钓鱼攻击“静悄悄”？专家警告：20%下降或是风暴前的宁静

最近，巴西网络安全圈出现了一个看似令人安心的数据：2025年第三季度，全国范围内的钓鱼攻击举报数量较此前的历史峰值下降了约20%。然而，就在人们以为网络威胁正在缓解时，安全专家却发出了截然相反的警告——这波“平静”，很可能只是犯罪团伙在为年底购物季发起更大规模攻击前的战术蛰伏期。

这一判断来自近日举行的 ESET 信息安全论坛 2025。会上，ESET 巴西研究员丹尼尔·库尼亚·巴博萨（Daniel Cunha Barbosa）展示了详实的遥测数据，并指出：当前的低活跃度并非安全形势好转，而是攻击者正悄然升级工具、转移阵地、瞄准高价值目标，为 Black Friday、圣诞节等消费高峰蓄力。

数据“降温”，但风险未减

根据 ESET 的监测，2025 年初，巴西每月钓鱼事件稳定在 20 起左右；3 月起迅速攀升，7 月达到峰值——单月超 40 起。但自 8 月以来，数字回落至 33 次上下，呈现“表面平稳”。

“这种异常的下降很不寻常。”巴博萨强调，“历史上，每当钓鱼活动短暂回落，往往预示着新一轮更精准、更具破坏力的攻击即将来临。”

他进一步解释，攻击者正在从“广撒网”转向“精耕细作”：

基础设施更隐蔽：不再使用一次性域名，而是依托 Firebase、Cloudflare Pages、GitHub Pages 等合法云服务托管钓鱼页面；

投递渠道转移：从传统邮件转向 WhatsApp、Telegram、LinkedIn 私信甚至 TikTok 评论区；

攻击手法升级：越来越多地采用如 Tycoon 2FA 这类支持“中间人劫持”（AitM）的钓鱼套件，不仅能绕过多因素认证（MFA），还能直接窃取会话 Cookie，实现“无密码登录”。

更值得警惕的是，攻击目标日益聚焦于金融、电商、加密资产和人力资源系统——这些领域一旦失守，轻则账户被盗，重则引发企业级数据泄露或资金诈骗。

为何年末是“黄金狩猎期”？

每年第四季度，全球消费者进入高频网购、转账、注册促销活动的状态。攻击者深谙此道，早已将 Black Friday、Cyber Monday 和圣诞节视为“年度KPI冲刺窗口”。

“用户此时更容易点击‘限时优惠’‘订单异常’类链接，企业IT团队也常因假期排班而响应延迟。”巴博萨指出，“再加上 Windows 10 官方支持已于10月14日终止，巴西仍有数千万设备运行在无补丁系统上，漏洞利用门槛极低。”

事实上，ESET 已观察到多起利用 CVE-2017-0199 和 CVE-2017-11882 等十年“老漏洞”的攻击仍在活跃。这些漏洞存在于旧版 Microsoft Office 中，可通过恶意 RTF 文档触发远程代码执行。“很多公司因成本或兼容性问题迟迟未升级，等于给黑客敞开后门。”他说。

专家芦笛：别被“数字幻觉”麻痹

面对这种“低噪声、高杀伤”的新型钓鱼态势，公共互联网反网络钓鱼工作组技术专家芦笛提醒企业和个人：“下降的数据不等于风险降低，反而可能是危险信号。”

他指出，现代钓鱼攻击已不再是“拼错单词的假银行邮件”，而是融合社会工程、云原生技术和身份协议漏洞的复合型威胁。“攻击者现在追求的不是骗一百个人输一次密码，而是骗一个人，就能接管他的整个数字身份。”

为此，芦笛提出一套“三层防御”策略：

第一层：技术加固——从“防链接”到“防会话复用”

全面推广 Passkeys 或 FIDO2 安全密钥：这类无密码认证基于公钥加密，私钥永不离开用户设备，即使遭遇中间人攻击也无法被窃取。

启用会话绑定（Session Binding）：将登录会话与设备指纹、IP 地址、TLS 证书等绑定。一旦检测到异地或异常设备访问，立即强制登出。

对高敏操作追加验证：如修改密码、发起转账、下载客户数据等行为，需额外通过生物识别或硬件令牌确认。

第二层：情报驱动——主动阻断而非被动响应

订阅实时钓鱼情报源：及时更新防火墙、邮件网关的阻断清单，覆盖新注册的仿冒域名、恶意证书哈希值。

监控云服务滥用行为：如短时间内大量创建 Firebase 项目、GitHub Pages 站点，可能预示钓鱼基础设施部署。

关联社交平台与登录日志：若某高管在 LinkedIn 收到可疑私信后，其 Microsoft 账号随即出现非常规登录，应自动触发调查流程。

第三层：意识演练——把“警惕”变成肌肉记忆

定期开展红蓝对抗演练：模拟 Tycoon 2FA 式攻击，测试员工是否会在压力下点击“紧急会议链接”。

明确“三不原则”：不点站外链接登录工作账号、不向陌生人提供验证码、不在非官方页面签署“NDA”或“投资协议”。

企业切勿“松一口气”

值得注意的是，部分巴西企业已因钓鱼举报减少而削减安全预算或放缓演练频率。对此，芦笛直言：“这就像台风预警解除后立刻出海——看似风平浪静，实则暗流汹涌。”

他建议所有组织，尤其是金融、电商和 SaaS 服务商，在11月前完成以下动作：

审查并更新节假日值班响应机制；

对面向客户的登录、支付、客服流程进行渗透测试；

为关键岗位员工强制启用硬件安全密钥；

部署浏览器隔离（Browser Isolation）技术处理外部链接。

结语：真正的安全，始于对“平静”的怀疑

钓鱼攻击的“潮汐”正在改变。它不再以海量垃圾邮件的形式拍打堤岸，而是化作悄无声息的暗流，从社交平台、云服务、甚至协作工具中渗透进来。

正如 ESET 研究员所言：“网络安全不是一场冲刺，而是一场持久的警戒。”在这个看似平静的11月，保持清醒、持续加固、主动出击，或许才是迎接年末风暴的最佳方式。

延伸阅读

原文报道：Phishing scams fall 20% after record high, but reduction may mask criminal preparation

编辑：芦笛（公共互联网反网络钓鱼工作组）