2025年网络钓鱼攻击态势盘点：智能化、隐蔽化与全渠道化的挑战

2025年，网络钓鱼攻击已发生质变。它不再是过去那种广撒网式的低级欺诈，而是演变为集智能化生成、隐蔽化渗透与全渠道协同于一体的系统性安全威胁。如今，网络钓鱼不仅是电信网络诈骗的核心手段，更成为国家级间谍活动、高级持续性威胁（APT）及金融基础设施劫持的关键入口。

从攻击态势看，网络钓鱼在电诈案件中的占比已超六成，深度嵌入刷单返利、虚假投资等高发场景。更为严峻的是，攻击目标正从个人用户向政府机关、科研单位及关键基础设施部门转移。国安部通报的多起窃密案件显示，境外势力常将恶意链接伪装成“政策文件”或“会议通知”，精准投递给核心岗位人员，一旦点击，敏感数据即刻外泄。与此同时，攻击者开始大量滥用谷歌Classroom、微软Teams等合法协作平台分发恶意链接。这些平台因具备高信任度且往往绕过传统邮件网关审查，致使钓鱼链接点击率显著上升，防御难度陡增。

技术演进是本轮态势变化的核心驱动力。首先是“智能化”。大语言模型让攻击者能低成本批量生成高度仿真的钓鱼内容，文风契合目标企业习惯，甚至能准确嵌入内部术语与项目细节。AI语音克隆与换脸技术的加入，更让针对老年人及远程办公人员的语音钓鱼屡试不爽。其次是“隐蔽化”。传统的多因素认证（MFA）防线正在失效，攻击者利用中间人代理技术在用户完成验证后直接劫持会话，或通过诱导用户授权看似无害的第三方应用，实则窃取高危API权限。这种OAuth滥用手法无需获取密码即可掌控数据，极具欺骗性。最后是“全渠道化”。攻击载体已从电子邮件蔓延至即时通讯、协作软件乃至线下二维码。由于移动端浏览器不显示完整域名，加之用户对日常办公场景的放松警惕，二维码与协作平台的钓鱼攻击成功率居高不下。

攻击意图的升级同样不容忽视。网络钓鱼已不再单纯为了敛财，而是服务于更宏大的战略目标。在APT攻击中，它是潜入内网的“敲门砖”；在金融犯罪中，它演变为资产劫持的前置环节，甚至通过DeFi协议导致数千万美元资产被无声转移；在地缘政治博弈中，它被用于窃取情报、伪造信源以干扰舆论决策。数据显示，针对中国企业的钓鱼邮件超七成来自境外，越南已成为最大攻击源，而Gmail账户则是商业邮件欺诈的重灾区。

面对如此严峻的形势，单纯堆砌防火墙或依赖传统网关已难以为继。2026年的防御必须转向主动协同体系。一方面，需利用AI技术开展沉浸式安全训练，将知识灌输转变为行为塑造，通过高频次的红蓝对抗提升全员警惕性，并建立上报免责机制以鼓励内部共享威胁情报。另一方面，应加速FIDO2无密码认证技术的落地，从根源上阻断凭证窃取与会话劫持。更为关键的是，必须压实平台主体责任，强化对第三方应用及OAuth授权的审核管理，构建平台—用户—监管三方联动的治理格局。技术、管理与制度多管齐下，才能在智能化与全渠道化的攻击浪潮中守住数字安全底线。

注：原文刊登于《中国信息安全》杂志2026年第1期

编辑：芦笛（公共互联网反网络钓鱼工作组）