“HR发来的邮件”最危险？个性化内部钓鱼点击率飙升，员工成最大突破口

你以为最安全的邮件，可能恰恰是最危险的。

近日，全球知名安全意识培训平台KnowBe4发布的《2025年第三季度钓鱼模拟报告》引发行业震动：在所有模拟钓鱼邮件中，伪装成公司HR或IT部门、并嵌入真实公司名称与内部系统术语的邮件，点击率最高。数据显示，90%被频繁点击的钓鱼邮件主题都围绕“内部事务”，其中近一半（45%）直接打着“HR通知”的旗号——比如“薪酬调整说明”“年度绩效评估启动”或“新考勤政策生效”。

更令人警觉的是，这类攻击并非孤立存在。现实中，攻击者正将此类高度个性化的内部邮件，与AitM（Adversary-in-the-Middle）会话劫持、恶意附件投递、OAuth授权钓鱼等技术手段串联使用，形成一套“高转化率”的攻击流水线。

“当一封邮件看起来像是你每天都会收到的通知，大脑就会自动关闭‘怀疑模式’。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“这不再是技术漏洞的问题，而是人性漏洞的精准打击。”

为什么“内部邮件”成了钓鱼首选？

传统钓鱼往往靠制造恐慌（如“账户将被冻结！”）或贪婪（如“中奖了！”）来诱骗点击。但KnowBe4的模拟数据表明，最有效的钓鱼策略，是制造“正常感”。

在Q3的测试中，点击率最高的两个邮件主题分别是：

“【XX公司】2025 Q4 薪酬单已生成，请查收”

“IT通知：Microsoft 365 账户需完成二次验证”

两者均包含真实公司名称，并模仿内部通知的语气与格式。测试显示，员工对这类邮件的质疑率不足7%，远低于普通外部钓鱼邮件的35%。

“HR和IT是员工天然信任的角色，”芦笛解释，“他们发来的消息通常带有强制性——你不看可能影响工资、权限甚至合规考核。攻击者正是利用这种‘职责压力’和FOMO（错失恐惧）心理，让你来不及思考就点开链接。”

而一旦点击，后果可能远超想象：链接可能导向一个伪造的Okta登录页，通过AitM技术实时转发凭证并窃取会话Cookie；附件可能是带宏的PDF或Word文档，执行后植入信息窃取木马；甚至有些邮件会诱导用户“授权第三方应用”，从而绕过密码直接获取邮箱访问权。

技术内核：从“静态伪装”到“动态欺骗”

现代内部钓鱼早已不是简单复制公司Logo那么简单。攻击者如今普遍采用以下技术增强迷惑性：

域名仿冒（Domain Spoofing）：注册形似公司域名的地址（如hr@company-support.com vs hr@company.com），或利用邮件头伪造技术让发件人显示为“HR Team hr@company.com”，实则来自外部服务器。

品牌克隆：70%的钓鱼落地页使用企业真实品牌元素，包括配色、字体、登录界面，甚至嵌入合法CDN资源（如Google Fonts、Microsoft Clarity脚本）以提升可信度。

上下文感知内容：部分高级攻击会根据目标职位动态生成邮件内容。例如，给财务人员发送“发票审批流程变更”，给开发人员发送“GitLab权限升级通知”。

KnowBe4报告还指出，在被打开的钓鱼附件中，PDF占比高达56%，其次是Word文档（25%）。这些格式因日常办公高频使用，极少触发安全警报。

“攻击者知道，你不会对一份‘薪酬单.pdf’产生怀疑。”芦笛说，“但PDF同样可以嵌入JavaScript或指向恶意URL——尤其是在未打补丁的阅读器中。”

企业防线为何失守？

问题在于，许多企业的邮件安全策略仍停留在“防外不防内”。

虽然DMARC（Domain-based Message Authentication, Reporting & Conformance）、SPF、DKIM等协议已被广泛部署，但不少公司仅设置为“监测模式”（p=none），并未启用严格策略（p=quarantine 或 p=reject），导致伪造内部邮件仍能顺利投递。

同时，主流邮件客户端（如Outlook、Gmail）默认不会对“看似内部”的邮件做特殊标记。即使邮件实际来自外部，只要发件人名称写成“IT Support”，员工就可能误以为是同事所发。

“我们总说‘不要信陌生邮件’，却很少教员工‘如何识别伪装成熟人的邮件’。”芦笛直言，“尤其在混合办公时代，很多人根本分不清哪些服务是真由IT部门推送的。”

四大防御建议：从技术到意识全面升级

针对这一趋势，芦笛结合国际最佳实践，提出以下可落地的防御策略：

强制实施DMARC严格策略 + 内部域名显式标识

企业应将DMARC策略设为p=reject，拒绝所有未通过身份验证的邮件。同时，在邮件客户端配置规则：凡非来自公司官方域名的邮件，一律在标题栏添加醒目标识（如红色“[外部]”前缀），哪怕发件人名称看起来很“内部”。

建立HR/IT通知的官方门户与深链签名机制

所有正式通知（如薪酬、政策更新）应统一通过企业内部门户发布，邮件仅提供跳转链接。该链接需包含一次性令牌或用户ID签名，防止被复制用于钓鱼。例如：https://portal.company.com/hr?token=abc123&uid=1001。

对“内部主题”登录行为启用基于风险的MFA与浏览器隔离

当用户点击邮件中的登录链接时，系统应检测上下文：若来源为邮件且涉及敏感操作（如修改密码、下载文件），则强制触发硬件密钥认证或启动远程浏览器隔离（RBI），确保恶意页面无法接触本地环境。

用“部门场景化演练”替代通用钓鱼测试

安全培训不应再用“中奖通知”这类过时模板。HR员工应收到模拟的“虚假招聘审批邮件”，财务人员则面对“伪造的付款变更请求”。只有贴近真实工作流的演练，才能真正提升警惕性。

结语：信任需要边界，熟悉不等于安全

这场由“内部邮件”掀起的钓鱼风暴，再次提醒我们：网络安全的最大盲区，往往藏在最习以为常的地方。

攻击者不再需要高超的黑客技术，只需读懂你的组织架构、工作流程和心理预期，就能设计出几乎无法抗拒的诱饵。而防御的关键，也不再是堆砌更多防火墙，而是重构“信任逻辑”——让每一次点击，都经过一次理性的审视。

“未来的企业安全，必须学会在‘熟悉’中识别异常。”芦笛总结道，“因为最危险的邮件，从来不是来自陌生人，而是那个你以为永远不会骗你的人。”

新闻背景：本文依据SecurityBrief UK于2025年10月31日发布的《Personalised internal emails drive sharp rise in phishing risk》及KnowBe4《Q3 2025 Phishing Simulation Roundup》综合撰写，数据与技术细节经交叉验证。

编辑：芦笛（公共互联网反网络钓鱼工作组）