文 | 中國互聯(lián)網(wǎng)絡(luò)信息中心 蘆笛 張雅楠* 史磊 徐冬璐

當(dāng)前，云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等數(shù)字化核心技術(shù)全方位重塑傳統(tǒng)金融業(yè)務(wù)模式，推動金融服務(wù)向智能化、便捷化、高效化邁進(jìn)。金融數(shù)字化為行業(yè)帶來諸多機(jī)遇的同時，也面臨著一系列挑戰(zhàn)。據(jù)APWG 2025年第二季度報告，全球釣魚攻擊達(dá)113萬起，創(chuàng)近兩年新高，其中，針對金融機(jī)構(gòu)的釣魚攻擊占比達(dá)18.3%，支付行業(yè)亦高達(dá)12.1%，二者合計(jì)超過三成，已成為網(wǎng)絡(luò)釣魚攻擊的首選目標(biāo)。

網(wǎng)絡(luò)釣魚攻擊正加速向服務(wù)化、高隱蔽性與智能化演進(jìn)，對高度依賴數(shù)字信任機(jī)制的金融行業(yè)構(gòu)成系統(tǒng)性威脅。深入研判其演化趨勢、剖析金融體系的結(jié)構(gòu)性脆弱點(diǎn)，并探索技術(shù)與治理協(xié)同的適應(yīng)性防御路徑，不僅關(guān)乎金融機(jī)構(gòu)的安全韌性，更對維護(hù)國家金融穩(wěn)定與用戶數(shù)字權(quán)益具有重要現(xiàn)實(shí)意義。

一、網(wǎng)絡(luò)釣魚攻擊的最新發(fā)展與演變

網(wǎng)絡(luò)釣魚攻擊本質(zhì)是通過欺騙獲取用戶憑證或敏感信息的攻擊行為。到2025年，其實(shí)施方式、技術(shù)復(fù)雜度與產(chǎn)業(yè)成熟度已發(fā)生深刻變化，體現(xiàn)在三個相互關(guān)聯(lián)的維度：攻擊模式服務(wù)化、基礎(chǔ)設(shè)施合法化，以及社會工程智能化。這三者共同構(gòu)成了低成本、高效率、難溯源的攻擊生態(tài)。

（一）釣魚服務(wù)化：降低門檻與規(guī)模化攻擊

現(xiàn)代網(wǎng)絡(luò)釣魚的核心驅(qū)動力之一在于“犯罪即服務(wù)”（CaaS）模式的普及，其中“釣魚即服務(wù)”（PhaaS）平臺更扮演了關(guān)鍵角色。據(jù)Barracuda Networks 2025年第一季度報告，約60%至70%的釣魚攻擊使用了PhaaS平臺。Tycoon 2FA、EvilProxy等主流工具包的廣泛使用，使不具備專業(yè)技術(shù)背景的攻擊者也能發(fā)起復(fù)雜的會話劫持攻擊。這種服務(wù)化模式不僅降低了攻擊者實(shí)施違法行為的技術(shù)門檻，也實(shí)現(xiàn)了攻擊的標(biāo)準(zhǔn)化與規(guī)模化，使金融機(jī)構(gòu)面臨持續(xù)、高頻的自動化攻擊威脅。

（二）基礎(chǔ)設(shè)施濫用：利用信任鏈規(guī)避檢測

為提升釣魚活動的隱蔽性，攻擊者正系統(tǒng)性地濫用公眾信任的合法云服務(wù)平臺。如GitHub、Firebase等因其域名信譽(yù)度較高，常被攻擊者用于托管釣魚頁面。有報道顯示，在針對美國信用合作社的釣魚活動中，攻擊者利用Glitch的子域名創(chuàng)建了高度相似的登錄界面，因該鏈接源自“glitch.com”這一可信域，其在電子郵件安全網(wǎng)關(guān)和終端防護(hù)軟件中往往能夠繞過基于URL信譽(yù)的檢測機(jī)制，從而成功實(shí)施釣魚攻擊。

