每天150亿次攻击！钓鱼已“溢出”邮箱，全面攻陷你的工作聊天窗口

如果你以为网络钓鱼还只是“垃圾邮件里那个带链接的‘发票’”，那你可能已经掉进了陷阱——而且自己浑然不觉。

根据以色列网络安全初创公司 Cyvore 近日发布的最新数据，自2022年底以来，全球恶意钓鱼信息数量暴增 2500%，如今每天发起的钓鱼尝试高达 150亿次。更令人警觉的是，这些攻击早已不再局限于传统电子邮件系统，而是如潮水般涌入现代职场的每一个沟通缝隙：WhatsApp、Telegram、Slack、Microsoft Teams、Zoom 聊天框，甚至 Salesforce、HubSpot 等 CRM 系统中的客户留言区，都已成为攻击者的“新战场”。

“人类交互本身，已经成为攻击面。”Cyvore 首席执行官 Ori Segal 的这句话，道出了当前网络安全最深刻的范式转变。

而在中国，随着远程协作工具普及、混合办公常态化，以及生成式 AI 技术被滥用，类似的多通道钓鱼攻击正悄然渗透本土企业生态。公共互联网反网络钓鱼工作组技术专家芦笛在接受本报专访时直言：“我们监测到，针对国内企业的‘老板诈骗’‘财务紧急转账’类钓鱼，已有近三成从微信、钉钉等即时通讯平台发起——员工对‘内部消息’的信任度远高于邮件。”

这场无声的“渠道战争”，正在重新定义企业安全的边界。

一、从“一封邮件”到“全链路围猎”：钓鱼为何无处不在？

五年前，安全团队的主要精力集中在邮件网关：部署沙箱、分析URL信誉、拦截恶意附件。但今天，攻击者发现了一个更高效的路径——绕过邮件，直接打入员工日常高频使用的协作工具。

Cyvore 的数据显示，83% 的 CISO（首席信息安全官）在过去一年中曾亲自收到过针对性钓鱼信息，其中超过六成并非来自邮箱，而是通过 Teams 消息、Slack DM（私信）或 WhatsApp 语音留言。

“在邮件里，人们会本能地警惕；但在 Teams 里看到‘老板’发来一条‘急事，速转50万到XX账户’，很多人第一反应是‘赶紧办’，而不是‘验证身份’。”芦笛指出。

这种心理差异，正是攻击者精心利用的突破口。

以一起真实案例为例：2025年9月，美国一家科技公司财务主管收到一条来自“CEO”的 Slack 私信：“刚开完董事会，需紧急支付一笔并购定金，详情见附件。”附件是一个看似正规的 PDF 合同，实则嵌入了恶意宏。由于消息来自公司官方 Slack 工作区，且发件人头像、昵称与 CEO 完全一致（攻击者通过钓鱼获取了其账号），该主管未加核实便执行了转账指令，造成损失超200万美元。

事后调查发现，攻击者并未黑入 CEO 账号，而是注册了一个仅差一个字母的仿冒账号（如 mailto:ceo@company.slack.com vs. mailto:ceo@comapny.slack.com），并利用 Slack 默认允许外部用户加入频道的设置，成功混入。

“这不是技术漏洞，而是信任机制的滥用。”芦笛强调。

二、AI 武装的“社会工程2.0”：钓鱼文案已无破绽

如果说渠道迁移是战术升级，那么生成式 AI 的普及，则让钓鱼攻击完成了战略跃迁。

过去，钓鱼信息常因语法错误、用词生硬而露馅。如今，攻击者只需输入几行提示词，就能生成高度本地化、情境化、情感化的诈骗文本。

例如，针对中国企业的典型话术：

“张总，您好！我是财务部小李。刚刚收到银行通知，您名下尾号7890的账户因涉嫌洗钱已被冻结。为避免影响公司资金流转，请立即点击以下链接完成身份核验：hxxps://verify-bank[.]cn/xxx”

这段文字不仅符合中文商务语境，还精准利用了“账户冻结”“公司资金”等高焦虑关键词。更可怕的是，AI 可根据目标企业官网、社交媒体动态自动调整内容——如果知道该公司刚融资，就可伪造“投资方合规审查”通知；若得知其有海外业务，则模拟“海关清关异常”提醒。

