全球网络钓鱼动态简报（2026年3月）

加密货币签名钓鱼损失激增：攻击者转向高价值钱包“鲸鱼”用户

据加密安全数据机构Scam Sniffer统计，2026年1月与“签名钓鱼”相关的钱包资金损失约达630万美元，较前月增幅超过200%，但受害者数量下降约11%，这表明攻击者从广撒网转向集中猎取高净值目标。报道提到，少数个案贡献了大部分损失，其中最大单笔事件与受害者签署恶意合约授权有关，例如permit或increaseAllowance等调用被滥用后，第三方可在后续无需再次征得逐笔确认的情况下转移代币，导致资产被持续“抽干”。此类攻击通常以伪造空投、兑换、质押或安全升级为诱饵，诱导用户在未充分理解授权含义时完成签名。

建议在签名前核对域名与合约交互内容，谨慎授予无限额度授权，定期审计并撤销不必要的代币Allowance，使用硬件钱包或具备交易仿真提示的钱包安全功能，对高价值地址启用更严格的分层授权与冷存储策略，并对“紧急处理”“限时领取”等话术保持怀疑。

新型钓鱼利用PDF与Dropbox：借“可信载体”绕过过滤并引导至仿冒页面

据媒体报道，新近观察到一类钓鱼活动，其将PDF文件与Dropbox等常用云存储服务结合使用，以提高邮件到达率并降低收件人警惕。攻击者经常通过看似与业务相关的邮件投递PDF附件或PDF链接，文件内容以“发票、合同、共享文档、语音消息通知”等场景包装，并在PDF中嵌入跳转链接，将受害者引导至托管在云平台或中转页面的登录入口，进一步窃取企业邮箱与云办公账户凭据。由于PDF在企业环境中流通广泛且云盘域名信誉较高，传统基于域名与关键词的拦截更易被绕过；一旦凭据被盗，可能引发邮箱接管、横向扩散、商业邮件欺诈（BEC）及数据泄露。

建议对来自外部的PDF启用安全预览与链接重写/沙箱检测，限制PDF内可点击链接的直接放行策略；员工侧重点核验发件人、业务上下文与跳转域名，优先通过官方入口登录而非点击文件内链接；管理员侧应启用MFA、异常登录告警、条件访问与OAuth应用审计，并加强对Dropbox等第三方存储访问日志的监控与响应演练。

纽约州一县因钓鱼事件损失逾330万美元后拟强化员工用机与反钓鱼政策

据GovTech转载报道，美国纽约州沃伦县在2025年12月遭遇一起钓鱼相关事件，初步造成超过330万美元损失。事件发生后，县政府推动制定更加全面的员工计算机使用政策，内容将覆盖账号与邮件使用规范、对可疑信息的处置流程以及与钓鱼风险紧密相关的培训与合规要求。报道指向的治理思路是将“技术控制+制度约束+人员意识”结合：在政府部门大量依赖电子邮件与在线审批的背景下，钓鱼一旦得手可能触发资金误转、敏感数据泄露与业务中断，并产生后续追偿、审计与公众信任成本。拟议政策的意义在于把日常行为边界写入制度，提升可执行性与问责一致性。

建议对财务支付与账户变更建立双人复核与带外确认；强制启用MFA与最小权限；对外部邮件加注提示并限制自动转发；部署反钓鱼网关与DMARC/SPF/DKIM；建立“报告可疑邮件”的快速通道并将演练常态化，同时对关键岗位开展更高频、更贴近业务流程的模拟测试与复盘。

仿冒DocuSign与SharePoint的大规模钓鱼波及6100家公司：攻击者滥用Mimecast链接重写建立信任

据报道，安全研究人员监测到一波以金融主题为诱饵的大规模钓鱼活动，攻击者冒充DocuSign与Microsoft SharePoint等文件共享与电子签名服务发送通知邮件，累计投递量超过4万封，波及约6100家公司，重点面向金融行业。事件的关键在于攻击链路大量借助Mimecast链接重写与跳转机制：恶意链接通过mimecastprotect.com等看似“安全网关”相关域名进行重定向，使收件人更容易误判为已被企业邮件安全系统验证，从而点击进入后续的仿冒登录页或信息收集页面。此类“借壳”手法会削弱基于域名信誉的拦截效果，并增加安全团队溯源与阻断难度。

建议企业一方面在邮件安全策略中对重写链接的最终落地域名做更严格的解析与沙箱判定，另一方面加强对DocuSign、SharePoint类通知的二次核验，要求员工通过官方入口查看待签文件或共享内容；同时启用MFA、条件访问与异常地理位置登录告警，并在网关与代理侧记录、关联重定向链路，便于快速封禁与追踪受影响用户。