這種策略的本質(zhì)在于，攻擊者不再依賴部署惡意服務(wù)器或注冊可疑域名，轉(zhuǎn)而將釣魚頁面等惡意負(fù)載巧妙嵌入用戶日常訪問的合法云服務(wù)所提供的正常業(yè)務(wù)流量中。由于攻擊流量與合法流量在域名、證書和通信模式上高度相似，依賴黑名單和靜態(tài)特征匹配的傳統(tǒng)防御體系難以有效識別，從而導(dǎo)致檢測機(jī)制失效。

（三）社會工程智能化：從批量投放到情境定制

傳統(tǒng)網(wǎng)絡(luò)釣魚依賴模板化內(nèi)容大規(guī)模投送，其成功率建立在極低轉(zhuǎn)化率下的數(shù)量補(bǔ)償之上。近年來，攻擊者已轉(zhuǎn)向以信息聚合與自動化技術(shù)支撐的精準(zhǔn)誘導(dǎo)模式，使社會工程從粗放式心理操控發(fā)展為可復(fù)制、可擴(kuò)展的系統(tǒng)性攻擊環(huán)節(jié)。

一是對釣魚攻擊目標(biāo)背景信息的結(jié)構(gòu)化利用。攻擊者通過公開渠道收集目標(biāo)的職業(yè)角色、組織關(guān)系、業(yè)務(wù)活動等數(shù)據(jù)，結(jié)合自動化腳本生成語境貼合的誘餌內(nèi)容。例如，針對財務(wù)人員的釣魚郵件可模擬內(nèi)部付款審批流程，嵌入偽造的合同附件；面向高管的“鯨釣”攻擊常以監(jiān)管通知、董事會文件為名，利用其決策權(quán)重與時間敏感心理，規(guī)避常規(guī)審查機(jī)制。

二是借助外部事件構(gòu)建合理情境。攻擊者利用目標(biāo)人群的心理慣性，在合法通信預(yù)期框架內(nèi)植入欺詐請求，從而繞過理性判斷。多起案例顯示，國際金融政策調(diào)整、大型購物節(jié)等重大公共事件常被頻繁用作釣魚主題，通過制造“賬戶驗(yàn)證”“交易異常”等緊迫性場景，誘導(dǎo)用戶在認(rèn)知負(fù)荷升高時降低警惕。

當(dāng)上述策略經(jīng)過與PhaaS平臺深度整合，攻擊者不再依賴個體攻擊者的臨場技巧，而是演變?yōu)橐环N可規(guī)模化部署的認(rèn)知滲透手段。例如，APWG報告顯示，惡意QR碼攻擊激增，單季檢測量超63萬個，涉及1642個品牌。攻擊者利用用戶對便捷掃碼的信任，將受害者直接導(dǎo)向釣魚頁面，而此類攻擊往往能繞過傳統(tǒng)的郵件內(nèi)容過濾器，進(jìn)一步增加了防范難度。

二、金融行業(yè)持續(xù)遭受網(wǎng)絡(luò)釣魚攻擊的原因

網(wǎng)絡(luò)釣魚對金融行業(yè)的高度聚焦，源于攻擊者對數(shù)字化架構(gòu)中結(jié)構(gòu)性風(fēng)險的精準(zhǔn)識別與成本效益權(quán)衡。這些源于金融業(yè)務(wù)本質(zhì)、技術(shù)路徑依賴與用戶交互模式，共同構(gòu)成高價值且易受攻擊的目標(biāo)面。

