超越收件箱：ThreatLabz 2025 年网络钓鱼报告揭示了网络钓鱼在 GenAI 时代的演变

快速阅读: 《安保大道》消息，报告指出，网络钓鱼正变得更精准且AI驱动，攻击目标集中在高价值部门。建议采用零信任策略防御AI威胁，提供深入分析与实践指南。

过去的大规模网络钓鱼时代已经终结，如今攻击者正在利用生成式人工智能（GenAI）实施高度精准的骗局，每一封电子邮件、短信或通话都成为精心策划的操控行为。他们利用无懈可击的诱饵和设计精妙的策略绕过人工智能防御系统，精准锁定人力资源、薪资及财务部门，利用人性的弱点进行精确打击。Zscaler威胁实验室发布的《2025年网络钓鱼报告》深入分析了快速发展的网络钓鱼态势，并揭示了最新的趋势，包括主要网络钓鱼目标、AI驱动网络钓鱼的实际案例以及如何防御下一代AI支持的网络钓鱼威胁的关键实践。

网络钓鱼攻击的主要发现：

威胁实验室研究团队分析了2024年1月至2024年12月期间通过Zscaler零信任交换云安全平台拦截的超过20亿次网络钓鱼交易，发现了几个关键结论：

– 网络钓鱼在减少但更具针对性：尽管全球网络钓鱼量在2024年下降了20%，但攻击者改变了策略，专注于针对高价值目标的高影响力活动，以最大化其成功率。
– 美国网络钓鱼有所下降但仍排名第一：尽管由于DMARC等更强大的电子邮件身份验证协议以及谷歌发送者验证措施拦截了2650亿封未经认证的邮件，美国的网络钓鱼下降了31.8%，但美国仍然是首要目标。
– 教育领域遭遇的网络钓鱼攻击增加了224%：威胁行为者利用学术日历、助学金截止日期和薄弱的安全防御手段进行攻击。
– 加密货币骗局随着虚假钱包的增加而上升：伪造的加密货币平台兴起，诱骗用户访问伪装成钱包提醒或登录页面的凭证收集网站，声称是合法交易。
– 技术支持和工作骗局盛行：2024年，骗子通过求职网站、社交媒体和实时聊天工具模仿招聘人员或IT工作人员，吸引了超过1.59亿次点击，窃取敏感信息、账号凭据及支付细节。

2025年值得关注的网络钓鱼趋势：

威胁实验室揭示了许多网络钓鱼攻击中显著演进的趋势，攻击者采用先进的策略来规避防御并利用人类的信任。该报告强调了五个塑造网络钓鱼环境的关键趋势：

– 语音网络钓鱼（vishing）已成为一种重要手段：攻击者冒充IT支持人员实时窃取凭据。
– CAPTCHA作为网络钓鱼站点的防护盾：攻击者使用CAPTCHA让网络钓鱼页面显得合法从而避开安全工具。
– 加密货币骗局正在增加：伪造的加密货币交易所与钱包通过极具说服力的诱饵网站吸引用户，使攻击者能够窃取凭据并访问受害者的数字资金。
– 网络钓鱼利用AI炒作：假冒真实平台的欺诈性“AI代理”网站利用人们对AI日益增长的信任，窃取用户凭据和支付详情。
– Zscaler零信任交换缓解AI驱动的网络钓鱼攻击

网络钓鱼不再是简单的垃圾邮件，它现在由AI驱动，以利用人类的脆弱性。Zscaler零信任交换旨在每个攻击链阶段对抗这些日益复杂的攻击，扭转网络犯罪分子的局面。

防止初始妥协：

网络钓鱼攻击在信任最脆弱的地方发动。Zscaler解密并实时检查TLS/SSL流量，使用AI驱动的威胁检测识别网络钓鱼站点、恶意软件和零日有效载荷。可疑网站在零信任浏览器会话中隔离，保护用户免受驱动下载、恶意软件和零日感染。动态访问控制根据风险信号连续调整用户权限，帮助阻止威胁而不干扰合法用户的活动和工作流程。

消除横向移动：

网络钓鱼不仅仅停留在初始妥协——攻击者的目标是渗透和扩展。Zscaler通过直接连接用户到应用程序而不是网络来防止横向移动，确保受损账户不会引发系统性漏洞。AI驱动的细分在应用层面强制执行最低权限访问，缩小影响范围至单一孤立的应用程序，并在威胁扩散之前将其遏制。

关闭受损账户和内部威胁：

Zscaler实施上下文感知策略，利用用户身份和行为、设备姿态等信号，确保只有经验证的用户和设备能访问应用程序、数据和工作负载，并辅以集成的多因素身份验证（MFA）。对于隐藏在暗处的攻击者，欺骗技术部署虚假资产，在他们造成实质性损害前将其捕获。

防止各个层面的数据盗窃：

Zscaler通过实时流量检查保护敏感数据，即使是对加密数据流也是如此，确保不发生数据泄露。数据丢失防护（DLP）策略通过应用程序、电子邮件甚至新兴的GenAI工具扩展这些保护，保障最重要的内容。

网络钓鱼可能在演变，但有了Zscaler的零信任交换，组织可以保持领先并重新定义其网络安全以应对新一代威胁。

领先于AI驱动的网络钓鱼攻击：

网络犯罪分子正在提高赌注，利用AI规避检测并个性化和放大他们的攻击。随着网络钓鱼演变为更复杂和有针对性的威胁，保持领先需要了解最新策略并采取主动防御措施。Zscaler威胁实验室2025年网络钓鱼报告提供了：

– 深入分析：了解攻击者如何利用AI制作个性化的网络钓鱼诱饵。
– 2025年预测：获取专家关于塑造网络钓鱼未来新兴策略和技术的洞见。
– 可操作的最佳实践：部署经过验证的策略以加强防御针对定向网络钓鱼活动。

对抗网络钓鱼的斗争需要不懈的警惕。深入阅读完整报告，获取保护组织免受不断演变威胁所需的见解和工具。今天就下载你的副本。

***

这是来自安全博客网络的联合博客文章，由安全研究|博客撰写。阅读原始帖子：
https://www.zscaler.com/blogs/security-research/beyond-inbox-threatlabz-2025-phishing-report-reveals-how-phishing-evolving

(以上内容均由Ai生成)