基于KnowBe4数据的2025年Q3网络钓鱼攻击行为分析与防御启示

作为长期关注网络安全的研究机构和大数据服务机构，公共互联网反网络钓鱼工作组国际合作组副组长单位中科易安近期仔细研究并分析了KnowBe4最新发布的《2025年10月钓鱼威胁趋势报告》，发现今年网络钓鱼威胁出现了几个值得警惕的新变化。本文将带你快速掌握这份报告的核心内容。

一、蜘蛛织网：Scattered Spider的全面攻势

2025年，黑客组织Scattered Spider的活动达到新高度。这个以社会工程学攻击闻名的组织，今年成功入侵了玛莎百货(M&S)、Co-Op等英国零售巨头，据估计，造成玛莎百货高达3亿英镑的损失。更令人担忧的是，这些入侵事件本身成为了新一轮钓鱼攻击的跳板。

报告显示，黑客会利用被盗的客户数据，冒充受损品牌发送补偿诈骗邮件。比如在玛莎百货事件后，近一半(49.9%)钓鱼攻击冒充该品牌，诱骗用户点击凭证收集网站。这种“二次利用”的攻击手法，让单一数据泄露事件的影响呈指数级放大。

二、电话那头的“客服”可能是AI

“你好...？你好...？”当你回拨钓鱼邮件中的电话号码时，接听的可能不是真人。报告揭示了一个惊人数据：2025年使用电话号码作为唯一载荷的钓鱼邮件增加了449%，其中77.3%使用AI语音进行钓鱼诈骗。

安全专家分析：“人们通常认为打电话比回复邮件需要更多努力，但这恰恰成为了攻击者的自我筛选机制。愿意拨打电话的人往往已经产生了好奇心或责任感，更容易被操纵。”

这些语音钓鱼(vishing)攻击主要来自俄罗斯(35.8%)、中国(17.7%)和日本(15.3%)，68.7%的诈骗与支付或财务信息相关。攻击者会使用各种施压话术，比如冒充焦急的高层员工要求紧急修改银行信息。

三、合法平台的“合法”攻击

最隐蔽的威胁来自对合法平台的滥用。2025年，通过SharePoint、DocuSign、PayPal等可信平台发送的钓鱼邮件同比增加66.9%，较2022年增长604%。

攻击手法其实很简单，黑客注册这些平台的免费账户，利用其合法域名和模板发送邮件，100%的此类攻击都能通过DMARC认证，59.9%的组织还将这些域名加入了白名单，这意味着传统安全网关几乎无法识别这些“合法”的攻击。

月度分析显示，攻击者会轮流滥用不同平台：1月是Intuit QuickBooks，3月是Google AppSheet，7-8月是Zoom，9月转向Google Classroom。这种轮换策略让防御难上加难。

四、攻击时间和目标的选择策略

网络犯罪分子也讲究“工作时段”。数据显示，工作日的上午至下午是攻击高峰，但北美地区的周末攻击量依然很高，针对的是那些习惯在移动设备上处理邮件的“永远在线”的打工人。

高管群体是最受欢迎的目标，CEO、CFO、CPO位列前三。新员工平均在3.5周内就会收到第一封钓鱼邮件，而千禧一代是最常被针对的年龄段。

五、传统防御为何失效？

报告指出，能绕过安全邮件网关(SEG)的钓鱼邮件增加了38.3%，绕过微软原生检测的攻击增加了44.2%。除了滥用合法平台外，攻击者还大量使用多态技术(32.4%的攻击会随机化主题行)和混淆技术(62.7%的钓鱼邮件使用混淆手段)。

超链接仍是首选载荷(占46.7%)，因为它们易于创建和替换，而附件平均大小为150KB，PDF是最常见的附件类型(43.0%)。

六、员工风险管理新时代

面对这些进化中的威胁，报告强调电子邮件安全不能再是技术栈中的孤立元素。当攻击者试图将目标引导到安全性较低的渠道时，组织需要建立整体的员工风险管理生态系统，结合最新威胁情报和行为分析，提供持续的自动化辅导。

报告发现，2025年10月的钓鱼邮件数量，较上半年月平均数量增长了15.2%，其中59.1%来自受损账户，使用AI的攻击增加了5.1%。这些数据都在提醒我们：钓鱼攻击不仅更加频繁，也变得更加智能和个性化。

在这个多通道攻击成为常态的时代，真正的安全不再仅仅依赖于技术解决方案，而是需要将技术防御与持续的安全培训紧密结合。毕竟，最坚固的防火墙也可能被一个电话攻破。

作者：张翼 北京中科易安科技有限公司（公共互联网反网络钓鱼工作组成员单位）