一、釣魚(yú)攻擊威脅持續(xù)升級(jí)

2025年，釣魚(yú)攻擊仍是企業(yè)面臨的重大安全挑戰(zhàn)。隨著攻擊者越來(lái)越多地采用基于身份驗(yàn)證的技術(shù)而非軟件漏洞利用，釣魚(yú)攻擊的威脅程度甚至超過(guò)以往。如今繞過(guò)多因素認(rèn)證（MFA）的釣魚(yú)工具包已成常態(tài)，能夠竊取受短信驗(yàn)證碼、一次性密碼（OTP）和推送驗(yàn)證保護(hù)的賬戶(hù)，在預(yù)防措施失效的情況下，檢測(cè)系統(tǒng)承受著持續(xù)壓力。

釣魚(yú)檢測(cè)的核心困境在于：基于行業(yè)通用的釣魚(yú)頁(yè)面識(shí)別指標(biāo)（IoC），幾乎每個(gè)釣魚(yú)攻擊都使用獨(dú)特的域名、URL、IP地址、頁(yè)面結(jié)構(gòu)、目標(biāo)應(yīng)用等組合。實(shí)質(zhì)上，每次釣魚(yú)攻擊都是全新的——甚至可稱(chēng)之為"零日攻擊"（這說(shuō)法可能令人倒吸涼氣）。本文目的并非夸大釣魚(yú)威脅，而是揭示當(dāng)前檢測(cè)機(jī)制的缺陷。如果每次釣魚(yú)攻擊都像零日漏洞，說(shuō)明我們的檢測(cè)方法存在根本性問(wèn)題。

二、釣魚(yú)檢測(cè)基礎(chǔ)原理

典型釣魚(yú)攻擊流程包含三個(gè)環(huán)節(jié)：攻擊者向用戶(hù)發(fā)送惡意鏈接→用戶(hù)點(diǎn)擊加載惡意頁(yè)面→該頁(yè)面通常是特定網(wǎng)站的登錄門(mén)戶(hù)，旨在竊取受害者賬戶(hù)憑證。當(dāng)前檢測(cè)機(jī)制主要依賴(lài)由已確認(rèn)的惡意頁(yè)面指標(biāo)（IoC）組成的黑名單，這些指標(biāo)包括攻擊中出現(xiàn)的惡意域名、URL和IP地址。

安全廠商通過(guò)多種渠道收集IoC數(shù)據(jù)，但前提是該惡意頁(yè)面必須已被用于實(shí)際攻擊。這意味著需要潛在受害者與之交互——要么上當(dāng)受騙，要么舉報(bào)可疑行為。頁(yè)面被標(biāo)記后，安全人員或自動(dòng)化工具會(huì)進(jìn)行調(diào)查分析，確認(rèn)存在惡意內(nèi)容后將其IoC加入黑名單。這些信息隨后通過(guò)威脅情報(bào)渠道傳播，最終集成到安全郵件網(wǎng)關(guān)（SEG）、安全Web網(wǎng)關(guān)（SWG）等網(wǎng)絡(luò)層防護(hù)系統(tǒng)中。

這種機(jī)制存在根本缺陷：要檢測(cè)攔截釣魚(yú)頁(yè)面，必須先有受害者遭遇攻擊...

三、攻擊者如何制造"全新"釣魚(yú)攻擊

現(xiàn)代攻擊者深諳釣魚(yú)檢測(cè)的三大弱點(diǎn)：(1)依賴(lài)域名/URL/IP黑名單 (2)部署在郵件和網(wǎng)絡(luò)層 (3)需先訪(fǎng)問(wèn)分析頁(yè)面才能攔截。這些十年未變的方法已被攻擊者輕松規(guī)避。

1. 輕松繞過(guò)IoC檢測(cè)

釣魚(yú)域名本身具有高度可棄性：攻擊者批量購(gòu)買(mǎi)域名、劫持合法網(wǎng)站，并預(yù)設(shè)域名會(huì)被封殺。現(xiàn)代釣魚(yú)架構(gòu)還能動(dòng)態(tài)輪換特征元素——例如從持續(xù)更新的鏈接池分配不同URL給每個(gè)點(diǎn)擊者，甚至采用一次性魔法鏈接（使后續(xù)安全調(diào)查無(wú)法復(fù)現(xiàn)）。當(dāng)域名被標(biāo)記為惡意時(shí)，攻擊者只需注冊(cè)新域名或入侵受信任的WordPress服務(wù)器即可，這兩種手段目前已被大規(guī)模使用。

2. 多渠道攻擊規(guī)避郵件檢測(cè)