Flickr应对数据暴露事件并提醒用户防范钓鱼：攻击者或借通知进行二次欺诈

据安全媒体报道，图片分享平台Flickr正在处置一起数据暴露相关事件，并提醒用户警惕借机出现的钓鱼与欺诈信息。此类事件中，攻击者常利用用户对“账号异常、需要验证、密码重置、赔付通知”等官方信息的关注度，伪造邮件或站内消息引导用户点击链接登录，从而窃取凭据或诱导绑定恶意应用；即便平台已着手限制暴露面并开展修复，后续的“二次钓鱼”仍可能在一段时间内持续。

建议仅通过浏览器手动输入官方网址或使用官方App进入账户中心处理安全事项，不通过邮件链接直接登录；检查近期登录记录与已授权应用，及时更换与其他网站复用的密码并启用MFA；对声称来自客服的来电或私信保持怀疑，避免提供验证码、恢复码等敏感信息。对组织侧的处置要点通过清晰、单一渠道发布公告以减少信息混淆；对外发邮件启用DMARC并加强品牌仿冒监测；对异常登录与批量凭据验证行为进行速率限制与风险评分，以降低后续撞库与接管风险。

网络犯罪分子滥用Google Firebase开发者账号发送钓鱼邮件以绕过过滤

据报道，研究人员观察到新一波钓鱼活动在投递基础设施上“借用”Google的Firebase生态：攻击者注册免费的Firebase开发者账号，利用其托管与邮件相关能力分发钓鱼内容或发送欺诈邮件。由于邮件或链接来自firebaseapp.com等与Google基础设施相关的子域名，域名信誉度较高，更容易绕过传统黑名单与部分网关策略，直接进入收件箱。报道指出，这类活动往往利用“恐惧与紧迫感”等心理诱导受害者点击并在仿冒页面输入企业邮箱、云服务或支付信息。企业凭据一旦泄露，攻击者可进行邮箱接管、OAuth滥用、横向移动，甚至发起商业邮件欺诈。

建议安全团队在检测规则中纳入“可信云域名被滥用”情景，对邮件中的最终跳转落地页进行动态分析；对来自云托管平台的外部登录页启用更严格的URL重写与隔离打开；用户侧坚持通过收藏夹或手动输入官方域名登录，不因域名“看起来正规”而放松警惕；同时强制启用MFA、条件访问与异常登录告警，以降低凭据被盗后的可利用性。

DEAD#VAX恶意活动利用IPFS托管VHD钓鱼投递AsyncRAT，结合内存注入规避落盘检测

据研究人员披露并经媒体报道，名为DEAD#VAX的新恶意活动展示了较强的隐蔽性与对系统“合法功能”的滥用：攻击链通过钓鱼文件引导受害者获取托管在IPFS上的VHD虚拟硬盘镜像，并配合高度脚本混淆、运行时解密与将shellcode注入受信任Windows进程等手段，在不将解密后的可执行文件直接落盘的情况下部署AsyncRAT远控木马。AsyncRAT作为开源RAT，可为攻击者提供对受害终端的广泛控制能力，包括监视、数据窃取与后续载荷投递，从而带来凭据泄露、业务数据外传与横向渗透等风险。该案例反映出攻击者正在利用分布式内容寻址存储与容器化文件格式增加溯源和拦截难度。

建议限制VHD等镜像文件的下载与挂载策略，强化对脚本解释器与可疑进程注入行为的EDR告警；对来自邮件与外部渠道的文件启用隔离执行与沙箱分析；加强对IPFS相关网络行为与非常规域名解析的监控；并通过最小权限、应用程序控制与宏/脚本策略收紧执行面，降低“无落盘”链路的成功率。

苹果用户遭遇“协调式”Apple Pay钓鱼：多渠道冒充与话术驱动的账号与支付欺诈风险上升

据媒体报道，一场针对苹果用户的Apple Pay相关钓鱼正在以更“协调”的方式推进，攻击者通过伪装成Apple或支付相关通知，在短信、邮件或网页等渠道制造账户异常、交易失败、需要验证身份等紧迫情境，诱导用户点击链接并输入Apple账户凭据、支付信息或一次性验证码。此类攻击的核心并非利用系统漏洞，而是利用品牌信任与用户对支付提醒的敏感度；一旦凭据或验证码被套取，可能导致Apple ID被接管、设备被绑定、支付工具被滥用，进而引发财务损失与个人数据泄露。

建议对任何“需要立即验证Apple Pay/Apple ID”的链接保持警惕，优先在设备设置或官方App内进入账户中心核验；开启双重认证并妥善保管受信任设备与恢复信息；检查是否存在异常设备登录、陌生的支付卡绑定或可疑交易记录，及时联系发卡行与官方支持渠道处理；企业与家庭场景可通过移动设备管理与DNS/内容过滤降低仿冒站点触达率，并对高风险短信与来电进行拦截与标记。

