全球网络钓鱼动态简报（2026年2月）

Google Cloud邮件服务被滥用进行多阶段网络钓鱼

Check Point安全研究人员披露了一起利用Google Cloud Application Integration服务发起的高级网络钓鱼活动。攻击者滥用该服务的合法邮件发送功能，使其发出的恶意邮件显示来自Google官方地址（如“google.com”子域），从而绕过传统邮件网关的检测。该活动始于 2026 年 1 月，攻击者通过创建看似合法的Google Cloud项目，向受害者发送包含恶意链接的通知邮件。

攻击流程通常分为多阶段：首先，受害者收到一封来自Google官方基础设施的邮件，内容伪装成业务通知或文件共享提醒；点击链接后，受害者会被重定向至托管在 GoogleCloud Storage或其他合法云平台上的中间页面，进一步诱导其点击；最终，受害者被引导至伪造的Microsoft 365或Google Workspace登录页面，旨在窃取其凭据。由于整个过程大量利用了Google的可信域名和基础设施，使得识别和拦截此类攻击变得极具挑战性。

专家建议企业加强对来自云服务提供商的自动通知邮件的审查，部署能够检测异常邮件行为的高级邮件安全解决方案，并对员工进行针对性的安全意识培训，特别是如何识别伪装成合法服务通知的钓鱼邮件。此外，建议管理员在云环境中实施严格的访问控制和监控策略，以防止自身资源被滥用于此类攻击。

Mamba 2FA钓鱼套件：现代中间人攻击（AiTM）运作机制解析

Cyfirma研究团队发布报告，深入解析了名为“Mamba 2FA”的网络钓鱼即服务（PaaS）套件，该套件正被广泛用于针对Microsoft 365账户的中间人（AiTM）攻击。Mamba 2FA是一种高度自动化的攻击工具，能够实时拦截受害者的登录凭据和双因素认证（2FA/MFA）会话令牌。该套件自2024年以来持续活跃，并在近期进行了多次更新，以增强其逃避检测的能力。

攻击者通常通过电子邮件或短信分发包含恶意链接的诱饵，受害者点击后会被引导至一个伪造的Microsoft 365登录页面。该页面在后端实时代理受害者与真实Microsoft服务器之间的流量。当受害者输入密码并完成MFA验证时Mamba 2FA会捕获生成的会话Cookie，使攻击者能够绕过MFA保护，直接接管受害者账户。研究指出，该套件采用了多种反检测技术，如动态生成域名、指纹识别以排除安全扫描器，以及利用合法云服务托管恶意资源。

针对此类威胁，专家建议组织强制实施基于FIDO2的硬件安全密钥或基于证书的身份验证，这些方法能有效抵御AiTM攻击。同时，建议配置条件访问策略，限制仅允许受信任的设备或IP地址访问敏感资源，并加强对异常登录行为的监控与响应。

卡巴斯基：AI驱动的网络钓鱼诈骗日益泛滥

卡巴斯基发布研究报告，警示由人工智能（AI）驱动的网络钓鱼诈骗正呈爆炸式增长。攻击者正利用生成式 AI 工具（如ChatGPT的恶意变体）大规模生成高度逼真、语法完美且极具针对性的钓鱼邮件和虚假网站。这些AI工具不仅降低了网络犯罪的门槛，还显著提高了攻击的欺骗性和效率，使得传统的基于语法错误或格式异常的识别方法逐渐失效。

报告详细介绍了多种AI增强的诈骗手法，包括利用AI生成深度伪造（Deepfake）的语音或视频进行“老板诈骗”或亲友求助诈骗；自动生成针对特定行业或个人的鱼叉式钓鱼内容；以及创建能够实时互动的恶意聊天机器人，诱导受害者泄露敏感信息。此外，攻击者还利用AI优化恶意代码，使其更难被安全软件检测。这种技术升级使得网络钓鱼活动能够以更低的成本实现更广泛的覆盖和更高的成功率。

卡巴斯基专家建议用户保持高度警惕，不轻信未经核实的紧急请求，即使其看似来自熟悉的人或机构。建议企业部署采用机器学习和行为分析技术的高级邮件安全解决方案，以检测AI生成的异常内容。同时，定期进行模拟钓鱼演练，提升员工对新型AI诈骗手段的识别能力，是防御此类威胁的关键。