Cyvore 在其行为分析平台中捕获的一组样本显示，AI 生成的钓鱼消息平均打开率达 41%，远高于人工撰写版本的 18%。

“AI 让社会工程从‘广撒网’走向‘千人千面’，”芦笛说，“它不再是拼写检查能识别的问题，而是语义层面的信任操纵。”

三、技术深潜：为什么传统防御在协作工具面前失效？

问题的核心在于：现有安全体系是围绕“邮件”构建的，而非“对话”。

传统邮件安全网关（SEG）依赖三大支柱：

URL/附件沙箱分析

发件人身份验证（SPF/DKIM/DMARC）

内容关键词过滤

但这些在 Slack、Teams 或 WhatsApp 中几乎全部失效：

即时消息通常不经过企业网关，直接由客户端加密传输；

发件人身份难以验证（如 WhatsApp 仅显示手机号）；

恶意载荷常以“云文档链接”（如 Google Docs、Notion）形式分享，规避文件扫描；

攻击往往分阶段进行：先发一条无害消息建立信任，数小时后再发送钓鱼链接。

Cyvore 提出的解决方案，是转向跨渠道行为分析。其 AI 平台不关注单条消息是否“有毒”，而是构建“通信行为图谱”，追踪以下维度：

关系上下文：此人是否常与你沟通？历史话题是否突变？

时间模式：消息是否在非工作时间发送？是否制造紧迫感？

平台异常：平时用邮件沟通的同事，为何突然改用 Telegram？

语言风格漂移：发件人的用词习惯是否与历史记录不符？

例如，系统可检测到：“市场部王经理过去一年从未在 WhatsApp 联系你，今日凌晨2点突然发来‘紧急付款请求’，且使用了非常规敬语格式”——这极可能是账号被盗或仿冒。

以下是一段简化的行为规则伪代码，用于识别异常转账请求：

def detect_suspicious_transfer_request(message, user_history):

# 检查是否首次通过此渠道联系

if message.channel not in user_history.channels:

score += 0.4

# 检查时间是否异常（如深夜/周末）

if message.timestamp.hour in [22, 23, 0, 1, 2] or is_weekend(message.timestamp):

score += 0.3

# 检查关键词：紧急、立刻、保密、转账

if any(kw in message.text for kw in ["紧急", "立刻", "保密", "转账", "付款"]):

score += 0.5

# 检查发件人历史行为（如过去从不提财务）

if "finance" not in user_history.topics:

score += 0.4

return score > 0.8 # 阈值判定为高风险

“真正的防御，不是判断链接是否恶意，而是判断‘这个人此刻是否应该发这条消息’。”芦笛解释。

四、国际镜鉴：从欧洲药企到亚洲电商的惨痛教训

此类多通道钓鱼已造成多起重大损失。

2025年7月，一家总部位于瑞士的制药企业遭遇“CEO 诈骗”。攻击者先通过 LinkedIn 伪装成合作方，诱导 HR 员工点击一个“会议日程”链接，从而窃取其 Microsoft 365 凭据。随后，攻击者登录其 Teams 账号，向 CFO 发送私信：“并购项目需提前打款，请按附件流程操作。”CFO 未通过电话核实，直接指令财务转账 380 万欧元。

更隐蔽的是，攻击者在得手后并未退出，而是继续潜伏在 Teams 中，监听高管对话，为下一次攻击做准备。

而在东南亚，一家大型电商平台的客服系统成为新目标。攻击者在 CRM 中伪造“VIP 客户”留言：“订单未收到，要求退款至指定账户，并附上‘银行回执’截图。”由于客服人员每日处理数百条类似请求，且 CRM 界面缺乏安全警示，多名员工误将内部退款流程导向攻击者控制的账户，累计损失超千万人民币。

“这些案例的共同点是：攻击发生在‘可信环境’中，且利用了业务流程的惯性。”芦笛指出，“员工不是疏忽，而是被设计进了攻击流程。”

五、中国启示：钉钉、企业微信成新前线

在国内，风险同样迫近。

公共互联网反网络钓鱼工作组监测显示，2025年第四季度，针对中国企业员工的“即时通讯钓鱼”事件同比增长 210%。其中：

62% 通过微信或企业微信发起；

23% 利用钉钉“DING 一下”功能制造紧迫感；

15% 伪装成飞书文档共享链接。

典型手法包括：

伪造“IT 部门”通知：“您的账号存在异常登录，请立即点击链接重置密码”；

冒充“合作方”在群聊中发送“合同终版，请查收”；