Cofense报告：AI驱动钓鱼进入高频时代，攻击生成与变体迭代速度显著提升

据Cofense威胁情报报告显示，AI正在成为现代钓鱼行动的“核心基础设施”，推动攻击在速度、规模与迷惑性上同步升级。报告称，2025年观察到的恶意邮件攻击频率高达每19秒一次，相比2024年的每42秒一次显著加快，反映出钓鱼从阶段性风险演变为持续、可自适应的威胁。研究观点认为，攻击者利用生成式AI批量生成更贴合语境的邮件内容与多语言版本，自动化测试绕过策略，并根据受害者设备与环境动态调整钓鱼页面，从而制造大量“看似不同、实则同源”的变体以对抗基于特征的检测。对组织而言，风险不仅是凭据泄露，还包括商业邮件欺诈、恶意OAuth授权与后续入侵链条的加速。

建议企业提升以行为与上下文为中心的检测能力，强化邮件身份验证（DMARC/SPF/DKIM）与链接隔离，推动MFA与条件访问覆盖关键系统；同时通过持续的反钓鱼演练与流程化上报机制缩短发现时间，并将高风险岗位的验证与审批改为带外确认，降低“高仿真话术”带来的误判概率。

黑客滥用Google Cloud服务发送“可信”钓鱼邮件

据Fox News报道，网络犯罪分子正大规模滥用Google Cloud等合法云基础设施发送网络钓鱼邮件，利用其高信誉域名绕过垃圾邮件过滤器。攻击者通过在Google Cloud上托管恶意内容或利用Google Docs、Drive的分享通知功能，生成看似来自Google官方的合法通知邮件。由于发件人地址或链接指向google.com子域名，许多传统安全网关将其标记为“安全”。这种“寄生”攻击策略使得钓鱼邮件能够直达用户收件箱。受害者点击链接后，通常会被重定向至伪造的Microsoft 365或银行登录页面。报道指出，尽管Google已采取措施打击此类滥用，但攻击者的自动化生成速度往往快于封禁速度。安全专家建议，组织不应仅依赖域名信誉进行过滤，而应部署基于内容的深度分析工具，并教育员工即使面对来自“trusted”域名的邮件，也要仔细核实上下文及请求的合理性。

浏览器（BitB）战术被广泛用于窃取Facebook凭证

据SC Media报道，在针对社交媒体用户的凭证窃取活动中，“浏览器内浏览器”（BitB）战术的使用率显著攀升，尤其是针对Facebook账户的攻击。与传统钓鱼网站不同，BitB攻击在网页中渲染一个假的弹出窗口，完美复制了Facebook的OAuth登录界面，甚至包括正确的URL地址栏显示。由于该地址栏是伪造的HTML元素而非真实的浏览器UI，用户无法通过检查URL发现异常。这种攻击通常始于恶意链接或被挂马的网站，诱导用户使用Facebook账号登录以获取“独家内容”或“参与抽奖”。一旦输入，凭证即被发送至攻击者服务器。鉴于视觉识别极为困难，安全专家重申了使用密码管理器（自动填充功能通常不会在假窗口生效）和FIDO2硬件密钥的重要性，并建议用户在输入密码前尝试将弹出窗口拖离主浏览器窗口以验真伪。

攻击者利用“绩效评估”焦虑传播恶意软件

SC Media报道，网络犯罪分子正在利用员工对年终或季度“绩效评估”的焦虑心理，发起针对性的网络钓鱼活动。攻击者伪装成企业HR或高管，发送题为“2025年度绩效评估结果”“薪资调整通知”或“紧急：需确认绩效反馈”的邮件。邮件中通常包含一个恶意链接或带有宏病毒的Excel/PDF附件。鉴于绩效评估直接关系到奖金与职位，员工往往会第一时间点击查看，从而忽略了安全警示。一旦下载附件或点击链接，设备可能感染勒索软件或窃密木马。此类攻击在每年1月尤为高发。安全专家建议企业人力部门在发送此类敏感文件时使用内部专用门户而非直接通过邮件附件，并提前通知员工正规的沟通渠道，同时加强针对此类社会工程学剧本的模拟演练。

诈骗者在LinkedIn发布虚假“账户受限”评论进行钓鱼

Malwarebytes实验室于2026年1月发出警告，发现LinkedIn平台上出现一种新型网络钓鱼手段。诈骗者不再仅依赖私信（InMail），而是利用自动化脚本在大量用户的公开帖子下发布评论，声称“您的账户已被限制”或“检测到异常活动，请立即验证”，并附带一个缩短的恶意链接。这种攻击利用用户对公开评论通知的关注度及对账户状态的紧张心理。链接指向伪造的LinkedIn登录页面或客服支持聊天窗口，旨在窃取账号凭证或诱导用户下载远程控制软件。由于评论出现在合法内容的下方，具有一定的迷惑性。Malwarebytes建议用户警惕任何在评论区要求进行账户操作的信息，LinkedIn官方绝不会通过帖子评论来通知账户安全问题；遇到此类评论应直接举报并删除。