LastPass警告：伪装成“备份请求”的钓鱼活动针对其用户

密码管理服务商LastPass发出紧急警告，披露了一起针对其用户的新型网络钓鱼活动。攻击者向LastPass用户发送欺诈性电子邮件，声称公司正在进行系统维护，要求用户在24小时内点击链接“备份”其密码库，否则将面临数据丢失风险。该活动利用了用户对数据安全的焦虑心理，试图诱骗其泄露主密码和双因素认证（2FA）代码。

LastPass明确表示，公司绝不会通过电子邮件要求用户提供主密码或进行此类紧急备份操作。此次攻击的邮件伪造了LastPass的品牌标识和格式，且发件人地址经过伪装，极具迷惑性。一旦受害者点击邮件中的恶意链接，将被引导至一个外观与LastPass官方登录页面极为相似的钓鱼网站。输入凭据后，攻击者即可窃取其账户访问权限，进而获取用户存储的所有敏感密码信息。

针对此威胁，LastPass建议用户切勿点击此类可疑邮件中的链接，并直接通过官方网站或浏览器插件访问服务。若用户怀疑已泄露信息，应立即更改主密码，并检查账户设置中是否有未知的受信任设备或活动会话。此外，启用基于硬件密钥的MFA可以有效防止此类凭据窃取攻击。

LinkedIn钓鱼活动利用开源渗透测试工具分发远程访问木马

据Infosecurity Magazine报道，ReliaQuest研究人员发现了一起针对LinkedIn用户的新型网络钓鱼活动。攻击者利用LinkedIn的私信功能（InMail），针对特定的高价值目标（如企业高管、HR和IT管理员）发送包含恶意链接的消息。该活动的一个显著特点是，攻击者滥用了一款合法的开源渗透测试工具（具体名称未披露，以免助长滥用），利用其功能来分发恶意载荷，从而规避安全检测。

攻击过程通常始于虚假的招聘邀约、商务合作提议或行业交流请求，以建立信任。一旦受害者点击消息中的链接，会被重定向到一个托管恶意文件的网站，诱导其下载并执行伪装成文档或安装程序的恶意软件。最终，受害者设备会被植入远程访问木马（RAT），使攻击者能够完全控制受感染系统，窃取敏感数据、监控用户活动，甚至以此为跳板攻击企业内网。

专家指出，这种结合社交工程与合法工具滥用的攻击方式具有极高的隐蔽性。建议LinkedIn用户对来自陌生人的链接和文件保持高度警惕，尤其是涉及下载执行文件的请求。企业应加强对终端设备的监控，部署能够检测异常进程行为的EDR解决方案，并限制员工在工作设备上随意下载和运行未知软件。

Vodafone调查显示：员工钓鱼漏洞仍是企业主要威胁

Vodafone Business发布的最新调查报告显示，尽管网络安全意识有所提升，但员工在面对网络钓鱼攻击时的脆弱性仍然是英国企业面临的主要威胁之一。调查发现，超过 70% 的受访企业领导者认为，其员工中至少有一人会落入精心设计的钓鱼陷阱。此外，报告还指出，虽然 89% 的企业主表示对网络威胁的警惕性因近期的高调攻击事件而提高，但仅有不到一半（45%）的企业确保所有员工都接受了基本的网络安全意识培训。

报告强调，中小企业（SME）尤其脆弱，因为它们往往缺乏专门的安全团队和资源来应对日益复杂的攻击。一旦遭受重大网络攻击，超过10%的受访企业表示可能无法生存。钓鱼攻击不仅会导致直接的财务损失，还可能引发数据泄露、勒索软件感染以及严重的声誉损害。人为错误依然是网络防御链条中最薄弱的环节。

Vodafone建议企业采取综合防御策略，不仅要部署技术层面的防护工具（如邮件过滤、端点保护），更要重视“人的防火墙”建设。这包括定期开展针对性的安全培训、进行模拟钓鱼测试，以及建立鼓励员工报告可疑活动的文化。同时，采用托管安全服务可以帮助资源有限的中小企业获得企业级的安全防护能力。