（一）核心權(quán)限與價值的高度集中

金融機(jī)構(gòu)的組織架構(gòu)與業(yè)務(wù)流程天然存在權(quán)限與資產(chǎn)的集中點(diǎn)。首席財務(wù)官、財務(wù)主管、交易員等關(guān)鍵崗位，被賦予了直接操作大額資金流轉(zhuǎn)、訪問核心財務(wù)系統(tǒng)（如ERP、核心銀行系統(tǒng)）及審批敏感交易的權(quán)限。此類賬戶一旦失陷，攻擊者可直接發(fā)起欺詐性轉(zhuǎn)賬，其單次攻擊的潛在經(jīng)濟(jì)回報遠(yuǎn)超對普通用戶的攻擊。針對關(guān)鍵權(quán)限人員的“鯨釣”攻擊已發(fā)展為高度產(chǎn)業(yè)化的商業(yè)郵件欺詐（BEC）模式。APWG數(shù)據(jù)顯示，BEC攻擊的平均單筆索款金額飆升至8.3萬美元，環(huán)比增長97%。這種以高管或財務(wù)人員為目標(biāo)，旨在竊取大額資金的精準(zhǔn)攻擊，充分暴露了金融機(jī)構(gòu)因權(quán)限與價值高度集中而產(chǎn)生的結(jié)構(gòu)性弱點(diǎn)。

（二）深度嵌套的第三方依賴與信任鏈延伸

現(xiàn)代金融服務(wù)的交付嚴(yán)重依賴龐大且復(fù)雜的第三方生態(tài)系統(tǒng)。從稅務(wù)申報（如與稅務(wù)機(jī)關(guān)系統(tǒng)對接）、支付網(wǎng)關(guān)、云基礎(chǔ)設(shè)施服務(wù)商（IaaS/PaaS）、軟件供應(yīng)商到供應(yīng)鏈合作伙伴，金融機(jī)構(gòu)的業(yè)務(wù)流程與數(shù)據(jù)流廣泛延伸至外部實(shí)體。這一過程構(gòu)建了一條多層級的信任鏈，即金融機(jī)構(gòu)必須信任其供應(yīng)商的安全性，而供應(yīng)商的系統(tǒng)安全狀態(tài)直接影響金融機(jī)構(gòu)的暴露面。一旦攻擊者通過網(wǎng)絡(luò)釣魚攻陷某個安全防護(hù)相對薄弱的第三方，便可利用該“信任憑證”作為跳板，通過憑證填充、API濫用或供應(yīng)鏈植入等方式，間接滲透至金融機(jī)構(gòu)的核心系統(tǒng)，形成“間接攻擊路徑”。

（三）用戶對品牌通信與安全流程的條件反射

金融用戶（包括個人客戶和企業(yè)員工）長期處于銀行、支付平臺等機(jī)構(gòu)建立的“安全通信”范式中。他們習(xí)慣于接收來自官方渠道的賬戶變動通知、安全驗(yàn)證請求（如短信驗(yàn)證碼），以及與交易相關(guān)的確認(rèn)郵件。這種由金融機(jī)構(gòu)自身培育的、對品牌通信的高度信任，形成了一種用戶心理定式。攻擊者通過高度仿真的釣魚頁面和郵件，精確復(fù)刻此類通信的視覺元素、語言風(fēng)格和情境設(shè)定，能夠有效觸發(fā)用戶的條件反射式響應(yīng)。用戶在預(yù)期框架內(nèi)，傾向于將此類請求視為正常業(yè)務(wù)流程的一部分，從而降低了對通信真實(shí)性的質(zhì)疑門檻，為網(wǎng)絡(luò)釣魚攻擊創(chuàng)造了有利條件。

（四）對傳統(tǒng)認(rèn)證范式的路徑依賴與會話安全盲區(qū)

