网络钓鱼：勒索软件最青睐的攻击途径解析

勒索软件的最爱入口？网络钓鱼攻击

网络钓鱼在2025年助长了勒索软件的蔓延，AI驱动的诱饵和钓鱼即服务工具包推动了攻击浪潮。了解身份优先防御如何提供帮助。

去年，85%的组织遭受了勒索软件攻击。而在大多数情况下，网络钓鱼打开了入侵的大门。

根据SpyCloud最新的身份威胁报告，2025年网络钓鱼占勒索软件入侵的35%，高于去年的25%。

“网络钓鱼不能再被视为只是滋扰；它是勒索软件和其他基于身份的攻击的主要发起点，”SpyCloud安全研究主管Trevor Hilligoss在公司新闻稿中表示。

推动这一激增的是蓬勃发展的地下经济。网络钓鱼工具包和钓鱼即服务使即使是新手攻击者也能在几分钟内创建逼真的虚假网站、自动化诱饵并绕过多因素认证。曾经需要技术技能的事情现在只需点击即可完成……这正在推动全球范围内无情的勒索软件入侵浪潮。

SpyCloud的报告揭示了信心与现实之间令人不安的脱节。

虽然86%的安全领导者相信他们能够阻止身份驱动的威胁，但只有不到五分之一的人拥有修复暴露身份所需的自动化工具。这种差距在现场表现明显：绝大多数组织——仅过去一年就有85%——经历了至少一次勒索软件攻击。

现代网络钓鱼将传统的社会工程学与复杂的工具和自动化相结合，形成了高度针对性、高成功率的攻击。威胁行为者现在将经过验证的社会工程学与自动化工具相结合，使网络钓鱼既更具针对性又更可扩展。

攻击者爬取LinkedIn和代码库，同时收集其他开源情报来制作令人信服的鱼叉式网络钓鱼诱饵。然后，他们通过使用相似域名、域名抢注和欺骗性子域名来提升可信度。

在技术方面，商业化服务和代理框架已经消除了大部分技能障碍。

钓鱼即服务产品让低技能攻击者能在几分钟内启动品牌克隆页面、仪表板和轮换托管，而中间人代理工具包透明地代理真实登录以收集绕过MFA的会话cookie和令牌。

成功的诱饵通常会投放信息窃取器或收集凭据和cookie，为后续行动（如横向移动和勒索软件部署）创造即时立足点。

结果是一个快速、有弹性的攻击链：个性化诱饵、相似域名、代理/PhaaS令牌捕获以及持久存在并外泄数据的信息窃取器——即使是在具有AV/EDR的端点上。这种组合使检测和修复更加困难。

AI现在放大了这些策略，自动化个性化、内容变异和网页克隆，以扩大网络钓鱼活动规模并规避传统防御。

大规模自动化个性化：大语言模型摄入公开资料并生成模仿语气、角色和上下文的定制电子邮件、聊天消息或语音脚本——使大规模活动具有超针对性。

内容规避和改写：AI可以重写网络钓鱼文本以规避静态关键词过滤器，并生成许多独特变体以击败基于签名的电子邮件防御。

快速网页克隆：AI辅助工具自动化抓取合法页面并生成逼真的网络钓鱼页面（包括本地化内容），减少攻击者准备活动所需的时间。

深度伪造和语音钓鱼：合成的音频/视频可以令人信服地冒充高管或供应商以授权电汇或凭据披露。

自动化侦察和优化：AI工作流可以测试多个诱饵、主题行和发送时间以最大化转化率，然后根据哪些模板成功进行调整。

这些AI驱动的策略提高了防御者的风险，使得组织加强其身份优先防御并比攻击者更快适应变得至关重要。

安全团队应优先考虑直接解决网络钓鱼、信息窃取器和会话劫持的身份优先防御。

采用防网络钓鱼的MFA和强身份监控，以阻止中间人攻击、撤销受损会话并自动化凭据重置。

实施电子邮件和域名保护，同时监控伪造或相似域名。

部署行为分析和AI驱动的分析，以大规模检测异常登录、令牌滥用、内容变异和克隆的网络钓鱼页面。

通过包括AI生成诱饵、深度伪造语音钓鱼和其他现代网络钓鱼策略的高级模拟来培训员工。

使用威胁情报和清除服务来识别并快速移除网络钓鱼工具包、虚假域名和克隆网站。

通过EDR可见性、应用程序白名单、供应链审查和高风险操作的带外验证来加强端点、供应商和交易控制。

随着身份驱动的威胁不断发展，安全领导者需要从被动的、基于行为的防御转向整体的身份保护策略，以在风险升级之前弥补可见性差距并中和风险。

为了领先于由网络钓鱼助长的勒索软件，组织应将