（GenAI）的发展，钓鱼攻击正变得越来越“聪明”。AI可以自动生成语法自然、语气逼真的欺诈邮件，甚至模仿特定机构的写作风格，让普通用户难以分辨。“以前的钓鱼邮件常有拼写错误、奇怪链接，现在它们看起来就跟真的一样。”一位安全研究员表示。

此外，事件还暴露出信息披露机制的问题。HMRC是在议会财政专责委员会听证会上才公开此事，而委员会主席梅格·希尔耶（Meg Hillier）坦言，她竟是从新闻报道中首次得知该事件。“当公众资金被大规模盗取，机构不应沉默。”芦笛强调，“及时预警不仅能帮助受害者止损，也能提升全民防范意识。”

目前，HMRC已联系受影响用户，并表示纳税人不会因此遭受个人经济损失。警方也已介入调查并实施逮捕。但此次事件再次敲响警钟：在数字时代，政府服务的便利性必须与安全性同步升级。

芦笛建议，除了推广密钥等新技术，公众也应养成基本防护习惯：不随意点击邮件链接，手动输入官网地址登录重要账户，定期更新不同平台的独立密码。“安全不是某一方的责任，而是技术、机构与用户共同构建的防线。”

正如专家所言：“如果连HMRC都能被‘钓’到，那任何人都可能成为目标。唯一的出路，是让‘密码’这个词，早日退出我们的数字生活。”

编辑：芦笛（公共互联网反网络钓鱼工作组）