雖然多因素認(rèn)證（MFA）已被廣泛部署，但當(dāng)前的主流認(rèn)證架構(gòu)仍普遍依賴“密碼+MFA因子”的組合。該模式的核心弱點(diǎn)在于，其最終驗(yàn)證的是憑證（密碼和MFA響應(yīng)）而非用戶身份本身。在會話建立后，系統(tǒng)通常依賴會話令牌來維持用戶狀態(tài)。這一設(shè)計(jì)的關(guān)鍵風(fēng)險在于：一旦攻擊者通過中間人代理等技術(shù)，實(shí)時竊取了完整的認(rèn)證過程（包括MFA響應(yīng)），并成功獲取了有效會話令牌，即可在用戶無感知的情況下劫持會話。由于會話令牌的合法性由服務(wù)器驗(yàn)證，且其使用過程不涉及再次輸入MFA，傳統(tǒng)的基于IP、設(shè)備或MFA狀態(tài)的檢測機(jī)制對此類攻擊難以有效識別。這暴露了以“憑證驗(yàn)證”為核心的認(rèn)證模型在應(yīng)對實(shí)時會話劫持時的根本性缺陷。

三、應(yīng)對金融數(shù)字化階段網(wǎng)絡(luò)釣魚治理的舉措建議

面對攻擊者對MFA的系統(tǒng)性劫持和對用戶心理的精準(zhǔn)操控，建議金融在數(shù)字化進(jìn)程中，通過無密碼認(rèn)證、構(gòu)建零信任架構(gòu)、提升全流程人員安全意識、強(qiáng)化技術(shù)檢測響應(yīng)能力以及積極參與反釣魚治理協(xié)同工作，推進(jìn)金融機(jī)構(gòu)的防御體系的適應(yīng)性演進(jìn)。

（一）壓降釣魚風(fēng)險：推進(jìn)無密碼認(rèn)證

現(xiàn)階段的釣魚攻擊主要針對可被竊取與重放的憑證體系，其中密碼已成為其最薄弱的環(huán)節(jié)。為從根本上防御此類攻擊，金融機(jī)構(gòu)亟需加速向無密碼認(rèn)證體系轉(zhuǎn)型。通過采用“設(shè)備內(nèi)私鑰存儲與域名綁定”等技術(shù)機(jī)制，重構(gòu)身份驗(yàn)證的信任基礎(chǔ)，可顯著降低因用戶操作失誤導(dǎo)致的憑證泄露風(fēng)險。建議金融機(jī)構(gòu)優(yōu)先在企業(yè)網(wǎng)銀、高管賬戶及核心業(yè)務(wù)系統(tǒng)等高價值場景領(lǐng)域率先部署該體系。

由PayPal、聯(lián)想等企業(yè)共同發(fā)起成立的FIDO聯(lián)盟推出的身份認(rèn)證框架協(xié)議，包括無密碼認(rèn)證（UAF）、第二因素認(rèn)證（U2F）等。其提出的Passkeys技術(shù)基于公鑰密碼學(xué)，將私鑰安全存儲于用戶本地設(shè)備，并通過與目標(biāo)網(wǎng)站域名強(qiáng)綁定的簽名機(jī)制實(shí)現(xiàn)身份驗(yàn)證。在此模式下，即便用戶誤入釣魚頁面，攻擊者也無法獲取可用于真實(shí)站點(diǎn)的身份憑證——因私鑰永不外傳，且生成的簽名僅對合法域名有效。后續(xù)可進(jìn)一步結(jié)合FIDO2規(guī)范與本地生物識別（如指紋）的硬件安全密鑰，強(qiáng)化企業(yè)級防釣魚能力。

（二）構(gòu)建零信任架構(gòu)：持續(xù)驗(yàn)證與最小權(quán)限

面對網(wǎng)絡(luò)釣魚攻擊對傳統(tǒng)邊界防御與靜態(tài)認(rèn)證機(jī)制的系統(tǒng)性突破，金融機(jī)構(gòu)需轉(zhuǎn)向以“永不信任，持續(xù)驗(yàn)證”為核心原則的零信任架構(gòu)。該架構(gòu)不再依賴網(wǎng)絡(luò)位置或單次認(rèn)證結(jié)果建立信任，而是通過多維度上下文信息的動態(tài)評估，實(shí)現(xiàn)對每一次訪問請求的細(xì)粒度控制。

