2025年,网络钓鱼威胁彻底告别“广撒网”式的大规模随机攻击,全面迈入“精准打击”的工业化猎杀阶段。随着生成式人工智能(Generative AI)、多模态深度伪造(Deepfake)技术的成熟,以及这类技术与供应链体系的深度绑定,企业及组织的安全防御边界正被持续突破,脆弱性达到前所未有的水平。
下面将结合行业权威报告,对2025年度十大高发网络钓鱼套路进行深度拆解,所有案例均源自真实行业事件,供从业者参考规避:
这是2025年破坏性最强的钓鱼手段。攻击者不再局限于静态文字诈骗,而是通过采集受害者的音频片段、社交媒体视频等素材,实时合成足以以假乱真的虚拟形象,精准突破受害者心理防线。
典型案例:香港曾发生一起标志性案件,一名财务人员参与了一场有多位“公司高管”出席的视频会议后,按会议指令转账2500万美元,事后核查发现,除该财务人员外,会议中所有参与者均为AI生成的深度伪造形象[1]。
技术支撑:目前仅需几秒钟的语音样本,就能实现实时音频克隆,这种拟真度极高的方式,能直接绕过人类的理性判断,让人防不胜防。
商务邮件欺诈已从早年的冒充高管发邮件诈骗,升级为更隐蔽的供应商邮件欺诈,攻击目标直指企业供应链结算环节。
套路特征:攻击者会先渗透供应商的真实邮箱,潜伏数月之久,详细研究其发票格式、付款周期、沟通话术等细节,完全模仿真实业务场景。
攻击演进:借助AI技术修改发票中的银行账户信息,给出的理由多为“年度审计需要临时更换结算账户”。由于发送邮件的地址是真实的,财务人员仅凭常规核对,几乎无法识别真伪。据数据统计,2025年上半年,供应商邮件欺诈攻击在所有BEC案件中的占比已飙升66%[2]。
攻击者将目标锁定在GitHub、NPM等开源社区的维护者,通过钓鱼手段窃取其账号权限,进而向开源软件包中植入恶意代码,实现批量攻击。
典型案例:2025年9月的NPM平台攻击事件中,攻击者注册了伪域名npmjs.help,发送虚假的紧急更新通知,诱骗维护者泄露令牌,最终导致27个核心软件包被植入针对加密货币转账的恶意代码,影响范围覆盖数百万用户[3]。
技术支撑:攻击者利用莱文斯坦距离(Levenshtein distance)计算视觉相似域名,在数十亿次软件下载行为中精准定位目标,悄无声息窃取资产。
网络钓鱼早已跳出“邮件附件”的单一模式,实现全渠道覆盖。调查数据显示,约三分之一的钓鱼攻击通过LinkedIn、Microsoft Teams、Slack等办公工具,或社交平台私信(DM)发起[3]。
核心套路:攻击者先在社交平台养号数周,模拟真实职场身份建立信任关系,再发送看似合法的业务链接。同时针对移动端优化界面,伪造HTTPS锁头标志,让用户误以为是安全链接,从而点击中招。
二维码的便捷性使其被广泛应用,但也掩盖了底层URL的不可见性,成为攻击者的新突破口。攻击者将恶意二维码嵌入邮件、公共停车场海报、伪造的电费单等场景,诱导用户扫描。
防御绕过点:传统的安全邮件网关大多只能解析文本链接,无法识别图像中二维码指向的恶意地址,导致这类钓鱼邮件的投递成功率极高,轻易突破企业前端防御。
2025年第一季度,语音钓鱼攻击量同比飙升1633%,短信与语音钓鱼已成为面向普通用户和职场人士的高发攻击手段[5]。
技术支撑:攻击者利用AI拨号器,不仅能克隆目标熟悉的声音,还能实时分析通话者的语气、反应,生成对应的回复话术,实现交互式诈骗。
套路核心:借助紧迫感压迫用户,常见名义包括快递丢包、银行卡冻结、欠费等,精准抓住民众的焦虑心理,诱导点击虚假充值页面或泄露个人信息。
这是一种非典型钓鱼模式,攻击者不依赖外部链接或附件,而是伪造浏览器原生提示,如:证书过期、文档显示异常、插件需要更新等,诱导用户点击“修复”按钮。
套路核心:用户点击“修复”按钮后,会触发隐藏的恶意脚本,进而诱导通过PowerShell执行攻击代码。由于全程使用系统合法工具,常规安全软件难以拦截,攻击隐蔽性极强。
这类套路在国内高发频发,堪称“诈骗之王”,其核心在于通过场景叠加降低用户警惕,实现精准收割[5]。
套路升级:已从单一刷单诈骗,演变为刷单+色情诱导、刷单+虚假兼职等复合模式。攻击者先通过小额返利建立信任,再结合金价暴涨、虚拟货币热点等时事,诱导受害者进入虚假理财平台,最终逐步套取资金,实施循环收割。
网络钓鱼已正式迈入“工业化精准猎杀”的全新阶段,生成式AI、深度伪造等技术与各类钓鱼套路深度绑定、层层升级,攻击场景无孔不入,其威胁范围已全面覆盖企业核心环节与个人日常生活。面对这场无硝烟的安全博弈,企业亟需筑牢“技术+管理+意识”三位一体的防御坚盾,唯有主动升级防御能力、筑牢安全防线,才能在层出不穷的钓鱼威胁中站稳脚跟,切实守护自身与组织的资产安全。
参考及来源:
[1]https://baijiahao.baidu.com/s?id=1799569751510292083&wfr=spider&for=pc
[2]https://hoxhunt.com/blog/business-email-compromise-statistics
[3]https://www.armorcode.com/blog/inside-the-september-2025-npm-supply-chain-attack
[4]https://pushsecurity.com/blog/2025-top-phishing-trends
[5]https://e-bits.com.au/the-2025-phishing-surge/
[6]https://www.mps.gov.cn/n2253534/n2253543/c9077933/content.html
热门跟贴