等保资讯

文 | 中国互联网络信息中心 芦笛 张雅楠* 史磊 徐冬璐

当前，云计算、大数据、人工智能、物联网等数字化核心技术全方位重塑传统金融业务模式，推动金融服务向智能化、便捷化、高效化迈进。金融数字化为行业带来诸多机遇的同时，也面临着一系列挑战。据APWG 2025年第二季度报告，全球钓鱼攻击达113万起，创近两年新高，其中，针对金融机构的钓鱼攻击占比达18.3%，支付行业亦高达12.1%，二者合计超过三成，已成为网络钓鱼攻击的首选目标。

网络钓鱼攻击正加速向服务化、高隐蔽性与智能化演进，对高度依赖数字信任机制的金融行业构成系统性威胁。深入研判其演化趋势、剖析金融体系的结构性脆弱点，并探索技术与治理协同的适应性防御路径，不仅关乎金融机构的安全韧性，更对维护国家金融稳定与用户数字权益具有重要现实意义。

一、网络钓鱼攻击的最新发展与演变

网络钓鱼攻击本质是通过欺骗获取用户凭证或敏感信息的攻击行为。到2025年，其实施方式、技术复杂度与产业成熟度已发生深刻变化，体现在三个相互关联的维度：攻击模式服务化、基础设施合法化，以及社会工程智能化。这三者共同构成了低成本、高效率、难溯源的攻击生态。

（一）钓鱼服务化：降低门槛与规模化攻击

现代网络钓鱼的核心驱动力之一在于“犯罪即服务”（CaaS）模式的普及，其中“钓鱼即服务”（PhaaS）平台更扮演了关键角色。据Barracuda Networks 2025年第一季度报告，约60%至70%的钓鱼攻击使用了PhaaS平台。Tycoon 2FA、EvilProxy等主流工具包的广泛使用，使不具备专业技术背景的攻击者也能发起复杂的会话劫持攻击。这种服务化模式不仅降低了攻击者实施违法行为的技术门槛，也实现了攻击的标准化与规模化，使金融机构面临持续、高频的自动化攻击威胁。

（二）基础设施滥用：利用信任链规避检测

为提升钓鱼活动的隐蔽性，攻击者正系统性地滥用公众信任的合法云服务平台。如GitHub、Firebase等因其域名信誉度较高，常被攻击者用于托管钓鱼页面。有报道显示，在针对美国信用合作社的钓鱼活动中，攻击者利用Glitch的子域名创建了高度相似的登录界面，因该链接源自“glitch.com”这一可信域，其在电子邮件安全网关和终端防护软件中往往能够绕过基于URL信誉的检测机制，从而成功实施钓鱼攻击。

这种策略的本质在于，攻击者不再依赖部署恶意服务器或注册可疑域名，转而将钓鱼页面等恶意负载巧妙嵌入用户日常访问的合法云服务所提供的正常业务流量中。由于攻击流量与合法流量在域名、证书和通信模式上高度相似，依赖黑名单和静态特征匹配的传统防御体系难以有效识别，从而导致检测机制失效。

（三）社会工程智能化：从批量投放到情境定制

传统网络钓鱼依赖模板化内容大规模投送，其成功率建立在极低转化率下的数量补偿之上。近年来，攻击者已转向以信息聚合与自动化技术支撑的精准诱导模式，使社会工程从粗放式心理操控发展为可复制、可扩展的系统性攻击环节。

一是对钓鱼攻击目标背景信息的结构化利用。攻击者通过公开渠道收集目标的职业角色、组织关系、业务活动等数据，结合自动化脚本生成语境贴合的诱饵内容。例如，针对财务人员的钓鱼邮件可模拟内部付款审批流程，嵌入伪造的合同附件；面向高管的“鲸钓”攻击常以监管通知、董事会文件为名，利用其决策权重与时间敏感心理，规避常规审查机制。

二是借助外部事件构建合理情境。攻击者利用目标人群的心理惯性，在合法通信预期框架内植入欺诈请求，从而绕过理性判断。多起案例显示，国际金融政策调整、大型购物节等重大公共事件常被频繁用作钓鱼主题，通过制造“账户验证”“交易异常”等紧迫性场景，诱导用户在认知负荷升高时降低警惕。

当上述策略经过与PhaaS平台深度整合，攻击者不再依赖个体攻击者的临场技巧，而是演变为一种可规模化部署的认知渗透手段。例如，APWG报告显示，恶意QR码攻击激增，单季检测量超63万个，涉及1642个品牌。攻击者利用用户对便捷扫码的信任，将受害者直接导向钓鱼页面，而此类攻击往往能绕过传统的邮件内容过滤器，进一步增加了防范难度。

二、金融行业持续遭受网络钓鱼攻击的原因

网络钓鱼对金融行业的高度聚焦，源于攻击者对数字化架构中结构性风险的精准识别与成本效益权衡。这些源于金融业务本质、技术路径依赖与用户交互模式，共同构成高价值且易受攻击的目标面。

