摘要：网络钓鱼凭借其低成本、高迷惑性和广泛的攻击面，成为各类网络安全事件中占比极高的一种。从国家关键信息基础设施到各行各业的企业，再到每一个普通网民，都可能成为钓鱼攻击的目标。不仅时刻准备窃取敏感信息、破坏关键业务，甚至威胁国家安全。众安天下的“洞识钓鱼攻防演练平台

网络钓鱼凭借其低成本、高迷惑性和广泛的攻击面，成为各类网络安全事件中占比极高的一种。从国家关键信息基础设施到各行各业的企业，再到每一个普通网民，都可能成为钓鱼攻击的目标。不仅时刻准备窃取敏感信息、破坏关键业务，甚至威胁国家安全。众安天下的“洞识钓鱼攻防演练平台”通过常态化安全意识培训和定期钓鱼模拟演练，提升员工识别多形态钓鱼攻击的能力，为企业构建坚固的第一道防线。

AI与产业化驱动下的2025年网络钓鱼态势

网络钓鱼本质上是一种精心策划的社会工程学攻击，攻击者通过伪造各类官方机构、合作伙伴或可信赖的个人身份，利用电子邮件、短信、即时消息、社交媒体乃至语音、视频等多样化渠道，散布欺骗性信息，设置诱饵，诱导受害者点击恶意链接、下载恶意程序、泄露账户密码、个人隐私或直接转移财务资产。Knowbe4《2025网络钓鱼威胁趋势报告》显示，在AI和犯罪产业化（CaaS, Crime-as-a-Service）双重驱动下，网络钓鱼攻击正经历着一场深刻的“智能化”与“工业化”变革。

《2025网络钓鱼威胁趋势报告》显示，2024至2025年，网络钓鱼威胁的核心特征已演变为 “AI赋能 + 多态变异 + 产业协同”。AI技术的深度介入，正从根本上改变着钓鱼攻击的生成方式、传播途径和规避策略。高达 82.6% 的钓鱼邮件已检测到使用AI技术生成或优化，这一比例较前一周期同比激增 53.5%。尤为值得警惕的是，在更具逃逸性的多态攻击中，AI的参与率更是达到了惊人的 90.9%。47% 的钓鱼攻击能够成功绕过微软和SEG的联合防御，这一绕过成功率较前一年飙升了 47.3%。细分来看，钓鱼链接、恶意软件和纯社会工程学攻击的绕过率分别显著提升了 36.8%、20%和14.2%，这充分暴露了传统防御体系在智能化、多态化攻击面前的脆弱性。

网络犯罪分子正系统性地将攻击矛头指向并渗透到企业的招聘流程中，企图将新员工或求职者作为植入恶意软件、窃取内部信息的“特洛伊木马”。数据显示，64% 的此类钓鱼攻击瞄准了技术需求旺盛、权限可能较高的工程类岗位，其次是掌握财务敏感数据的财务岗位（12%）和负责人事信息及入职流程的HR岗位（10%）。

此外，钓鱼攻击的具体技术手段也在持续迭代，呈现出从早期相对粗糙的“广撒网”模式向更具欺骗性和针对性的“精准爆破”模式演进的特点。11.4% 的钓鱼攻击源自供应链合作伙伴中已被成功入侵的账户，67.4% 的攻击巧妙利用第三方合法云服务平台中继邮件，借助这些平台的高信誉度来绕过传统的垃圾邮件过滤和防御机制。并且，钓鱼方式呈现高级内容混淆、图片邮件、同形异义字符欺诈、隐形字符与零宽度空格攻击、社会工程学手段持续深等特点。

网络钓鱼攻击的最新特点

2025年，网络钓鱼攻击固有的显著特点也得到了进一步的强化和放大。

高欺骗性迷惑性。这是网络钓鱼的立身之本。AI的赋能使得伪造内容更加逼真、个性化，社会工程学原理被运用到极致。攻击者精准捕捉目标人群在恐惧、贪婪、好奇、对权威的盲从等方面的心理缝隙，诱人深信不疑。

传播速度更快影响更广。借助电子邮件、即时通讯、社交网络等数字化媒介，AI生成的、高度优化和混淆的钓鱼信息能够在极短时间内实现病毒式传播，触达海量用户。一旦在组织内部某一节点被突破，便极易引发雪崩式的连锁反应，迅速扩大感染和破坏范围。

“人为因素”仍是核心突破口。尽管企业部署了多层技术防护，但仍旧47%的攻击能绕过安全防御视域，再次印证了纯技术防御的局限性。员工的安全意识薄弱或瞬间疏忽，依旧是钓鱼攻击能够成功的核心原因。超过九成的网络安全事件与人为因素相关，网络钓鱼正是利用并无限放大了这一点。高层管理者邮箱被攻击概率是普通员工的4倍，新员工平均入职3周后收到钓鱼邮件等数据，都指明了不同人群的易感性。攻击成本走低、潜在回报提升。尤其随着犯罪即服务（CaaS）和生成式AI的普及，使得攻击工具和服务的获取成本降至历史低点。

跨平台与多形态攻击。钓鱼攻击早已不再局限于PC端，移动端已成为新的主战场。攻击形态也日趋多样，从传统的恶意链接、附件，到二维码、短信、语音，再到AI生成的深伪内容，攻击者平均在每封邮件中使用3.9个钓鱼链接，URL跳转平均经过3次“中转”以隐藏源头，这些都对用户的辨别能力和传统防御机制提出了严峻挑战。

