“全球钓鱼威胁协同防御”闭门研讨会在北京召开

11月13日，“全球钓鱼威胁协同防御：从国际情报到本地化实践”闭门研讨会在京成功举办，国际反垃圾邮件组织（Spamhaus）首席执行官康柏岩（Carel）现场分享了国际反钓鱼威胁的理论与实践，来自中国电信、清华大学、中科院信工所、百度、263企业邮箱、亿邮、方向标（Fangmail）、360漏洞云、国科云、魔盾安全等国内关键基础设施与安全服务专家和企业代表参与了此次行业深度交流。

本次会议由公共互联网反网络钓鱼工作组国际合作组副组长单位北京中科易安科技有限公司主办，会议聚焦当前钓鱼攻击的高度产业化、跨国化与隐蔽化趋势，围绕威胁情报共享、技术防御体系构建及国际协作机制展开务实对话，旨在推动建立更具韧性与前瞻性的全球反钓鱼生态。会议直面行业痛点，深入探讨了三大核心维度：威胁演进的新特征、技术防御的新能力以及协同治理的新路径。

一、钓鱼攻击已进入“工业化时代”：专业化、隐蔽化、资源滥用成为常态

会议指出，当前全球网络钓鱼攻击正经历结构性升级。过去一年中，短信钓鱼（Smishing）迅速崛起为主流攻击渠道——由于多数国家电信法规限制对短信内容的主动过滤，犯罪分子借此大规模投递欺诈链接，绕过传统邮件网关防线。

更令人警惕的是，“钓鱼即服务（PhaaS）”模式的成熟，使网络犯罪呈现高度分工与模块化：黑产团伙提供从钓鱼页面生成、域名注册、服务器托管到自动化分发的一站式服务，大幅降低作案门槛。与此同时，攻击者广泛利用家庭宽带代理、动态IP池和短期域名轮换策略，每日更换数十个新域名以规避黑名单机制；并通过地理定向内容屏蔽技术，对安全研究人员展示“干净”页面，实现精准隐藏。

尤为值得关注的是，部分境外犯罪组织正滥用中国境内的网络基础设施，部署服务器对海外用户实施攻击，并借助语言与法律壁垒规避监管，凸显跨境溯源与联合响应机制的紧迫性。

二、技术防御需从“被动拦截”迈向“主动预测”：数据驱动与自动化是关键

面对日益复杂的攻击手法，传统基于静态规则的防护体系已显乏力。会议介绍了Spamhaus及其关联组织所构建的下一代威胁防御架构——每日分析超1亿IP地址与千万级域名，长期追踪约1500个活跃C2服务器，其情报覆盖全球45亿用户，被众多顶级运营商采用。其核心能力包括：

多维威胁指标体系：涵盖恶意IP黑名单、可疑域名信誉库、零时差域名、恶意附件哈希及虚拟货币地址等；

DNS层主动防御：可在递归DNS层面实时拦截高风险域名访问，甚至在浏览器加载前跳转至警告页面；

被动DNS回溯技术：通过中心化历史解析数据库，支持“某域名曾解析哪些IP”或“某IP曾关联哪些域名”的双向溯源，极大提升攻击链还原能力；

自动化情报生命周期管理：所有威胁指标均设有时效机制，若无持续恶意行为则自动失效，避免名单膨胀与误报累积。

与会专家一致认为，自动化、上下文富化与基础设施测绘已成为现代安全运营的三大支柱。例如，中国电信分享了其在骨干网集成DNSBL实现分钟级阻断的经验；263与方向标展示了如何结合用户行为分析与外部情报，提升钓鱼邮件识别准确率。

三、协同治理：打破壁垒，共建“拼图式”全球防御网络

会议强调，单一机构无法独自应对全球化威胁。现代网络犯罪组织跨国协作高效，而防御方却常因数据孤岛、信任缺失与合规顾虑而行动迟缓。

对此，各方达成以下共识：

建立基于信任的闭门协作机制至关重要。如APWG、M3AAWG（通信与信息滥用防治组织）等国际平台，已证明竞争对手亦可在威胁情报层面有效合作；

技术元数据共享具备法律可行性。DNS查询记录、流量模式等不含个人身份信息的数据，在多数司法辖区被允许用于网络安全目的；

域名注册管理机构应发挥前端防控作用。通过分析批量注册、异常WHOIS等行为模式，可提前识别恶意活动并实施风险评分预警；

降低犯罪资源可得性是治本之策。廉价域名与匿名基础设施助长黑产，需通过行业自律与政策引导提高攻击成本。

Carel特别指出：“犯罪团伙比我们更懂得协作。如果我们不能以同等效率共享情报、联合投诉、协同执法，就永远处于被动。”他呼吁中国基础服务商积极参与全球滥用报告体系，并开放技术接口，共同提升响应速度。

结语：从“各自为战”到“生态共治”

深化国际情报本地化落地，助力中国企业无缝接入全球威胁感知网络。推动公共互联网反网络钓鱼工作组治理协同机制建设，促进ISP、云厂商、邮件服务商间的情报互通与联防联控。探索符合中国法规的隐私安全平衡机制，在保护用户权益前提下释放数据防御价值。在全球网络空间对抗日益激烈的今天，唯有打破边界、共建信任、共享能力，才能真正构筑起抵御钓鱼威胁的“数字长城”。

作者：张翼 北京中科易安科技有限公司 芦笛 中国互联网络信息中心

编辑：芦笛（公共互联网反网络钓鱼工作组）