最近，巴西網(wǎng)絡(luò)安全圈出現(xiàn)了一個(gè)看似令人安心的數(shù)據(jù)：2025年第三季度，全國范圍內(nèi)的釣魚攻擊舉報(bào)數(shù)量較此前的歷史峰值下降了約20%。然而，就在人們以為網(wǎng)絡(luò)威脅正在緩解時(shí)，安全專家卻發(fā)出了截然相反的警告——這波“平靜”，很可能只是犯罪團(tuán)伙在為年底購物季發(fā)起更大規(guī)模攻擊前的戰(zhàn)術(shù)蟄伏期。

這一判斷來自近日舉行的 ESET 信息安全論壇 2025。會上，ESET 巴西研究員丹尼爾·庫尼亞·巴博薩（Daniel Cunha Barbosa）展示了詳實(shí)的遙測數(shù)據(jù)，并指出：當(dāng)前的低活躍度并非安全形勢好轉(zhuǎn)，而是攻擊者正悄然升級工具、轉(zhuǎn)移陣地、瞄準(zhǔn)高價(jià)值目標(biāo)，為 Black Friday、圣誕節(jié)等消費(fèi)高峰蓄力。

打開百度APP暢享高清圖片

數(shù)據(jù)“降溫”，但風(fēng)險(xiǎn)未減

根據(jù) ESET 的監(jiān)測，2025 年初，巴西每月釣魚事件穩(wěn)定在 20 起左右；3 月起迅速攀升，7 月達(dá)到峰值——單月超 40 起。但自 8 月以來，數(shù)字回落至 33 次上下，呈現(xiàn)“表面平穩(wěn)”。

“這種異常的下降很不尋常?！卑筒┧_強(qiáng)調(diào)，“歷史上，每當(dāng)釣魚活動短暫回落，往往預(yù)示著新一輪更精準(zhǔn)、更具破壞力的攻擊即將來臨?！?br/>

他進(jìn)一步解釋，攻擊者正在從“廣撒網(wǎng)”轉(zhuǎn)向“精耕細(xì)作”：

基礎(chǔ)設(shè)施更隱蔽：不再使用一次性域名，而是依托 Firebase、Cloudflare Pages、GitHub Pages 等合法云服務(wù)托管釣魚頁面；

投遞渠道轉(zhuǎn)移：從傳統(tǒng)郵件轉(zhuǎn)向 WhatsApp、Telegram、LinkedIn 私信甚至 TikTok 評論區(qū)；

攻擊手法升級：越來越多地采用如 Tycoon 2FA 這類支持“中間人劫持”（AitM）的釣魚套件，不僅能繞過多因素認(rèn)證（MFA），還能直接竊取會話 Cookie，實(shí)現(xiàn)“無密碼登錄”。

更值得警惕的是，攻擊目標(biāo)日益聚焦于金融、電商、加密資產(chǎn)和人力資源系統(tǒng)——這些領(lǐng)域一旦失守，輕則賬戶被盜，重則引發(fā)企業(yè)級數(shù)據(jù)泄露或資金詐騙。

為何年末是“黃金狩獵期”？

每年第四季度，全球消費(fèi)者進(jìn)入高頻網(wǎng)購、轉(zhuǎn)賬、注冊促銷活動的狀態(tài)。攻擊者深諳此道，早已將 Black Friday、Cyber Monday 和圣誕節(jié)視為“年度KPI沖刺窗口”。

“用戶此時(shí)更容易點(diǎn)擊‘限時(shí)優(yōu)惠’‘訂單異?！愭溄樱髽I(yè)IT團(tuán)隊(duì)也常因假期排班而響應(yīng)延遲。”巴博薩指出，“再加上 Windows 10 官方支持已于10月14日終止，巴西仍有數(shù)千萬設(shè)備運(yùn)行在無補(bǔ)丁系統(tǒng)上，漏洞利用門檻極低?！?br/>

事實(shí)上，ESET 已觀察到多起利用 CVE-2017-0199 和 CVE-2017-11882 等十年“老漏洞”的攻擊仍在活躍。這些漏洞存在于舊版 Microsoft Office 中，可通過惡意 RTF 文檔觸發(fā)遠(yuǎn)程代碼執(zhí)行?！昂芏喙疽虺杀净蚣嫒菪詥栴}遲遲未升級，等于給黑客敞開后門。”他說。