钓鱼活动利用RMM工具实现隐蔽访问

KnowBe4威胁实验室披露了一起利用合法远程监控与管理（RMM）工具进行持久化访问的新型钓鱼活动。攻击者首先通过看似常规的职场邮件（如会议邀请或通知）发起攻击，诱导受害者在伪造的登录页面输入凭据。获取凭据后，攻击者并非立即植入传统恶意软件，而是利用这些凭据登录受害者的系统，并安装合法的RMM软件（如 AnyDesk, TeamViewer或专门的企业级RMM代理）。

这种“双重载体”攻击策略极具隐蔽性。由于RMM工具本身是合法的IT管理软件，且拥有有效的数字签名，传统的防病毒软件和安全监控系统往往将其视为正常活动而予以放行。一旦安装成功，攻击者便获得了对受害者系统的长期、隐蔽的远程控制权，可随时进行数据窃取、横向移动或部署勒索软件，且其流量混杂在正常的IT管理流量中，极难被发现。

研究人员建议，组织应严格管控RMM工具的使用，建立白名单机制，仅允许经批准的RMM软件运行，并阻断未经授权的远程访问端口。同时，应加强对异常软件安装行为的监控，特别是对非IT部门员工设备上突然出现的管理工具保持警惕。实施应用程序控制策略和定期的软件资产盘点也是防御此类攻击的有效手段。

卡巴斯基检测到2025下半年QR码钓鱼攻击激增五倍

根据卡巴斯基的最新遥测数据，2025年下半年，全球范围内的QR码钓鱼（Quishing）攻击数量激增了五倍。这一显著增长表明，网络犯罪分子正大规模转向移动端攻击载体，试图绕过日益严密的桌面端邮件安全防御。攻击者广泛利用二维码的便捷性和隐蔽性，将其嵌入电子邮件、社交媒体帖子甚至实体海报中，诱导用户扫描。

报告指出，这些恶意二维码通常会将用户重定向至伪造的银行登录页面、虚假的微软/谷歌认证界面，或者是恶意应用下载链接。由于移动设备的安全防护通常弱于桌面电脑，且屏幕较小难以检查URL的真实性，用户在手机上更容易受骗。此外，攻击者还利用生成式AI技术快速制作大量独特的二维码，进一步增加了自动化检测的难度。

卡巴斯基专家呼吁用户在扫描任何二维码前务必保持警惕，特别是来源不明或出现在意外场景中的二维码。建议使用具备安全扫描功能的二维码阅读器，并在扫描后仔细核对跳转链接的域名。对于企业而言，应将移动安全纳入整体防御体系，教育员工不要使用工作设备随意扫描个人生活中的二维码，并部署能够覆盖移动端的统一端点管理（UEM）和威胁防御方案。

微软披露：利用SharePoint的多阶段AiTM钓鱼与BEC活动

微软威胁情报中心发布博文，详细披露了一起利用Microsoft SharePoint进行的多阶段中间人（AiTM）钓鱼和商业电子邮件入侵（BEC）活动。攻击者首先通过入侵也许是合作伙伴的合法账户，上传恶意文件到SharePoint平台，并利用SharePoint的自动通知功能向目标发送包含恶意链接的“文件共享”邮件。由于邮件来自微软官方地址（no-reply@sharepointonline.com）且链接指向合法的 SharePoint 域名，极易骗过受害者和安全过滤器。

受害者点击链接后，会看到一个伪造的文件访问页面，要求其进行身份验证。此时，攻击者利用AiTM工具包实时代理受害者的登录请求，窃取其会话Cookie和凭据。成功入侵后，攻击者会利用受害者的邮箱进行后续的BEC诈骗，如伪造发票、更改收款账号，或进一步向受害者联系人发送钓鱼邮件，实现攻击的横向扩散。这种“寄生”于合法云服务的攻击方式具有极高的隐蔽性和破坏力。

微软建议管理员加强SharePoint的外部共享设置，限制仅允许特定域或经过验证的用户访问共享文件。同时，强烈推荐实施基于条件的访问策略，要求在访问敏感资源时使用合规设备，并启用防钓鱼的FIDO2安全密钥。此外，监控异常的文件共享活动和登录行为对于及时发现此类攻击至关重要。