（一）核心权限与价值的高度集中

金融机构的组织架构与业务流程天然存在权限与资产的集中点。首席财务官、财务主管、交易员等关键岗位，被赋予了直接操作大额资金流转、访问核心财务系统（如ERP、核心银行系统）及审批敏感交易的权限。此类账户一旦失陷，攻击者可直接发起欺诈性转账，其单次攻击的潜在经济回报远超对普通用户的攻击。针对关键权限人员的“鲸钓”攻击已发展为高度产业化的商业邮件欺诈（BEC）模式。APWG数据显示，BEC攻击的平均单笔索款金额飙升至8.3万美元，环比增长97%。这种以高管或财务人员为目标，旨在窃取大额资金的精准攻击，充分暴露了金融机构因权限与价值高度集中而产生的结构性弱点。

（二）深度嵌套的第三方依赖与信任链延伸

现代金融服务的交付严重依赖庞大且复杂的第三方生态系统。从税务申报（如与税务机关系统对接）、支付网关、云基础设施服务商（IaaS/PaaS）、软件供应商到供应链合作伙伴，金融机构的业务流程与数据流广泛延伸至外部实体。这一过程构建了一条多层级的信任链，即金融机构必须信任其供应商的安全性，而供应商的系统安全状态直接影响金融机构的暴露面。一旦攻击者通过网络钓鱼攻陷某个安全防护相对薄弱的第三方，便可利用该“信任凭证”作为跳板，通过凭证填充、API滥用或供应链植入等方式，间接渗透至金融机构的核心系统，形成“间接攻击路径”。

（三）用户对品牌通信与安全流程的条件反射

金融用户（包括个人客户和企业员工）长期处于银行、支付平台等机构建立的“安全通信”范式中。他们习惯于接收来自官方渠道的账户变动通知、安全验证请求（如短信验证码），以及与交易相关的确认邮件。这种由金融机构自身培育的、对品牌通信的高度信任，形成了一种用户心理定式。攻击者通过高度仿真的钓鱼页面和邮件，精确复刻此类通信的视觉元素、语言风格和情境设定，能够有效触发用户的条件反射式响应。用户在预期框架内，倾向于将此类请求视为正常业务流程的一部分，从而降低了对通信真实性的质疑门槛，为网络钓鱼攻击创造了有利条件。

（四）对传统认证范式的路径依赖与会话安全盲区

虽然多因素认证（MFA）已被广泛部署，但当前的主流认证架构仍普遍依赖“密码+MFA因子”的组合。该模式的核心弱点在于，其最终验证的是凭证（密码和MFA响应）而非用户身份本身。在会话建立后，系统通常依赖会话令牌来维持用户状态。这一设计的关键风险在于：一旦攻击者通过中间人代理等技术，实时窃取了完整的认证过程（包括MFA响应），并成功获取了有效会话令牌，即可在用户无感知的情况下劫持会话。由于会话令牌的合法性由服务器验证，且其使用过程不涉及再次输入MFA，传统的基于IP、设备或MFA状态的检测机制对此类攻击难以有效识别。这暴露了以“凭证验证”为核心的认证模型在应对实时会话劫持时的根本性缺陷。

三、应对金融数字化阶段网络钓鱼治理的举措建议

面对攻击者对MFA的系统性劫持和对用户心理的精准操控，建议金融在数字化进程中，通过无密码认证、构建零信任架构、提升全流程人员安全意识、强化技术检测响应能力以及积极参与反钓鱼治理协同工作，推进金融机构的防御体系的适应性演进。

（一）压降钓鱼风险：推进无密码认证

现阶段的钓鱼攻击主要针对可被窃取与重放的凭证体系，其中密码已成为其最薄弱的环节。为从根本上防御此类攻击，金融机构亟需加速向无密码认证体系转型。通过采用“设备内私钥存储与域名绑定”等技术机制，重构身份验证的信任基础，可显著降低因用户操作失误导致的凭证泄露风险。建议金融机构优先在企业网银、高管账户及核心业务系统等高价值场景领域率先部署该体系。

由PayPal、联想等企业共同发起成立的FIDO联盟推出的身份认证框架协议，包括无密码认证（UAF）、第二因素认证（U2F）等。其提出的Passkeys技术基于公钥密码学，将私钥安全存储于用户本地设备，并通过与目标网站域名强绑定的签名机制实现身份验证。在此模式下，即便用户误入钓鱼页面，攻击者也无法获取可用于真实站点的身份凭证——因私钥永不外传，且生成的签名仅对合法域名有效。后续可进一步结合FIDO2规范与本地生物识别（如指纹）的硬件安全密钥，强化企业级防钓鱼能力。

（二）构建零信任架构：持续验证与最小权限

面对网络钓鱼攻击对传统边界防御与静态认证机制的系统性突破，金融机构需转向以“永不信任，持续验证”为核心原则的零信任架构。该架构不再依赖网络位置或单次认证结果建立信任，而是通过多维度上下文信息的动态评估，实现对每一次访问请求的细粒度控制。

