Check Point：4 萬封“高仿”釣魚郵件揭示新趨勢

Check Point：4 萬封“高仿”釣魚郵件揭示新趨勢

近年來，釣魚郵件與仿冒網(wǎng)站已成為網(wǎng)絡(luò)詐騙和數(shù)據(jù)泄露的重要入口。在中國，這一問題同樣不容忽視。網(wǎng)信辦數(shù)據(jù)顯示，2025 年依法受理處理的仿冒網(wǎng)站及各類網(wǎng)絡(luò)詐騙相關(guān)平臺多達(dá) 1,418 個，這些站點往往涉及釣魚鏈接、偽裝登錄頁面以及詐騙活動，對個人信息安全和企業(yè)數(shù)據(jù)資產(chǎn)構(gòu)成持續(xù)威脅。這表明，仿冒與釣魚已經(jīng)不是零散事件，而是一種長期存在、不斷演化的風(fēng)險形態(tài)。

在全球范圍內(nèi)，這一趨勢也在加速。Check Point安全團(tuán)隊近期發(fā)現(xiàn)了一輪大規(guī)模釣魚攻擊活動：在短短兩周內(nèi)，攻擊者發(fā)送了超過 4 萬封釣魚郵件，覆蓋約 6,100 家機構(gòu)。這些郵件偽裝成 SharePoint、電子簽名平臺等企業(yè)常用服務(wù)的通知，看起來與真實業(yè)務(wù)郵件幾乎沒有差別，其目的正是誤導(dǎo)用戶點擊鏈接、輸入憑證或下載惡意內(nèi)容。

與傳統(tǒng)“粗放型”釣魚郵件不同，這一波攻擊呈現(xiàn)出明顯的“高仿真”特征。郵件在視覺設(shè)計上高度還原真實服務(wù)的風(fēng)格，包含官方 Logo、標(biāo)準(zhǔn)化排版以及“查看文檔”“簽署文件”等典型按鈕，發(fā)件人顯示名稱也往往采用“某某 via SharePoint”或“eSignDoc 通知”等形式，使用戶在第一時間難以分辨真?zhèn)�。更具迷惑性的是，攻擊者并沒有直接使用可疑域名，而是濫用合法的 URL 重定向服務(wù)，將惡意鏈接“包裹”在受信任域名之下。例如，一些鏈接表面上指向安全廠商或郵件服務(wù)提供商的跳轉(zhuǎn)地址，使其在技術(shù)檢測和用戶心理層面都顯得“可信”。當(dāng)用戶點擊后，才會被進(jìn)一步引導(dǎo)至真正的釣魚頁面，從而竊取賬號和密碼。

從攻擊邏輯上看，這類釣魚郵件的核心不再是“制造恐慌”，而是“融入日常工作場景”。SharePoint、電子簽名平臺、在線協(xié)作工具早已成為企業(yè)辦公的基礎(chǔ)設(shè)施，涉及合同、發(fā)票、審批文件等高度敏感內(nèi)容。當(dāng)攻擊者把釣魚行為嵌入這些看似正常的業(yè)務(wù)流程時，員工的防備心理自然會被大幅削弱。這與國內(nèi)網(wǎng)絡(luò)環(huán)境中仿冒網(wǎng)站頻繁出現(xiàn)的現(xiàn)實高度契合。無論是仿冒政務(wù)平臺、金融機構(gòu)，還是企業(yè)內(nèi)部系統(tǒng)登錄頁面，其共同特點都是“足夠像”。用戶一旦在熟悉的界面中輸入了真實賬號信息，后果往往遠(yuǎn)不止一次賬號泄露，而可能引發(fā)連鎖性的業(yè)務(wù)系統(tǒng)入侵和數(shù)據(jù)外泄風(fēng)險。

因此，郵件安全已經(jīng)不再只是“攔截垃圾郵件”的問題，而是企業(yè)整體安全體系中的關(guān)鍵防線。大量安全事件表明，攻擊往往并非從復(fù)雜的漏洞利用開始，而是從一封看似正常的郵件切入。釣魚郵件正逐漸成為企業(yè)安全鏈條中最容易被忽視、卻最容易被利用的一環(huán)。

從防護(hù)角度看，傳統(tǒng)依賴規(guī)則匹配和黑名單的郵件過濾方式，已難以應(yīng)對這類高度仿真、濫用合法基礎(chǔ)設(shè)施的新型攻擊。企業(yè)需要更智能化的防護(hù)能力，包括：

·對郵件內(nèi)容、上下文和行為模式進(jìn)行綜合分析，而非只檢查單一鏈接或附件；

·對重定向鏈路進(jìn)行深度解析，識別隱藏在“可信跳轉(zhuǎn)”背后的真實風(fēng)險；

·通過 AI 技術(shù)識別仿冒品牌、仿真頁面結(jié)構(gòu)以及異常通信特征；

·在郵件到達(dá)用戶收件箱前，就完成多層次的威脅檢測與阻斷。

在這一背景下，郵件安全產(chǎn)品的“技術(shù)深度”和“行業(yè)成熟度”變得尤為重要。并非所有解決方案都能應(yīng)對這種融合業(yè)務(wù)場景、技術(shù)欺騙與社會工程的復(fù)雜攻擊模式。這也正是Check Point 近期被評為 2025 年 Gartner《郵件安全魔力象限》領(lǐng)導(dǎo)者（Leader）的主要原因之一。在“愿景完整性”和“執(zhí)行能力”兩個核心維度上獲得認(rèn)可，意味著其郵件安全能力不僅在技術(shù)上成熟，同時在實際部署和持續(xù)演進(jìn)方面也具備行業(yè)領(lǐng)先水平。

從技術(shù)路徑上看，現(xiàn)代郵件安全防護(hù)需要具備三個核心特征：

·一是以 AI 為核心驅(qū)動，對釣魚、惡意附件、惡意鏈接進(jìn)行實時識別；

·二是具備對新型攻擊手法的快速適應(yīng)能力，包括對云服務(wù)、協(xié)作平臺和第三方工具被濫用場景的防護(hù)；

·三是能夠與企業(yè)整體安全體系協(xié)同工作，將郵件威脅納入更大的威脅情報和自動化響應(yīng)體系之中。

近期國內(nèi)外的發(fā)現(xiàn)郵件攻擊具備一個共同點：它們的本質(zhì)都是利用“信任感”作為突破口。當(dāng)攻擊不再顯得“可疑”，而是越來越像正常業(yè)務(wù)流程時，安全防護(hù)的復(fù)雜度也隨之顯著提升。對于企業(yè)而言，這既是挑戰(zhàn)，也是一次重新審視郵件安全價值的契機。郵件系統(tǒng)連接著人、業(yè)務(wù)和數(shù)據(jù)，一旦失守，影響往往會被迅速放大。與其將郵件安全視為“基礎(chǔ)防護(hù)配置”，不如將其視為數(shù)字化安全體系中的核心組成部分。在釣魚攻擊日益“真實化”和“業(yè)務(wù)化”的趨勢下，企業(yè)需要的已不只是過濾工具，而是具備持續(xù)進(jìn)化能力，隨企業(yè)業(yè)務(wù)需求不斷變化的智能安全平臺。