USDT洗钱团伙被判入狱：曾协助语音钓鱼集团洗钱 100 万美元

DL News报道，韩国法院近日对一伙利用泰达币（USDT）进行洗钱的犯罪分子做出了判决。该团伙被指控协助一个语音钓鱼（Vishing）犯罪集团清洗了价值约 100 万美元的非法所得。调查显示，该团伙在韩国经营非法加密货币场外交易（OTC）业务，将钓鱼诈骗所得的韩元迅速兑换成USDT，再转移至海外钱包，以切断资金追踪链路。

此案揭示了加密货币，特别是稳定币，在现代网络犯罪洗钱链条中的核心角色。语音钓鱼集团通过冒充检察官、银行职员等身份诈骗受害者资金，随后利用该洗钱团伙的服务将脏钱“洗白”。法院判处主犯数年有期徒刑，并没收了相关非法所得。这一判决显示了执法部门打击利用加密资产进行金融犯罪的决心。

该案件提醒金融机构和加密货币交易所加强反洗钱（AML）和“了解你的客户”（KYC）合规审查，特别是在涉及大额法币与稳定币兑换的环节。对于公众而言，需警惕各类电话诈骗，切勿轻信要求转账或提供银行信息的陌生来电。监管机构也呼吁加强国际合作，以追踪和打击跨国界的加密货币洗钱网络。

KnowBe4发布Q4 2025钓鱼趋势报告：个性化攻击成主流

安全意识培训平台KnowBe4发布了2025年第四季度网络钓鱼趋势报告。报告基于大规模的模拟钓鱼测试数据，揭示了“个性化”已成为当前钓鱼攻击最显著的特征。数据显示，包含受害者姓名、公司名称或特定部门信息的钓鱼邮件，其点击率远高于通用型模板。此外，利用近期热门事件（如年终奖金、假期安排、新政策通知）作为诱饵的攻击也极为普遍。

报告指出，域名欺骗（Domain Spoofing）出现在近90%的高点击率攻击中，攻击者通过注册与合法域名极度相似的域名（Typosquatting）来迷惑受害者。除了传统的电子邮件，通过短信（Smishing）和社交媒体发起的针对性攻击也在增加。报告还强调，HR和IT部门相关的伪造通知（如薪资调整、密码过期）依然是诱骗员工点击的最有效手段。

KnowBe4建议企业摒弃“一刀切”的安全培训模式，转而采用针对不同部门和角色的个性化模拟演练。应重点教育员工如何识别伪造的域名和紧迫感诱导战术。同时，建立便捷的内部报告机制，鼓励员工在上报可疑邮件时获得正向反馈，从而将员工从防御短板转化为主动的威胁传感器。

Okta警告：新型钓鱼套件助推语音钓鱼（Vishing）攻击

身份管理巨头Okta发出警告，指出网络犯罪分子正在使用新型的可定制钓鱼套件来增强语音钓鱼（Vishing）攻击的效果。这些套件允许攻击者在与受害者通话的同时，实时控制钓鱼网页的内容和流程。攻击者通常先通过电话联系受害者，冒充IT支持人员或银行客服，诱导受害者访问攻击者控制的钓鱼网站。

与传统静态钓鱼页面不同，这些新型套件支持“操作员模式”，攻击者可以在后台实时查看受害者的输入，并根据情况动态调整页面显示（例如，提示验证码错误要求重输，或索要二次验证码）。这种实时交互能力极大地提高了攻击的成功率，尤其是在突破MFA保护方面。Okta指出，这类攻击主要针对高权限用户，旨在获取企业核心系统的访问权。

Okta建议企业采用抗钓鱼的身份验证因素，如FIDO2/WebAuthn硬件密钥或基于设备的生物识别技术（如 Windows Hello, Touch ID），这些技术不依赖于可被窃取的一次性验证码。此外，应教育员工警惕任何要求在电话中进行敏感操作或访问特定网站的请求，即使来电显示看起来是合法的内部号码。