在身份与访问层面，系统需持续评估用户设备的完整性、地理位置及行为基线。即使用户已通过MFA完成初始认证，若会话出现异地快速登录、非工作时间访问敏感系统等异常行为，系统可触发自适应认证或临时阻断，以有效防范会话劫持攻击。

在网络通信层面，建议部署加密流量检测技术，对TLS/SSL流量进行深度分析，以识别潜在的隐蔽信道。重点监控对合法云服务API的异常调用频率与数据传输模式，及时发现攻击者利用高信誉平台进行命令与控制（C2）通信的行为。

在访问控制层面，应严格执行最小权限原则，确保用户与服务账户仅拥有完成其职责所必需的最低权限，以此限制攻击者在凭证失陷后的横向移动能力。同时结合动态授权机制，根据风险评分实时调整访问权限，实现权限的“按需分配、及时回收”。

在供应链安全层面，将网络安全要求纳入第三方服务商的准入与持续管理流程。对供应商实施定期安全评估，明确其安全责任边界，并对其访问本机构系统的权限与行为日志进行集中监控，防范因供应链环节薄弱导致的间接渗透风险。

（三）转变用户角色：从薄弱环节到感知节点

虽然技术手段在持续进步，但用户行为仍然是钓鱼攻击成功的关键因素。安全意识培训需要超越基础的警示性教育，应向更具互动性和情境化的方向发展，旨在提升员工在真实攻击场景下的识别与响应能力。

在内容上，超越“不要点击链接”的泛化说教，应采用基于真实事件的情境化模拟钓鱼攻击训练。例如，针对首席财务官（CFO）开展“伪造财务指令”和“深度伪造语音”的演练；针对IT人员开展“冒充供应商”的语音钓鱼测试。

在流程上，建立强制性的多通道验证协议。对于所有资金转账、权限变更等高风险操作，必须通过独立于初始通信渠道的第二通道进行人工二次确认。此流程可制度化落实，不因指令来源的权威性而豁免。

在文化上，营造“安全即责任”的文化，鼓励员工报告可疑事件，而非简单化的事后对“点击了链接”进行处罚。通过攻防演练和激励机制，将用户纳入主动防御体系。

（四）强化检测响应：智能分析提升防御韧性

为应对钓鱼攻击在载体与基础设施上的持续演化，金融机构需构建覆盖邮件、终端、网络与身份系统的全栈式检测能力，并通过安全响应机制提升整体防御韧性。

在入口防护层面，部署具备AI语义分析能力的安全邮件网关（SEG），不再局限于静态URL黑名单匹配，而是综合发件人历史行为、收件人关系网络、邮件内容语义特征等因素进行风险评分，动态阻断伪装度高、情境逼真的钓鱼邮件。

在终端与网络层面，整合终端检测与响应（EDR）、网络检测与响应（NDR）系统，实现对可疑进程、异常网络连接与横向移动行为的联动感知。特别是针对SVG等合法格式中嵌入恶意脚本的新型载体，EDR系统可通过行为沙箱与启发式规则进行深度解析与拦截。

在安全运营层面，建立或强化安全运营中心（SOC），集成SIEM平台实现日志的集中化管理与关联分析。通过预设检测规则与机器学习模型，自动识别异常登录、会话令牌滥用等潜在钓鱼攻击的早期信号，并触发自动化响应流程，以缩短威胁暴露窗口。

此外，金融行业应积极参与反钓鱼治理协同治理。由于网络钓鱼攻击日益组织化、跨域化，其基础设施往往分布于不同云服务商、域名注册商及通信平台，形成动态攻击链。因此，必须将技术迭代与协同联防并重，方能在对抗升级中守住信任边界。例如，由中国互联网络信息中心（CNNIC）牵头成立的公共互联网反网络钓鱼工作组，正推动跨行业协同机制的建立。该机制聚合银行、支付机构、邮件厂商与安全厂商等多方资源，通过自动化接口实时交换钓鱼URL、恶意IP及攻击手法等威胁情报，形成动态威胁情报池，有效提升全行业响应速度，从而实现对网络钓鱼攻击的预警与联防。建议金融机构将自身监测能力融入全局防御网络，实现从被动防御到主动对抗的升级，在协同中筑牢数字金融安全防线。

四、结 语

金融行业网络钓鱼攻击的本质是对金融行业结构性脆弱点的系统性利用。传统以边界防护与用户教育为核心的防御模式，难以应对攻击手段的服务化、对合法基础设施的滥用与社会工程的智能化。未来防御体系的强化，必须超越单纯封堵与警示的思维，转向以持续验证、最小权限与生态协同治理为基础的适应性架构。这一转型的深度与广度，将直接影响金融机构在数字时代的安全基线。（张雅楠系本文通讯作者）

（本文刊登于《中国信息安全》杂志2025年第12期）