一场由英国消费者权益组织 Which? 发起的网络安全测试，意外揭开了全球主流操作系统在反钓鱼能力上的“遮羞布”。测试显示，无论是 Windows 11 自带的 Defender 防护体系，还是 macOS 内置的安全机制，在面对新型、短生命周期的钓鱼网站时，几乎“形同虚设”——未能识别任何一个新生成的钓鱼页面。

这一结果不仅令普通用户震惊，更在安全技术圈引发广泛讨论。在全球网络钓鱼攻击呈指数级增长的背景下（据 APWG《2025年第三季度全球钓鱼趋势报告》显示，当季共检测到超140万个独特钓鱼站点，创历史新高），操作系统的“默认安全”是否还能被称为“安全”？中国本土的安全专家又如何看待这一问题？

带着这些疑问，本报记者深入采访了“公共互联网反网络钓鱼工作组”技术专家芦笛，并结合国际案例与中国实践，试图厘清当前反钓鱼技术的真实能力边界与未来演进路径。

一、原生防护为何“失灵”？钓鱼攻击已进入“快闪时代”

Which? 的测试方法极具现实意义：研究人员并未使用历史已知的恶意 URL，而是专门生成了一批全新、未曾在任何黑名单中出现过的钓鱼页面，模拟真实攻击场景。这些页面模仿银行登录、电商平台账户验证、社交账号重置等高价值目标，外观高度逼真。

结果显示：

Windows Defender 依赖的 Microsoft SmartScreen 在 Edge 浏览器中完全未能拦截任何测试页面；

macOS 通过 Safari 调用 Google Safe Browsing 服务，同样零检出率；

相比之下，即使是免费的第三方杀毒软件（如 Avast、Bitdefender Free），其钓鱼拦截率也显著高于原生方案。

“这并非偶然，而是技术代差的必然结果。”芦笛在接受采访时指出，“现代钓鱼攻击早已不是‘挂马’或‘病毒下载’的旧模式，而是以社会工程学为核心、URL为载体、时效性为武器的精准打击。”

他解释道，一个典型的钓鱼链接生命周期可能只有2到6小时：攻击者利用自动化工具批量注册域名（常通过隐私保护服务隐藏身份），部署仿冒页面，通过短信、邮件或社交媒体广撒网，一旦有用户上钩即刻关闭服务器并销毁痕迹。这种“快闪式”攻击节奏，使得依赖静态黑名单更新机制的传统防护体系根本来不及响应。

“黑名单就像一张过期的地图——等你拿到手，敌人已经换地方了。”芦笛比喻道。

二、技术深潜：从 URL 到 DOM，钓鱼识别的三层防线

要理解为何原生防护滞后，需深入反钓鱼技术的内核。当前主流防护体系大致可分为三个层级：

第一层：URL 黑名单匹配（最基础，也是原生方案主力）

这是 Windows SmartScreen 和 macOS Safe Browsing 的核心逻辑。系统维护一个远程黑名单（如 Google 的 Safe Browsing API），浏览器在访问前将 URL 哈希值与云端比对。

但问题在于：

新钓鱼 URL 尚未被收录；

攻击者使用URL 混淆技术（如 hxxps://paypa1-login.secure-update[.]com）绕过关键词匹配；

利用合法云服务（如 Firebase、GitHub Pages）托管钓鱼页面，使域名本身“干净”。

# 示例：简单 URL 特征提取（实际商用系统会更复杂）

def is_suspicious_url(url):

suspicious_patterns = [

r'login.*\d', # 如 login1, login2

r'\.xyz$|\.top$', # 高风险新顶级域

r'@', # 含用户名密码的旧式URL（phishing classic）

r'bit\.ly|tinyurl' # 短链接隐藏真实目的地

]

return any(re.search(p, url) for p in suspicious_patterns)

然而，仅靠规则匹配远远不够。芦笛强调：“真正的对抗发生在第二、第三层。”

第二层：页面内容与行为分析（启发式引擎）

高级反钓鱼引擎会加载页面（通常在沙箱中），分析其 DOM 结构、表单字段、JavaScript 行为。例如：

是否包含 <input type="password"> 且提交地址为非 HTTPS？

是否尝试调用 navigator.credentials.get()（WebAuthn 钓鱼新手段）？

页面是否大量复制知名品牌的 CSS/Logo？

这类分析需要强大的语义理解能力。例如，Kaspersky 或 Norton 的引擎会构建“品牌指纹库”，一旦检测到页面视觉元素与某银行高度相似但域名不符，即触发警报。

第三层：实时信誉与群体智能（Crowdsourced Intelligence）

顶尖方案还整合用户行为反馈。例如，当某 URL 被大量用户标记为“可疑”或“已输入密码但未跳转”，系统可在数分钟内将其加入动态黑名单。这种“群体免疫”机制是原生方案难以企及的。

