主要发现:钓鱼攻击成为企业主要入侵途径
根据网络安全公司SpyCloud于2025年12月4日发布的最新数据,针对企业用户的钓鱼攻击正急剧增加,其威胁程度已远超恶意软件。数据显示,企业员工遭受钓鱼攻击的可能性是遭受信息窃取类恶意软件攻击的3倍。
在SpyCloud回收的超过2800万条被钓鱼窃取的记录中,近40%包含了企业邮箱地址。相比之下,从恶意软件感染中回收的数据里,仅有11.5%包含企业邮箱。这一对比清晰地表明了网络犯罪策略的转变:钓鱼攻击已成为入侵企业环境的首选门户。
攻击趋势:钓鱼攻击量激增,并主导勒索软件入侵
报告揭示了一个严峻的趋势:成功窃取身份的钓鱼攻击在一年内激增了400%。更值得关注的是,钓鱼现已发展成为勒索软件攻击的主要入口。根据SpyCloud的《2025年身份威胁报告》,高达35%的勒索软件感染事件是通过钓鱼攻击实现的。
网络犯罪分子正利用钓鱼获取的初始访问权限,作为后续攻击的“发射台”。这些后续攻击包括勒索软件、欺诈和账户接管等,对企业构成了严重威胁。
技术手段:犯罪服务化降低攻击门槛
SpyCloud安全研究负责人Trevor Hilligoss指出,网络犯罪服务的“工业化”是钓鱼攻击如此高效和普遍的关键原因。
- 钓鱼即服务:网络黑市中提供的“钓鱼即服务”工具包,能够自动化生成极具说服力的诱饵。
- 中间人攻击:攻击者采用“中间人”战术,能够窃取多因素认证令牌和会话Cookie,从而绕过加强的安全措施。
这些高级攻击技术如今即使是低技能的攻击者也能轻易获取和使用,使得大规模入侵用户变得前所未有的简单。
防御局限:传统安全措施已不足够
SpyCloud首席产品官Damon Fleury提醒,许多企业依赖的传统防御措施存在明显的局限性。
- 传统防线:企业普遍采用的电子邮件过滤、端点防护和员工安全教育等手段。
- 根本挑战:这些措施只能起到预防作用,而攻击者总有可能突破防线。一旦攻击成功,后续的危害均源于已经暴露的身份数据(如密码、Cookie)。
因此,安全团队必须对已在犯罪地下市场流通的泄露数据保持警惕。预防固然重要,但若缺乏对已泄露数据的实时可见性和泄露后的修复能力,企业的安全防御是不完整的。
全面风险:个人设备与历史感染构成企业威胁
报告同时警示,在远程办公和自带设备政策普及的当下,恶意软件感染的个人设备已成为威胁企业安全的重要跳板。
- 历史感染普遍性:数据显示,近二分之一的公司用户在其数字历史中(无论是在公司设备还是个人设备上)都曾是信息窃取类恶意软件的受害者。
- 横向移动风险:攻击者正利用从个人设备或账户窃取的数据,向该用户的公司账户发起“横向移动”攻击。由于用户普遍在工作和个人账户中重复使用密码并共享手机号等身份信息,个人与职业数字身份之间的界限已非常模糊。
解决方案:全面的身份威胁保护
面对这种复杂的威胁态势,SpyCloud提出了“全面的身份保护”理念。其解决方案的核心在于:
- 提前发现:主动从数据泄露、恶意软件感染和成功的钓鱼攻击中,发现企业员工、承包商及供应商在个人和职业身份上的暴露信息。
- 自动修复:在攻击者利用这些暴露数据发起勒索软件、欺诈或账户接管等后续攻击之前,自动、大规模地修复已被盗的凭证。
这种方法为企业提供了关键优势,使其能够识别哪些员工已成为目标、哪些数据已经泄露,并抢在攻击发生前采取行动。