AI加持下的钓鱼攻击激增,我们该如何应对?

发布时间:2026/7/11 18:47:04
AI加持下的钓鱼攻击激增,我们该如何应对? 2026年的网络安全态势正面临一场前所未有的风暴。最新数据显示一种能够绕过传统身份验证机制的“设备代码钓鱼攻击”数量正在呈爆炸式增长。根据网络安全公司Huntress发布的报告仅在2026年的前四个月这类攻击的数量相较于2025年下半年就激增了1380%接近15倍的增幅令人触目惊心。这并非传统意义上拼凑错漏百出的垃圾邮件而是一场由人工智能AI驱动的、高度自动化的精准狩猎。过去网络犯罪分子主要利用AI来润色钓鱼邮件的文本使其更具欺骗性。然而如今的攻击者已经将视野扩展到了整个攻击流程的自动化。通过将生成式AI与“钓鱼即服务”Phishing-as-a-Service, PhaaS平台深度集成攻击者能够以前所未有的规模和效率发起攻击。这种转变意味着即便是没有深厚技术背景的“脚本小子”也能通过订阅这些服务轻易发起曾经只有高级持续性威胁APT组织才能实施的复杂攻击。攻击门槛的大幅降低使得网络钓鱼从一种需要精湛技艺的“手艺活”变成了一种可以流水线生产的“工业化产品”。设备代码钓鱼攻击利用的是微软一项合法身份验证流程中的漏洞在这一波攻击浪潮中“钓鱼即服务”平台扮演了至关重要的角色。这些平台将身份窃取基础设施、钓鱼工具包和AI驱动的工作流程打包成订阅服务出售给下游的犯罪分子。以Huntress报告中提到的“设备代码钓鱼攻击”为例这种攻击利用了微软一项合法身份验证流程中的漏洞。该流程原本是为了方便那些在智能电视等不便输入密码的设备上登录而设计的。攻击者会诱导受害者访问一个看似合法的微软登录页面并要求受害者输入攻击者生成的设备代码。一旦受害者在该页面上完成了登录甚至是通过了多因素身份验证MFA攻击者就能截获由此产生的访问令牌。在这个过程中AI发挥了巨大的作用。研究人员在数百起攻击事件中没有发现两起完全相同的钓鱼诱饵。这意味着威胁行为者正在利用生成式AI对钓鱼消息进行大规模的个性化定制。这种“千人千面”的攻击方式极大地提高了钓鱼邮件的迷惑性和成功率。正如Huntress首席执行官Kyle Hanslovan所言“当你把这么多操作环节都自动化之后你不需要是系统工程师……也不需要搞清楚怎么做数据标准化。这些知识你根本不需要掌握任何人都能获得访问权限。”数据来源Barracuda 2026电子邮件威胁报告提到网络安全很多人第一时间想到的是“多因素认证”MFA。确实MFA通过要求用户提供两种或以上的验证因素如密码手机验证码极大地提高了账户的安全性。然而在2026年这种新型的“会话劫持”式钓鱼攻击面前传统的MFA显得有些力不从心。传统的MFA防御思路是攻击者不知道你的密码也拿不到你的验证码因此无法登录。但在“设备代码钓鱼”或类似的“实时中间人攻击”中攻击者不再试图窃取你的静态凭证而是窃取你的“会话令牌”。当受害者被诱导在攻击者控制的代理服务器上登录时这个代理服务器就像一个“中间人”它会实时地将受害者的登录请求转发给真实的微软服务器。受害者在代理页面上输入设备代码并完成MFA后真实的服务器会返回一个有效的访问令牌给代理服务器代理服务器再将这个令牌截获并用于非法访问受害者的账户。在这个过程中攻击者并没有获取受害者的密码或验证码而是直接获取了能够代表用户身份的“入场券”即访问令牌。因此即便用户开启了MFA也无法防御这种攻击。这揭示了一个残酷的现实单纯依赖静态密码或一次性验证码的MFA在面对实时的、交互式的钓鱼攻击时已经不再是绝对的安全壁垒。新型钓鱼攻击的破坏力在真实的商业环境中已经得到了印证。根据卡巴斯基发布的数字足迹情报研究2026年全球88.5%的网络钓鱼攻击依然将目标锁定在在线账户凭证上。但不同的是攻击者获取凭证后的“变现”模式已经高度产业化。卡巴斯基的研究揭示了一个被称为“数据转储”的地下黑市攻击者利用自动化系统处理钓鱼窃取来的海量数据将其打包出售。例如一个包含完整银行账户信息的凭证包在暗网上的均价可达350美元。更令人警惕的是AI的加入催生了针对高价值目标的“鲸钓”Whaling攻击。攻击者不再盲目群发钓鱼邮件而是利用开源情报和过往的泄露数据精心制作高度个性化的骗局专门针对企业高管或掌握核心权限的财务人员。一旦这些关键人物在钓鱼链接中输入了凭证攻击者便能直接接管企业核心系统造成难以估量的损失。这些真实的黑产数据表明钓鱼攻击早已超越了单纯的“骗取密码”阶段而是演变成了一条从AI生成诱饵、实时绕过MFA到暗网批量变现的完整犯罪产业链。面对如此严峻的形势我们并非无计可施。防御AI驱动的钓鱼攻击需要个人、企业和安全厂商共同努力构筑起一道多层次的防线。在个人层面用户需要提高警惕拒绝“一键登录”。应尽量避免使用需要输入“设备代码”的登录方式除非完全确认该页面的来源。同时应尽量避免使用基于短信的验证码推荐使用身份验证器应用如Microsoft Authenticator或物理安全密钥如YubiKey。物理安全密钥能够有效防御中间人攻击因为它会在底层验证目标网站的真实性。此外在输入任何凭证之前务必仔细核对浏览器地址栏中的URL防范高度仿真的钓鱼域名。在企业层面防御策略必须从“边界防御”转向“零信任”。企业应强制要求员工启用连续访问评估CAE功能该功能能够在用户会话期间持续评估风险一旦检测到异常行为如地理位置突变会立即要求重新验证或终止会话。同时传统的防火墙已无法应对新型攻击企业需要部署专门的反钓鱼网关或云访问安全代理CASB对进出网络的流量进行深度检测。当然人依然是安全链条中最薄弱的一环企业应定期开展针对新型钓鱼手段的安全意识培训并进行模拟钓鱼演练。在技术层面安全厂商正在利用AI技术来对抗AI驱动的攻击。通过机器学习算法分析邮件的上下文、写作风格和链接行为可以更准确地识别出由AI生成的钓鱼邮件。同时基于公钥加密技术的无密码认证标准如FIDO2/WebAuthn正在成为未来的发展方向这种认证方式从根本上消除了密码泄露的风险是防御钓鱼攻击的终极武器。2026年我们正处在一个网络安全的十字路口。AI技术的双刃剑效应在这一领域体现得淋漓尽致。面对激增近15倍的钓鱼攻击我们既不能盲目恐慌也不能掉以轻心。只有深入了解攻击者的手段掌握最新的防御技术才能在这个充满挑战的数字时代守护好数据安全。参考原文安全内参《AI驱动攻击自动化网络钓鱼攻击今年激增近15倍》编辑芦笛、卫俊凯中国互联网络信息中心