在AI攻势下，传统技术防范思路捉襟见肘

面对上述由AI和犯罪产业化驱动的、日趋复杂和隐蔽的网络钓鱼攻击，传统的以技术为单点的防御思路正面临前所未有的挑战，其局限性在新的威胁态势下被进一步放大。

邮件网关与安全软件的“签名之困”。AI能够生成海量、快速变异的钓鱼内容和恶意代码，使得传统基于签名的检测系统难以有效跟进。82.6%的钓鱼邮件使用AI技术，其中90.9%的多态攻击结合AI，导致47%的攻击能绕过微软和SEG的防御，这些数据清晰地表明了传统签名的滞后性与易失效性。

域名与URL分析的“智能盲区”。攻击者通过Unicode同形异义字符伪造域名、利用合法第三方平台（中继邮件、URL多次跳转隐藏真实源头等手段，使得基于信誉和简单模式匹配的分析方法变得困难重重。

多因素认证的“绕过可能”。在一些高级的钓鱼攻击中，攻击者可能通过中间人攻击等手段实时劫持会话cookie，从而绕过MFA。此外，如果钓鱼攻击的目标并非直接窃取凭证，而是诱骗用户执行恶意操作或植入恶意软件，MFA的防护效果便会大打折扣。

总之，传统技术防御多为“事后响应”或基于“已知威胁”，面对AI驱动的、快速演进和“未知”的攻击手段，显得力不从心。《报告》提出的防御转型方向——从“技术单点”到“人机协同”，强调部署AI驱动的零信任检测方案，并极度重视人员安全意识的培养和策略流程的优化，正是对传统技术防范局限性的深刻反思与必要补充。

“洞识钓鱼攻防演练平台”：智慧演练，提升免疫

面对AI赋能下日益严峻且高度智能化的钓鱼威胁，以及传统技术防御手段的局限性日益凸显的现实，众安天下的“洞识钓鱼攻防演练平台”的实践价值显得尤为突出。平台深刻践行“人是网络安全的第一道防线，也是网络攻击的核心目标”这一理念，旨在通过高度实战化、智能化、常态化的模拟演练与体系化的培训评估机制，为企业量身打造提升员工防范意识和实战应对能力的“疫苗接种与免疫增强”体系，从而在组织内部构筑起一道能有效抵御多形态、智能化钓鱼攻击的“人为防火墙”。

提升员工的“免疫力”。通过模拟各类邮件钓鱼场景，让员工在“零风险”环境中“中招”并获得即时反馈与针对性指导，从而深刻认识到AI钓鱼邮件的迷惑性、新型攻击载体的特征和潜在危害。员工得以学习如何辨别动态变化的恶意发件人、识别利用AI混淆技术的恶意链接和附件、警惕利用AI合成信息的索取等关键技能。针对不同岗位设计差异化的AI钓鱼演练，能更有效地暴露不同员工群体的认知盲点，实现精准施教。

强化对高级威胁的警惕性。平台支持设计和实施高度定制化的、模拟AI辅助的鱼叉式攻击演练。这类演练针对企业高管、财务、掌握核心数据的工程师等内部的高价值目标，模拟的攻击场景更具个性化、情报驱动和迷惑性。通过此类高仿真演练，能有效检验这些“关键少数”在面对精心策划的、可能融合了AI伪造技术的定向攻击时的警觉程度与处置能力，对于防范可能造成重大损失的高级威胁至关重要。

培养良好的安全习惯。钓鱼演练的价值远不止于提升识别能力，它还在于培养员工在AI威胁环境下审慎的日常安全习惯和初步的应急响应能力。例如，在收到疑似AI生成的、高度逼真的可疑邮件或信息时，不轻易点击、不随意下载、不主动泄露，而是能够主动、及时地按照既定流程向IT或安全部门报告。平台也可与企业的整体应急响应机制相结合，提升团队在真实AI钓鱼攻击面前的快速响应与有效处理能力。

对安全意识成熟度的量化评估。平台提供的详尽分析报告和关键度量指标，能够帮助企业客观、量化地评估当前员工的整体安全意识成熟度，特别是在识别AI驱动钓鱼攻击方面的能力。这种基于数据的评估，有助于企业精准识别出安全意识建设中的薄弱环节，从而为后续安全意识提升计划的调整与优化提供科学依据，真正实现安全意识建设的闭环管理与持续改进，以应对不断升级的AI网络威胁。

人机协同常态设防，是抵御钓鱼之害的必然路径

面对攻击成本因CaaS和生成式AI降至历史低点，而攻击手段却日益智能化、多态化的严峻现实，企业必须构建一个集先进技术、健全管理和高度警觉的人员意识于一体的，能够动态适应、持续进化的综合防御体系。

在这个体系中，技术层面需要部署AI驱动的零信任检测方案，对邮件内容、发件人行为、附件代码进行多层深度分析，以识别多态攻击和供应链风险。管理层面则需将招聘流程安全等新兴风险点纳入管理范畴，并建立敏捷的威胁情报响应与事件处置流程。然而，所有技术和流程的有效性，最终都高度依赖于每一位员工的认知与行为。提升全员的网络安全意识，将每一位员工从潜在的“短板”转变为警惕的“哨兵”和主动的“防御者”，是构筑这道防线的核心与基石。

众安天下的“洞识钓鱼攻防演练平台”，正是精准把握了“人为因素”这一在AI时代愈发凸显的关键环节，通过提供常态化、实战化、智能化、定制化的模拟演练与培训评估解决方案，为企业打造了一套行之有效的提升员工安全意识和识别多形态、智能化钓鱼攻击能力的“免疫增强系统”。最终，有效抵御网络钓鱼——特别是AI时代下的网络钓鱼——的长久之计，在于坚持不懈地构建和强化“检测-响应-教育”的人机协同防御闭环。

来源：新浪财经