在身份與訪問層面，系統(tǒng)需持續(xù)評估用戶設(shè)備的完整性、地理位置及行為基線。即使用戶已通過MFA完成初始認(rèn)證，若會話出現(xiàn)異地快速登錄、非工作時間訪問敏感系統(tǒng)等異常行為，系統(tǒng)可觸發(fā)自適應(yīng)認(rèn)證或臨時阻斷，以有效防范會話劫持攻擊。

在網(wǎng)絡(luò)通信層面，建議部署加密流量檢測技術(shù)，對TLS/SSL流量進(jìn)行深度分析，以識別潛在的隱蔽信道。重點(diǎn)監(jiān)控對合法云服務(wù)API的異常調(diào)用頻率與數(shù)據(jù)傳輸模式，及時發(fā)現(xiàn)攻擊者利用高信譽(yù)平臺進(jìn)行命令與控制（C2）通信的行為。

在訪問控制層面，應(yīng)嚴(yán)格執(zhí)行最小權(quán)限原則，確保用戶與服務(wù)賬戶僅擁有完成其職責(zé)所必需的最低權(quán)限，以此限制攻擊者在憑證失陷后的橫向移動能力。同時結(jié)合動態(tài)授權(quán)機(jī)制，根據(jù)風(fēng)險評分實(shí)時調(diào)整訪問權(quán)限，實(shí)現(xiàn)權(quán)限的“按需分配、及時回收”。

在供應(yīng)鏈安全層面，將網(wǎng)絡(luò)安全要求納入第三方服務(wù)商的準(zhǔn)入與持續(xù)管理流程。對供應(yīng)商實(shí)施定期安全評估，明確其安全責(zé)任邊界，并對其訪問本機(jī)構(gòu)系統(tǒng)的權(quán)限與行為日志進(jìn)行集中監(jiān)控，防范因供應(yīng)鏈環(huán)節(jié)薄弱導(dǎo)致的間接滲透風(fēng)險。

（三）轉(zhuǎn)變用戶角色：從薄弱環(huán)節(jié)到感知節(jié)點(diǎn)

雖然技術(shù)手段在持續(xù)進(jìn)步，但用戶行為仍然是釣魚攻擊成功的關(guān)鍵因素。安全意識培訓(xùn)需要超越基礎(chǔ)的警示性教育，應(yīng)向更具互動性和情境化的方向發(fā)展，旨在提升員工在真實(shí)攻擊場景下的識別與響應(yīng)能力。

在內(nèi)容上，超越“不要點(diǎn)擊鏈接”的泛化說教，應(yīng)采用基于真實(shí)事件的情境化模擬釣魚攻擊訓(xùn)練。例如，針對首席財務(wù)官（CFO）開展“偽造財務(wù)指令”和“深度偽造語音”的演練；針對IT人員開展“冒充供應(yīng)商”的語音釣魚測試。

在流程上，建立強(qiáng)制性的多通道驗(yàn)證協(xié)議。對于所有資金轉(zhuǎn)賬、權(quán)限變更等高風(fēng)險操作，必須通過獨(dú)立于初始通信渠道的第二通道進(jìn)行人工二次確認(rèn)。此流程可制度化落實(shí)，不因指令來源的權(quán)威性而豁免。

在文化上，營造“安全即責(zé)任”的文化，鼓勵員工報告可疑事件，而非簡單化的事后對“點(diǎn)擊了鏈接”進(jìn)行處罰。通過攻防演練和激勵機(jī)制，將用戶納入主動防御體系。

（四）強(qiáng)化檢測響應(yīng)：智能分析提升防御韌性

為應(yīng)對釣魚攻擊在載體與基礎(chǔ)設(shè)施上的持續(xù)演化，金融機(jī)構(gòu)需構(gòu)建覆蓋郵件、終端、網(wǎng)絡(luò)與身份系統(tǒng)的全棧式檢測能力，并通過安全響應(yīng)機(jī)制提升整體防御韌性。

