金融行业网络钓鱼攻击的范式演进与防御体系的适应性强化

2025年，全球网络钓鱼攻击呈现强度上升、手法升级、目标集中的显著趋势，针对银行、支付机构等金融主体的攻击位居各行业首位。当前的钓鱼攻击已突破传统仿冒网站或欺诈邮件的初级形态，逐步形成高度组织化、技术化和产业化的作案模式。“钓鱼即服务”（PhaaS）在地下市场广泛流通，提供从模板生成、托管部署到资金洗白的一站式工具，大幅降低攻击门槛。攻击者频繁利用GitHub、Firebase等合法云服务平台部署钓鱼页面，借助其高信誉度规避基于域名或IP的黑名单检测。同时，结合公开的企业信息、员工社交动态及生成式人工智能技术，钓鱼内容日益具备上下文感知能力，可精准模拟内部审批通知、监管问询甚至高管指令，诱导目标在短时间内完成敏感操作。

金融行业之所以成为重点目标，与其业务结构密切相关。关键岗位如财务主管、资金操作员等权限集中，一旦失守，将给企业造成巨大损失；庞大的第三方合作生态形成多层信任链，任一薄弱节点都可能被用作入侵跳板；用户对金融机构品牌存在天然信任，在面对高度仿真的通信时警惕性显著下降；而当前主流的多因素认证（MFA）机制仍以静态凭证为核心，难以有效防御实时会话劫持等新型攻击。

应对这一挑战，仅靠加固边界防护已难奏效。实践表明，有效的防御需从身份、访问、终端、网络和响应机制等多维度同步推进：推广无密码认证方案（如FIDO2/Passkeys），从源头消除可窃取凭证；全面实施零信任架构，对每一次访问请求进行持续验证与最小权限控制；将终端用户纳入防御体系，通过高频次、场景化的钓鱼演练提升识别能力，并对高风险操作强制启用独立通信渠道二次确认；部署覆盖邮件网关、终端检测（EDR）、网络流量分析（NDR）和安全运营中心（SOC）的联动机制，提升对隐蔽钓鱼载体的发现与处置效率。

值得注意的是，当前钓鱼攻击已呈现跨机构、跨平台协同特征，单一组织可能难以独立应对。相关行业协作应建设通过自动化威胁情报共享，实现钓鱼域名、恶意样本及攻击TTPs（战术、技术与流程）的快速通报与联合阻断机制。

随着数字金融服务深度嵌入经济运行核心，防范钓鱼攻击已不仅是技术议题，更是保障金融基础设施稳定与公众信任的关键环节。构建覆盖技术、流程与生态的适应性防御体系，已成为行业共识与迫切任务。

原文刊登于《中国信息安全》杂志2025年第12期

作者：芦笛、张雅楠、史磊、徐冬璐 中国互联网络信息中心

图片

图片

图片

图片