韩国检察官在加密货币诈骗案中败诉，损失4800万美元资产追回权

Yahoo Finance报道，韩国检察机关在一起涉及4800万美元的加密货币诈骗案件的法律诉讼中遭遇挫折，未能成功没收相关非法资产。该案件涉及一个大规模的加密货币投资诈骗团伙，他们通过承诺高额回报诱骗投资者资金。尽管检方已确认了资金的非法性质并试图冻结和没收涉案的加密货币，但法院最终裁定，由于证据链存在瑕疵以及对数字资产没收的法律依据不足，驳回了检方的没收请求。

这一判决在韩国引发了关于加密货币监管和司法执行能力的广泛讨论。批评者认为，现行法律体系在应对复杂的数字资产犯罪时显得滞后，导致犯罪分子能够利用法律漏洞保全非法所得。这也给受害者追回损失带来了巨大困难。

该事件凸显了完善加密货币相关法律法规的紧迫性。法律专家呼吁立法机构尽快修订相关法律，明确数字资产的法律属性和没收程序，赋予执法部门更强的追赃能力。对于投资者而言，这也是一记警钟，提醒在参与加密货币投资时务必谨慎，选择合规平台，并意识到法律追索的潜在难度。

Flare Research：钓鱼套件现已像SaaS平台一样运作

eSecurity Planet引用Flare Research的研究指出，现代网络钓鱼套件（Phishing Kits）的运营模式已经发生了根本性转变，正日益像合法的SaaS（软件即服务）平台一样运作。这些“PaaS”（钓鱼即服务）平台提供全套的攻击基础设施，包括托管面板、自动化部署工具、反检测功能以及详细的攻击数据分析仪表盘。

攻击者无需具备深厚的技术背景，只需支付订阅费或按攻击收益分成，即可租用这些平台发起复杂的钓鱼攻击。这些平台甚至提供“客户支持”和社区论坛，供犯罪分子交流攻击心得。研究发现，这些现代套件不仅能窃取凭据，还能自动绕过多种MFA机制，并集成勒索软件分发功能。这种商业化、专业化的趋势使得网络威胁的演变速度大大加快。

针对这一趋势，企业防御者需要转变思路，不能仅依赖静态的黑名单防御。建议加强威胁情报的利用，主动监测暗网和地下论坛中针对自身品牌的钓鱼活动。同时，利用AI驱动的行为分析工具来识别异常的流量和用户行为，是应对这种高度自动化和规模化攻击的有效手段。

AsyncRAT恶意软件新变种活跃，针对企业展开攻击

SOC Prime威胁情报团队发布分析报告，披露了一项利用AsyncRAT恶意软件新变种针对企业环境的活跃攻击活动。AsyncRAT是一种开源的远程访问木马（RAT），常被攻击者用于窃取敏感数据、执行远程命令及部署后续载荷。此次监测到的活动始于2025年底并持续至2026年初，攻击者主要通过包含恶意附件（如带有宏的Office文档或混淆的脚本文件）的钓鱼邮件进行分发。

新变种采用了更复杂的混淆技术来逃避杀毒软件检测，并利用合法的云存储服务托管恶意载荷。一旦感染，AsyncRAT可实现键盘记录、屏幕截图及持久化驻留，严重威胁企业数据安全。报告指出，攻击者正不断调整其社会工程学话术，伪装成发票、订单或法务通知。专家建议企业实施严格的端点检测与响应（EDR）策略，监控PowerShell等脚本解释器的异常行为，并及时更新IOC（入侵指标）库。

Trellix报告：高级“浏览器内浏览器”攻击瞄准Facebook用户

网络安全公司Trellix于2026年1月12日发布警告，揭示了一场针对Facebook用户的高级网络钓鱼活动，该活动利用了“浏览器内浏览器”（Browser-in-the-Browser, BitB）攻击技术。BitB攻击通过在网页内模拟一个极其逼真的弹出式登录窗口（包括伪造的地址栏和HTTPS锁图标），诱骗用户输入凭证。由于该伪造窗口实际上是父页面的一部分而非独立窗口，用户极难通过视觉辨别真伪。

