2025年网络钓鱼威胁态势与防御框架（下）——2025-2026年威胁预测

人工智能技术的快速发展促进网络犯罪分子攻击手段升级。这些攻击更精准，利用深度伪造技术模拟真实场景，预测目标行为模式和心理弱点，从而发动攻击。基于AI的社会工程学攻击正在改变网络安全格局，迫使防御方采取更智能化、主动化的防护措施。

一、招聘钓鱼激增：针对自由职业者的精准攻击

在此类攻击场景中，攻击者可能会采用虚假职位诱导的手段发动攻击。他们通常在领英等招聘平台上创建看似诱人的“居家办公”职位（如财务顾问、IT支持等），利用自由职业者对技术操作的不熟悉，诱使他们下载恶意文档或点击钓鱼网站链接。在这一过程中，攻击者会利用AI技术伪造公司官网和雇主背景（如捏造“投资顾问”身份），并结合“零门槛入职”“即时转账”等诱惑性话术，降低受害者警觉性。这种行为将导致数据泄露，被窃取的个人信息（如银行账户、社保信息）可能会被用于后续的金融诈骗或黑市交易。

在防御策略上，招聘平台要对企业发布职位实施动态审核，结合AI行为分析识别异常账号（如短时间内高频发布岗位）；个人则应按照“三核实”（核实公司资质、岗位真实性、联系人信息）原则，通过官方渠道（如公司官网电话）进行二次确认。

二、AI工具武器化：交互式钓鱼的崛起

一是虚拟现实（VR）面试钓鱼。攻击者利用生成式AI创建虚拟面试官（如伪造“微软HR”形象），在求职者进入虚拟会议时植入恶意脚本，通过窃取摄像头、麦克风等权限窃听敏感对话。为了达成目的，攻击者会通过伪造“远程协作工具”（如虚假Zoom插件）诱导用户安装，进而控制设备或篡改面试流程。

二是实时聊天钓鱼。攻击者部署AI驱动的聊天机器人（如伪装成“客服助手”），通过自然语言处理技术模拟真实对话，诱导用户输入账号密码或验证码。为达成目的，攻击者会利用开发者社区信任实施供应链攻击，在开源聊天工具中嵌入恶意代码（如伪造Slack插件）。

在防御策略上，主要有两种方式。一是端到端加密验证，强制启用视频会议平台的设备指纹验证与通话链路加密，防止中间人攻击。二是AI对抗检测。引入行为模式分析工具（如Darktrace），实时识别由AI生成的异常对话逻辑或语音特征。

三、移动端威胁升级：劫持双因素验证（2FA）

在攻击技术路径上，此类攻击通过短信钓鱼（Smishing）或恶意软件应用推送伪造的2FA验证码请求（如“您有一笔支付宝转账，请确认”），推送通知内容，诱导用户输入验证码至攻击者控制的服务器。同时，攻击者还可以利用安卓系统的权限漏洞，通过合法软件应用（如天气软件）窃取2FA通知内容，或通过蓝牙劫持智能手表的验证码接收功能进行信道攻击。

在防御策略上，主要有两种方式。一是推广无密码认证，如基于FIDO2标准的生物识别登录（如指纹+面部识别）等无密码的认证方式，彻底淘汰短信验证码；二是设备绑定策略，为关键账户设置设备白名单，限制2FA验证码仅在已授权设备上显示。

结语

随着生成式AI与深度伪造技术的滥用，网络钓鱼攻击正从“量变”走向“质变”，其精准性、隐蔽性与破坏性已超越传统安全防护体系的应对能力。面对这一趋势，不仅需要进一步提升技术防御能力（如CAPTCHA绕过检测、AI行为分析等），还需构建“技术+管理+法律”三位一体的治理体系。

作者：芦笛、张雅楠 中国互联网络信息中心

本文数据来源于：《Zscaler ThreatLabz 2025 Phishing Report》

编辑：芦笛（公共互联网反网络钓鱼工作组）