永远“慢半拍”!网络钓鱼为何防不胜防?飞天诚信:何不用防钓鱼MFA
网络钓鱼攻击已成为互联网世界中最具威胁的安全隐患之一,时刻威胁着用户的隐私、财产安全。FBI《2024年网络犯罪报告》显示,网络钓鱼是美国主要的网络犯罪类型之一,共收到超过20万起举报,损失超28.4亿美元。Knowbe4《网络钓鱼威胁趋势报告(PTTR)》显示,从2024年9月15日到2025年2月14日,网络钓鱼攻击相比六个月之前增加了17.3%。那么,为何网络钓鱼攻击愈演愈烈,防不胜防呢?
网络钓鱼攻击检测的思路主要针对网络钓鱼的攻击路径。典型的网络钓鱼攻击包含以下三个环节:
攻击者向用户发送恶意链接;
用户点击加载恶意页面;
用户在恶意页面输入凭证(例如口令)导致凭证被窃取。
相应地,钓鱼攻击的检测主要依赖由经过确认的恶意页面指标(简称IoC,主要包括攻击中用到的恶意域名、URI以及IP地址)组成的黑名单。具体来说,
网络安全厂商通过多种渠道收集IoC数据(例如受害者举报时提供的信息);
安全人员进行调查分析,确认存在恶意内容后将其加入黑名单(进行标记);
更新后的黑名单通过威胁情报渠道传播(网络安全态势感知),最终集成到安全邮件网关(SEG)、安全Web网关(SWG)等网络安全防护系统并发挥作用。
尽管可以使用自动化工具以提高调查分析的效率,但从页面被标记为恶意到黑名单分发,通常需要数天甚至数周,很难做到实时准确检测。实际上,从原理来说,钓鱼攻击检测永远是“慢半拍”的:要检测并拦截网络钓鱼页面,首先得有受害者被钓鱼……
雪上加霜的是,域名分析、网页脚本分析这些传统的网络钓鱼检测技术,在滥用新一代信息技术的攻击者面前已是“千疮百孔”,几乎是“徒劳无功”:
钓鱼域名“用后即弃”:现代开源的网络钓鱼工具框架支持动态轮换特征元素,例如从持续更新的链接池分配不同URL给每个点击者,甚至采用一次性链接使后续安全调查无法复现。攻击者可以批量购买域名来填充链接池,还可以通过入侵受信任的WordPress(一种开源的“一站式”网站建设平台)服务器来注册新域名;
钓鱼网页“借力打力”:沙箱分析(在隔离环境中运行不可信或有潜在风险的应用程序)是钓鱼网页自动化检测的利器。然而,攻击者在钓鱼网页部署用于防范自动化脚本的Cloudflare Turnstile(网上对Turnstile的介绍如下:“当你打开某些网站时,可能会看到一句‘正在验证浏览器,请稍候’,几秒后自动放行——这背后就是 Turnstile 在检查你的浏览器环境、鼠标移动轨迹、页面操作等数据,以确定访问者是活生生的人类,而非脚本程序”),即可使钓鱼网页的恶意脚本在沙箱中不会运行,从而轻松规避沙箱分析。
AI建站“飞入寻常百姓家”:Okta Threat Intelligence 观察到,利用美国云服务商Vercel提供的AI平台(支持使用自然语言提示创建 Web 界面)创建钓鱼网站的现象正在增加。攻击者使用简单的自然语言提示,几分钟内即可生成模仿知名品牌登录体验的网络钓鱼网站,并且托管在Vercel云服务运行。这降低了开发和运行这些网络钓鱼网站的门槛,强化了网络钓鱼活动的规模、速度以及成功几率。
网络钓鱼的可怕之处,不在于技术有多高明,而在于它同时击穿了“技术”与“人心”两条防线。心理学告诉我们:在权威、恐惧、紧迫、熟悉这四把“钩子”面前,再谨慎的人也可能在分神的一瞬间点击“确认”。钓鱼邮件通常模拟收件人熟悉的场景,例如伪造的密码重置通知、假冒快递确认或内部人事邮件,目的在于诱使收件人反射式点击,而来不及核实真伪。墨尔本安全公司BorderlessCS 的钓鱼模拟演练表明,包括高层在内的员工在忙碌或高压时更易被贴合情境的钓鱼邮件骗到。
美国CISA(Cybersecurity and Infrastructure Security Agency,网络安全与基础设施安全局)提出了“防钓鱼MFA”(Phishing-Resistant MFA)的概念,将能够抵御网络钓鱼攻击的若干MFA称为“防钓鱼MFA”。FIDO是CISA认定的防钓鱼MFA之一。飞天诚信推出了一系列#FIDOSecurity Key产品,用户可以通过USB-A、USB-C接口、NFC或BLE接口将FIDO产品连接到电脑或手机,快速、安全地完成账号登录或单点登录。飞天诚信FIDO Security Key现已支持Google、AWS等众多在线服务。
网络钓鱼打的是“时间差”——在规则更新之前,在人心恍惚之间。
当攻击者开始用 AI 批量生成真假难辨的网页,当每一次点击都可能成为灾难的导火索,再靠“事后黑名单”显然已经来不及。
与其等鱼上钩,不如把鱼塘上锁。
给每位员工、每台设备、每个账户都配上一把真正的“钥匙”,让钓鱼邮件点进去也偷不到、骗不走、用不了。
今天,就为关键业务开启防钓鱼MFA——不给攻击者留时间,不给钓鱼网留入口,更不给后悔留余地。