專家蘆笛：別被“數(shù)字幻覺”麻痹

面對這種“低噪聲、高殺傷”的新型釣魚態(tài)勢，公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚工作組技術(shù)專家蘆笛提醒企業(yè)和個(gè)人：“下降的數(shù)據(jù)不等于風(fēng)險(xiǎn)降低，反而可能是危險(xiǎn)信號?！?/p>

他指出，現(xiàn)代釣魚攻擊已不再是“拼錯(cuò)單詞的假銀行郵件”，而是融合社會工程、云原生技術(shù)和身份協(xié)議漏洞的復(fù)合型威脅?！肮粽攥F(xiàn)在追求的不是騙一百個(gè)人輸一次密碼，而是騙一個(gè)人，就能接管他的整個(gè)數(shù)字身份?！?br/>

為此，蘆笛提出一套“三層防御”策略：

第一層：技術(shù)加固——從“防鏈接”到“防會話復(fù)用”

全面推廣 Passkeys 或 FIDO2 安全密鑰：這類無密碼認(rèn)證基于公鑰加密，私鑰永不離開用戶設(shè)備，即使遭遇中間人攻擊也無法被竊取。

啟用會話綁定（Session Binding）：將登錄會話與設(shè)備指紋、IP 地址、TLS 證書等綁定。一旦檢測到異地或異常設(shè)備訪問，立即強(qiáng)制登出。

對高敏操作追加驗(yàn)證：如修改密碼、發(fā)起轉(zhuǎn)賬、下載客戶數(shù)據(jù)等行為，需額外通過生物識別或硬件令牌確認(rèn)。

第二層：情報(bào)驅(qū)動——主動阻斷而非被動響應(yīng)

訂閱實(shí)時(shí)釣魚情報(bào)源：及時(shí)更新防火墻、郵件網(wǎng)關(guān)的阻斷清單，覆蓋新注冊的仿冒域名、惡意證書哈希值。

監(jiān)控云服務(wù)濫用行為：如短時(shí)間內(nèi)大量創(chuàng)建 Firebase 項(xiàng)目、GitHub Pages 站點(diǎn)，可能預(yù)示釣魚基礎(chǔ)設(shè)施部署。

關(guān)聯(lián)社交平臺與登錄日志：若某高管在 LinkedIn 收到可疑私信后，其 Microsoft 賬號隨即出現(xiàn)非常規(guī)登錄，應(yīng)自動觸發(fā)調(diào)查流程。

第三層：意識演練——把“警惕”變成肌肉記憶

定期開展紅藍(lán)對抗演練：模擬 Tycoon 2FA 式攻擊，測試員工是否會在壓力下點(diǎn)擊“緊急會議鏈接”。

明確“三不原則”：不點(diǎn)站外鏈接登錄工作賬號、不向陌生人提供驗(yàn)證碼、不在非官方頁面簽署“NDA”或“投資協(xié)議”。

企業(yè)切勿“松一口氣”

值得注意的是，部分巴西企業(yè)已因釣魚舉報(bào)減少而削減安全預(yù)算或放緩演練頻率。對此，蘆笛直言：“這就像臺風(fēng)預(yù)警解除后立刻出海——看似風(fēng)平浪靜，實(shí)則暗流洶涌?！?/p>

他建議所有組織，尤其是金融、電商和 SaaS 服務(wù)商，在11月前完成以下動作：

審查并更新節(jié)假日值班響應(yīng)機(jī)制；

對面向客戶的登錄、支付、客服流程進(jìn)行滲透測試；

為關(guān)鍵崗位員工強(qiáng)制啟用硬件安全密鑰；

部署瀏覽器隔離（Browser Isolation）技術(shù)處理外部鏈接。

結(jié)語：真正的安全，始于對“平靜”的懷疑

釣魚攻擊的“潮汐”正在改變。它不再以海量垃圾郵件的形式拍打堤岸，而是化作悄無聲息的暗流，從社交平臺、云服務(wù)、甚至協(xié)作工具中滲透進(jìn)來。

正如 ESET 研究員所言：“網(wǎng)絡(luò)安全不是一場沖刺，而是一場持久的警戒。”在這個(gè)看似平靜的11月，保持清醒、持續(xù)加固、主動出擊，或許才是迎接年末風(fēng)暴的最佳方式。

原文報(bào)道：Phishing scams fall 20% after record high, but reduction may mask criminal preparation

編輯：蘆笛（公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚工作組）