在入口防護(hù)層面，部署具備AI語義分析能力的安全郵件網(wǎng)關(guān)（SEG），不再局限于靜態(tài)URL黑名單匹配，而是綜合發(fā)件人歷史行為、收件人關(guān)系網(wǎng)絡(luò)、郵件內(nèi)容語義特征等因素進(jìn)行風(fēng)險評分，動態(tài)阻斷偽裝度高、情境逼真的釣魚郵件。

在終端與網(wǎng)絡(luò)層面，整合終端檢測與響應(yīng)（EDR）、網(wǎng)絡(luò)檢測與響應(yīng)（NDR）系統(tǒng)，實(shí)現(xiàn)對可疑進(jìn)程、異常網(wǎng)絡(luò)連接與橫向移動行為的聯(lián)動感知。特別是針對SVG等合法格式中嵌入惡意腳本的新型載體，EDR系統(tǒng)可通過行為沙箱與啟發(fā)式規(guī)則進(jìn)行深度解析與攔截。

在安全運(yùn)營層面，建立或強(qiáng)化安全運(yùn)營中心（SOC），集成SIEM平臺實(shí)現(xiàn)日志的集中化管理與關(guān)聯(lián)分析。通過預(yù)設(shè)檢測規(guī)則與機(jī)器學(xué)習(xí)模型，自動識別異常登錄、會話令牌濫用等潛在釣魚攻擊的早期信號，并觸發(fā)自動化響應(yīng)流程，以縮短威脅暴露窗口。

此外，金融行業(yè)應(yīng)積極參與反釣魚治理協(xié)同治理。由于網(wǎng)絡(luò)釣魚攻擊日益組織化、跨域化，其基礎(chǔ)設(shè)施往往分布于不同云服務(wù)商、域名注冊商及通信平臺，形成動態(tài)攻擊鏈。因此，必須將技術(shù)迭代與協(xié)同聯(lián)防并重，方能在對抗升級中守住信任邊界。例如，由中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）牽頭成立的公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚工作組，正推動跨行業(yè)協(xié)同機(jī)制的建立。該機(jī)制聚合銀行、支付機(jī)構(gòu)、郵件廠商與安全廠商等多方資源，通過自動化接口實(shí)時交換釣魚URL、惡意IP及攻擊手法等威脅情報，形成動態(tài)威脅情報池，有效提升全行業(yè)響應(yīng)速度，從而實(shí)現(xiàn)對網(wǎng)絡(luò)釣魚攻擊的預(yù)警與聯(lián)防。建議金融機(jī)構(gòu)將自身監(jiān)測能力融入全局防御網(wǎng)絡(luò)，實(shí)現(xiàn)從被動防御到主動對抗的升級，在協(xié)同中筑牢數(shù)字金融安全防線。

四、結(jié) 語

金融行業(yè)網(wǎng)絡(luò)釣魚攻擊的本質(zhì)是對金融行業(yè)結(jié)構(gòu)性脆弱點(diǎn)的系統(tǒng)性利用。傳統(tǒng)以邊界防護(hù)與用戶教育為核心的防御模式，難以應(yīng)對攻擊手段的服務(wù)化、對合法基礎(chǔ)設(shè)施的濫用與社會工程的智能化。未來防御體系的強(qiáng)化，必須超越單純封堵與警示的思維，轉(zhuǎn)向以持續(xù)驗(yàn)證、最小權(quán)限與生態(tài)協(xié)同治理為基礎(chǔ)的適應(yīng)性架構(gòu)。這一轉(zhuǎn)型的深度與廣度，將直接影響金融機(jī)構(gòu)在數(shù)字時代的安全基線。（張雅楠系本文通訊作者）

（本文刊登于《中國信息安全》雜志2025年第12期）