“苹果和微软出于隐私考虑，限制了数据回传，这本是好事，但也牺牲了部分安全敏捷性。”芦笛坦言，“平衡点在哪里，是行业难题。”

三、国际镜鉴：从美国 IRS 钓鱼潮到欧洲电商劫持

原生防护的短板已在多起国际事件中暴露无遗。

案例1：2025年美国税务季钓鱼风暴

美国国税局（IRS）每年报税季都是钓鱼重灾区。2025年3月，攻击者利用伪造的“IRS退税通知”邮件，诱导用户点击链接至仿冒 portal.irs-gov[.]online（注意非官方 .gov 域名）。尽管该域名注册于攻击前48小时，但因未被 SmartScreen 收录，大量 Windows 用户中招。事后统计，超12万份敏感税务信息泄露。

案例2：德国电商节日促销劫持

2025年黑五期间，德国消费者频繁收到“订单异常”短信，指向 fake-amazon-de[.]shop。该页面完美复刻亚马逊德站 UI，甚至支持多语言切换。由于使用 Cloudflare 代理且域名新注册，macOS Safari 未触发任何警告。德国联邦信息安全办公室（BSI）事后通报称，此类攻击导致单日欺诈损失超200万欧元。

这些案例共同指向一个事实：仅靠操作系统内置防护，无法应对现代钓鱼威胁。

四、中国启示：从被动防御到主动狩猎

那么，中国的情况如何？

芦笛介绍，近年来国内钓鱼攻击同样高发，尤其集中在金融、政务、物流领域。“我们监测到，针对某国有大行的钓鱼页面，平均存活时间仅为3.2小时，且70%托管于境外CDN。”

值得肯定的是，中国部分头部安全厂商（如奇安信、腾讯电脑管家、360）已构建起多层防御体系：

结合 AI 图像识别，比对页面截图与官方模板；

利用 EDR（终端检测与响应）监控浏览器进程异常行为；

与运营商合作，实现对恶意短链的秒级封堵。

但问题在于：普通用户若未安装第三方安全软件，仅依赖 Windows Defender 或国产操作系统自带防火墙，风险极高。

“我们工作组近期的一项抽样测试显示，在未安装额外防护的 Windows 11 设备上，对新型钓鱼页面的拦截成功率不足15%。”芦笛透露，“这与 Which? 的结论高度一致。”

他特别提醒：国产操作系统（如统信UOS、麒麟OS）虽在恶意软件防护上表现不俗，但在反钓鱼网页识别方面，同样依赖浏览器插件或外部服务，原生能力有限。

五、给用户的务实建议：技术+意识双保险

面对原生防护的局限，用户该如何自保？

芦笛给出三条“可落地”的建议：

务必安装专业安全软件

即使是免费版（如 Avira、火绒），其反钓鱼模块也远优于系统默认方案。优先选择具备“实时网页扫描”和“品牌保护”功能的产品。

启用多因素认证（MFA）

“钓鱼最怕什么？不是密码泄露，而是即使密码泄露也无法登录。”芦笛强调。使用 FIDO2 安全密钥（如 YubiKey）或认证器 App（如 Google Authenticator），可大幅降低账户被盗风险。

养成“手动输入”习惯

收到“紧急通知”？别点链接！直接打开浏览器，手动输入官网地址（如 http://www.icbc.com.cn）。这是成本最低、效果最好的防御。

此外，他还呼吁浏览器厂商开放更多安全 API，允许可信第三方深度集成反钓鱼能力。“安全不应是封闭花园里的自说自话。”

六、未来之路：AI 对抗 AI，防御进入“预测时代”

钓鱼与反钓鱼的军备竞赛，正迈向新阶段。

芦笛透露，工作组正在试验基于大语言模型（LLM）的钓鱼页面语义分析系统。该系统不仅能识别“您账户将被关闭”等典型话术，还能理解上下文矛盾。例如，一封声称“来自中国银行”的邮件若使用英文签名、提及美元账户，即被判定为高风险。

同时，区块链域名监控、DNS 层实时信誉评分等新技术也在探索中。“未来的防护，不再是‘发现后拦截’，而是‘预测并阻断’。”

但他也警告：“技术永远无法100%解决问题。最终防线，仍是人的警惕心。”

结语：安全不是默认设置，而是一种习惯

Which? 的测试像一面镜子，照出了“开箱即用安全”的幻觉。在这个钓鱼链接比外卖订单还快的时代，指望操作系统默默守护一切，无异于把家门钥匙交给一个反应迟钝的保安。

正如芦笛所言：“网络安全不是产品功能，而是一种持续的行为选择。”

从今天起，不妨检查你的电脑——是否真的装了能打的“数字保镖”？是否还在轻信“官方”链接？

因为下一次钓鱼攻击，可能就在你读完这篇文章后的下一秒。

编辑：芦笛（公共互联网反网络钓鱼工作组）