此次活动中，攻击者通过恶意广告或被入侵的网站分发链接，声称用户需验证身份以查看内容。一旦用户在伪造窗口输入账号密码，凭证即被窃取。Trellix指出，这种技术正变得日益自动化和商品化，大幅降低了攻击门槛。专家建议用户在使用第三方登录时，尝试拖动弹出窗口——如果窗口无法拖出浏览器边缘，极有可能是BitB攻击；同时应启用硬件安全密钥（FIDO）等多因素认证以防御此类凭证钓鱼。

Barracuda揭示现代网络钓鱼工具包的高级规避技术

Barracuda安全研究人员于2026年1月8日发布报告，详细剖析了现代网络钓鱼工具包（Phishing Kits）中集成的多种高级检测规避技术。报告指出，攻击者正广泛使用反机器人（Anti-bot）机制来识别并阻断安全厂商的扫描爬虫，确保钓鱼页面仅对真实受害者展示。常见手段包括检查访问者的IP信誉、浏览器指纹以及鼠标移动轨迹。

此外，地理围栏（Geo-blocking）技术也被频繁使用，攻击者限制只有特定国家或地区的IP才能访问钓鱼站点，从而降低被全球威胁情报网络发现的概率。这些现成的工具包在暗网上廉价出售，大大降低了网络犯罪的门槛。Barracuda建议企业采用基于机器学习的动态检测方案，模拟真实用户行为进行探测，并加强对新注册域名及异常流量的实时监控。

配置错误导致内部域名网络钓鱼攻击呈上升趋势

SC Media报道指出，利用企业内部域名配置错误（Misconfiguration）发起的网络钓鱼攻击正呈上升趋势。攻击者利用DNS记录设置不当、废弃的子域名或未验证的第三方服务集成，成功伪造看似来自企业内部（如 hr@internal-company.com）的邮件。由于发件人域名属于企业白名单范围，此类邮件往往能轻松穿透邮件网关，且极具欺骗性。

研究显示，复杂的混合云环境和多层路由规则加剧了这一问题，使得安全团队难以全面掌握所有域名的解析状态。攻击者一旦利用这些漏洞发送钓鱼邮件，员工基于对内部域名的信任，点击率极高。安全专家建议企业定期进行DNS审计，清理未使用的子域名记录，实施严格的SPF、DKIM和DMARC策略，并确保所有第三方服务集成均经过严格的安全验证。

AI驱动的网络钓鱼攻击如何绕过传统邮件过滤器

Crowe发布洞察文章，深入探讨了人工智能（AI）驱动的网络钓鱼攻击如何系统性地绕过传统邮件过滤器。随着生成式AI（GenAI）的普及，攻击者能够批量生成语法完美、语调自然且高度个性化的钓鱼邮件，彻底改变了以往钓鱼邮件“拼写错误多、模板生硬”的特征。AI还能根据目标社交媒体公开信息，实时调整攻击话术（Spear Phishing），使其极具针对性。

此外，AI被用于生成多态恶意代码和动态URL，使基于特征码和黑名单的传统防御手段失效。文章指出，传统的关键词过滤和静态规则已不足以应对这一威胁。专家建议企业转向基于行为分析和自然语言处理（NLP）的下一代邮件安全网关，重点检测邮件的意图、紧迫感及异常通信模式，同时加强“人在回路”的安全意识培训。

微软Office 365遭受域名欺骗网络钓鱼攻击

Petri网站报道了一种针对微软Office 365用户的高级域名欺骗（Domain Spoofing）网络钓鱼技术。攻击者利用国际化域名（IDN）同形异义字或在URL中插入零宽字符，注册与微软官方登录页面极度相似的域名（如使用西里尔字母代替拉丁字母）。这些伪造域名在浏览器地址栏中看起来与合法的 login.microsoftonline.com 几乎无异。

攻击活动通常通过伪造的OneDrive文件共享通知或SharePoint协作邀请发起。受害者点击后被引导至高仿登录页，一旦输入凭证，攻击者不仅会窃取密码，还可能利用中间人（AiTM）工具包绕过MFA验证。微软及安全专家建议管理员严格配置DMARC记录以防止域名被冒用，并在企业环境中强制实施条件访问策略（Conditional Access），仅允许受信任的设备或IP段访问Office 365租户。

供稿：北京中科易安科技有限公司（公共互联网反网络钓鱼成员单位）

编辑：芦笛（公共互联网反网络钓鱼工作组）