《2025数据泄漏调查报告》中关于反钓鱼的9点Learning

 

Verizon《2025数据泄漏调查报告》下载

1. AI驱动钓鱼邮件激增

• 10%的钓鱼邮件由AI生成

   （2024年为5%），伪造高管邮件、财务指令的逼真度显著提升（如模仿CEO语气催款）。即便普通人也可以用kimi doubao deepseek生成一段漂亮的钓鱼邮件模板，没有任何限制，没有错别字。

2. 多维度混合攻击

• 67%的钓鱼攻击与社会工程学结合

  先发钓鱼邮件获取凭据，再致电受害者伪装IT人员诱导提供MFA验证码，受害者不无知名互联网大厂。

• 在 MFA 实施中的常见错误中，三种攻击模式最为突出：

   

  1. MFA 疲劳或推送轰炸：此方法包括发送大量权限请求（通常以推送通知的形式），直到不堪重负的用户向攻击者授予访问权限。2022年Uber发生的安全事件就是一个典型的例子。

   

  2.社会工程和网络钓鱼：攻击者将社会工程技术与网络钓鱼攻击相结合，利用远程办公等用户行为的变化来操纵用户并窃取他们的 MFA 令牌。

   

  3. 针对没有 MFA 的用户和系统：尽管 MFA 的采用有所增加，但它仍然不普遍。攻击者利用这一漏洞来攻击具有弱密码的用户和系统，2021 年的 Colonial Pipeline 攻击就证明了这一点。

  Cisco和Uber接连被黑 | MFA疲劳攻击引发的思考

  https://cn-sec.com/archives/1316652.html

3. 目标转向高权限账户

• 32%的钓鱼攻击针对高管或IT管理员

  鲸钓，利用其权限快速渗透内网，攻击耗时平均缩短至4小时内。但是，很多企业都不敢对高管做钓鱼演练。。。

4. 移动端钓鱼风险上升

• 短信钓鱼（Smishing）占比18% 

  （2024年为12%），伪装快递通知、银行验证码等，诱导用户点击恶意链接。国内启用了强制短信签名，需要发信人资质认证，不知道会不会稍微好点。

5. 云服务钓鱼成新战场

• 27%的钓鱼链接伪装成Microsoft 365、Google Workspace登录页

  窃取企业云账户凭据。虽然Google的应用对于大多数国内企业来说都访问不了，但跨境企业反而需要特别重视。

6. 钓鱼即服务（PhaaS）产业化

• 暗网提供“钓鱼工具包”订阅服务，攻击成本低至50美元/月，导致中小型企业受害率增加。对于攻击者来说，投入产出比高，对于防守者来说，你没法天天盯着所有人的电脑。

7. 内部举报率不足

• 仅35%的员工主动上报可疑邮件，因担心误判或缺乏反馈机制，延误防御黄金时间。安全文化塑造任重而道远，多奖励少惩罚，哪怕员工上报的可能是误报，此外，也可以向员工提供自助平台，高效判断可疑邮件，比如https://deepphish.cn/eml这种检测工具。

8. 钓鱼邮件绕过传统防御

• 43%的钓鱼邮件绕过传统邮件网关检测

  使用动态域名、新域名、IP、中性化内容、躲避关键词过滤。（IOC失效。）

9. 防御效果差异显著

• 实施模拟反钓鱼训练+实时反馈的企业，员工误点率降低至8% （未培训企业为32%）。不做，锅永远就是安全部门的，做了，锅大家一起背。

- EML分析工具：deepphish.cn/eml

- 反钓鱼训练平台：deepphish.cn/apt