攻擊者采用跨平臺(tái)組合攻擊規(guī)避郵件檢測(cè)：通過(guò)即時(shí)通訊、社交媒體、惡意廣告或可信應(yīng)用發(fā)送信息。例如先在社交平臺(tái)發(fā)送含鏈接的"無(wú)害"PDF，最終導(dǎo)向惡意網(wǎng)頁(yè)。郵件安全方案雖有發(fā)件人信譽(yù)評(píng)估和DMARC/DKIM等檢查，但無(wú)法直接識(shí)別惡意頁(yè)面。深度郵件內(nèi)容分析也僅能發(fā)現(xiàn)可疑鏈接，對(duì)跨媒介攻擊束手無(wú)策。

3. 阻止安全分析的手段

現(xiàn)代釣魚(yú)頁(yè)面已非靜態(tài)HTML，而是通過(guò)JavaScript動(dòng)態(tài)渲染的Web應(yīng)用，使基礎(chǔ)靜態(tài)檢測(cè)失效。為應(yīng)對(duì)沙箱分析，攻擊者部署驗(yàn)證碼或Cloudflare Turnstile等機(jī)器人防護(hù)。即使突破這些防護(hù)，還需提供正確的URL參數(shù)、請(qǐng)求頭并執(zhí)行JavaScript才能觸發(fā)惡意內(nèi)容。此外，攻擊者還混淆視覺(jué)和DOM元素以規(guī)避特征檢測(cè)。

四、事后檢測(cè)模式亟待變革

這些規(guī)避技術(shù)導(dǎo)致實(shí)時(shí)釣魚(yú)檢測(cè)幾乎不存在?；诖淼慕鉀Q方案最多能通過(guò)用戶(hù)交互產(chǎn)生的網(wǎng)絡(luò)流量檢測(cè)惡意行為，但由于TLS加密后網(wǎng)絡(luò)請(qǐng)求重構(gòu)的復(fù)雜性，這種檢測(cè)存在延遲且不可靠。從頁(yè)面被標(biāo)記到IoC分發(fā)至黑名單，通常需要數(shù)天甚至數(shù)周——這就是為何大多數(shù)釣魚(yú)攻擊都能"全新"出現(xiàn)：當(dāng)前檢測(cè)本質(zhì)是事后追溯（post mortem），依賴(lài)已知惡意指標(biāo)。而指標(biāo)被標(biāo)記為惡性的前提，恰恰是有用戶(hù)已上當(dāng)...

五、瀏覽器安全：釣魚(yú)防御新戰(zhàn)線(xiàn)

終端安全的發(fā)展歷程為我們指明方向：2000年代末期，當(dāng)終端攻擊激增時(shí)，依賴(lài)網(wǎng)絡(luò)檢測(cè)、文件特征分析和沙箱運(yùn)行的防御方式，最終被端點(diǎn)檢測(cè)與響應(yīng)（EDR）技術(shù)取代。EDR通過(guò)實(shí)時(shí)監(jiān)控操作系統(tǒng)活動(dòng)實(shí)現(xiàn)了有效防護(hù)。

當(dāng)前我們面臨相似轉(zhuǎn)折點(diǎn)：現(xiàn)代釣魚(yú)攻擊發(fā)生在瀏覽器訪(fǎng)問(wèn)的網(wǎng)頁(yè)上，而依賴(lài)郵件、網(wǎng)絡(luò)甚至終端的檢測(cè)工具都缺乏必要能見(jiàn)度。瀏覽器已成為新的操作系統(tǒng)——既是主要工作場(chǎng)景，也是攻擊發(fā)生地。

要實(shí)現(xiàn)有效防護(hù)，必須能在用戶(hù)訪(fǎng)問(wèn)時(shí)實(shí)時(shí)觀察頁(yè)面內(nèi)容（而非沙箱環(huán)境），才能建立基于戰(zhàn)術(shù)技術(shù)流程（TTP）而非易變IoC的檢測(cè)體系。

六、瀏覽器擴(kuò)展防護(hù)實(shí)戰(zhàn)對(duì)比

攻擊者入侵WordPress獲取可信域名后部署釣魚(yú)工具包，向員工發(fā)送含惡意鏈接的郵件。傳統(tǒng)SWG或郵件掃描方案在沙箱檢測(cè)時(shí)，釣魚(yú)工具會(huì)重定向至無(wú)害頁(yè)面通過(guò)檢查。最終用戶(hù)可自由訪(fǎng)問(wèn)釣魚(yú)頁(yè)面，輸入憑證和MFA代碼導(dǎo)致賬戶(hù)淪陷。

而部署瀏覽器安全擴(kuò)展后，系統(tǒng)能實(shí)時(shí)檢測(cè)到：用戶(hù)輸入的密碼曾用于其他網(wǎng)站（密碼重用或正被釣魚(yú)）、頁(yè)面克隆自合法登錄頁(yè)、頁(yè)面運(yùn)行著釣魚(yú)工具包。隨即阻止用戶(hù)繼續(xù)交互，從根本上阻斷攻擊。

這種防護(hù)機(jī)制使攻擊者難以規(guī)避——當(dāng)用戶(hù)無(wú)法在釣魚(yú)頁(yè)面輸入憑證時(shí)，攻擊自然失效。