2025年 *** 钓鱼威胁态势与防御框架（中）——五大核心攻击趋势与技术演进方向

　　中对《Zscaler ThreatLabz 2025 *** 钓鱼报告》的核心数据与案例进行了剖析，分析当前 *** 钓鱼攻击集中的地区和攻击模式。本期，我们将继续探讨钓鱼行为的五大攻击趋势与技术演进方向。

　　语音钓鱼已从传统 *** 钓鱼演变为基于生成式AI的精准攻击，仅需3秒语音样本即可生成逼真音色，结合自然语言处理（NLP）技术模拟对话逻辑，可实时响应受害者提问。攻击者通过窃取企业内部通讯录或 *** 息（如领英档案），结合AI语音克隆技术，生成与目标员工声音高度一致的合成语音，伪装成IT支持人员或高管，以“系统故障修复”“权限验证”等名义诱导受害者提供敏感信息。

　　意大利商界高层诈骗（2025年）：攻击者利用AI模仿意大利国防部长Guido Crosetto的声音，向阿玛尼、Prada高层发送虚假救援请求，成功骗取资金。

　　美国联邦调查局（FBI）警告（2025年）：攻击者会伪造 *** 高官语音备忘录，通过短信钓鱼（Smishing）诱导目标点击恶意链接，窃取 *** 系统权限。

　　CAPTCHA旨在区分人类与计算机程序，却遭恶意利用成为钓鱼攻击的掩护。攻击者利用CAPTCHA隐藏恶意页面，绕过安全工具，延长钓鱼网站寿命。用户点击钓鱼链接后，先访问合法域名下的CAPTCHA页面，验证后重新定向至恶意页面。传统安全邮件网关仅检测到外层域名，无法深入分析后续内容。攻击者还利用高信誉第三方云服务托管CAPTCHA，导致钓鱼页面被误判为安全。在此过程中，攻击者通过增强页面合法性来操纵用户心理，降低用户对敏感操作的警觉。

　　2024年，47%的钓鱼攻击成功绕过微软与SEG的联合防御，其中36.8%的绕过案例涉及CAPTCHA滥用。Cofense研究显示，此类攻击在供应链入侵中占比达11.4%，攻击者通过已失陷的供应商账户发起钓鱼邮件，利用CAPTCHA层掩盖恶意跳转。

　　加密货币市场波动性增加，攻击者通过仿冒交易所和钱包服务，结合SEO污染和社交广告，诱骗用户泄露私钥或支付信息。SEO污染通过黑帽技术使钓鱼网站排名靠前，关键词包括高收益投资等。智能合约陷阱通过在DEX中部署恶意合约伪装成挖矿项目，窃取用户资产。社交媒体上利用Deepfake视频宣传虚假投资计划，引诱用户至钓鱼平台。

　　据统计，2024年虚假加密货币钓鱼导致的资产损失同比激增187%，超60%的受害者因社交平台广告中招。如FraudGPT可自动生成高仿交易所前端代码，攻击者仅需配置钓鱼域名即可快速部署。

　　攻击者利用公众对AI工具的信任创建虚假服务平台，以免费试用和高级功能为诱饵，诱骗用户注册并窃取凭证。他们使用交互式钓鱼技术，通过聊天机器人模拟AI对话，生成个性化话术。同时，攻击者采用多模态混淆技术仿冒知名平台界面，如DeepSeek代码生成器和OpenAI的Sora视频编辑器。在供应链渗透中，攻击者通过伪造AI工具插件（如VS Code扩展），在企业开发环境中植入后门。

　　OpenAI Sora钓鱼事件：攻击者搭建虚假Sora下载站点，并通过社交媒体传播，用户下载的安装包实为Lumma Stealer恶意软件，可窃取加密货币钱包与浏览器凭证。

　　BEC攻击的升级版：通过伪造高管视频会议，诱使财务人员进行紧急转账。2024年有35%的云服务入侵事件利用Deepfake技术绕过视频身份验证。

　　账户劫持的工业化进程：地下论坛提供“Deepfake即服务”（DFaaS），攻击者可以上传受害者照片，系统会自动生成符合银行视频认证要求的动态视频。

　　物联网设备的渗透策略：劫持智能家居摄像头，利用伪造的语音指令控制设备如发出“Alexa，授权支付5000美元”的指令。