Microsoft：复杂邮件路由与防伪配置缺陷被滥用，内部域名钓鱼风险上升

Microsoft威胁情报团队在2026年1月发布分析称，攻击者正系统性利用邮件路由场景与域名伪造防护配置错误，在未真正掌控组织域名的情况下发送看似来自内部的钓鱼邮件。相关攻击以多个phishing-as-a-service平台为投递基础，包括Tycoon 2FA等，常见诱饵主题包括语音邮件通知、共享文档、工资单更新和多因素认证验证提示等。报告指出，一些组织在复杂转发、第三方邮件中继及多租户环境中，对SPF、DKIM、DMARC的配置不一致或漏配，导致验证结果在跨系统转发时出现“软失败”甚至被绕过，使攻击者能够借助合法邮件服务实现“内部发件人”投递效果。这类邮件在用户界面上显示为来自公司域名或可信业务系统，提高了点击率和凭据窃取成功率。

建议组织梳理全部邮件流向，确保所有出站路径均正确配置SPF记录与DKIM签名，并对高价值域名启用强制执行的DMARC策略；同时利用Microsoft Defender for Office 365等安全产品启用基于行为的异常检测，对异常路由来源、可疑2FA诱饵与登录页面实施拦截。企业还应加强员工培训，强调内部通知也可能遭伪造，遇到账号验证、密码重置或2FA失效等邮件时，应优先通过官方门户或自助服务入口核实，而非直接点击邮件中的链接。

攻击者滥用Google Tasks与云应用基础设施，大规模发起看似官方来源的钓鱼攻击

Cyber Press与Security Affairs等安全媒体披露，2025年12月超过3000家组织遭遇一轮利用Google正规应用基础设施的复杂钓鱼活动。攻击者通过Google Tasks通知以及其他Google Cloud应用集成机制，从官方发件地址 noreply-application-integration@google.com向目标发送邮件，诱导收件人点击任务通知或系统提醒中的链接，访问精心伪造的登录页面或授权界面，以窃取企业用户账户凭据和多因素认证信息。由于邮件由Google合法基础设施发出，且成功通过SPF、DKIM、DMARC等身份验证，大部分企业网关与过滤系统将其视为可信流量，难以及时拦截。此次活动主要针对制造业及其他依赖云协作环境的行业，显示出攻击者正从传统的域名伪造与被攻陷服务器转向“平台即攻击面”的策略。在官方回应中，Google表示已对相关滥用行为展开调查并采取封堵措施，同时提醒企业管理员加强对第三方应用授权与OAuth权限的审查。

建议组织应在安全网关上引入对邮件内容语义、链接跳转路径与登录行为的深度检测，而不单纯依赖域名与发件人信誉；同时通过条件访问策略限制高风险地区与异常设备的登录，对新增设备和敏感操作启用额外验证，并定期对员工开展“看似来自Google的通知也可能是钓鱼”的主题培训，以降低误信风险。

WordPress管理员遭遇伪造域名续费钓鱼，银行卡与短信验证码被引流至Telegram

SC Media报道，一项针对WordPress管理员的新型钓鱼活动近期被独立安全研究员Anurag Gawande披露。攻击者通过看似正规、语气紧迫的域名续费提醒邮件，声称某WordPress相关域名即将过期，要求收件人立即点击邮件中的按钮完成续费操作。该按钮实则指向伪造的WordPress支付界面，页面外观高度仿真，受害者在其中输入的信用卡信息会被实时转发至攻击者控制的Telegram频道。更具隐蔽性的是，完成支付后页面还会显示伪造的3D Secure验证窗口，反复提示验证失败并多次索取短信一次性密码（OTP），从而收集多个验证码，同样通过Telegram加密渠道传送给攻击者。研究指出，利用Telegram作为数据外传管道，不仅降低了攻击者自建基础设施的成本，还借助平台的加密与广泛使用提升隐蔽性。

建议域名续费、主机付款等敏感操作应通过浏览器手工输入服务商官网地址或使用已保存书签完成，而非依赖邮件中的链接；管理员可在域名注册商后台启用自动续费与独立的消费提醒机制，并对财务相关账户启用强口令与多因素认证。组织还应在安全意识培训中加入“假续费”“假发票”场景，特别是对负责网站与域名管理的人员进行针对性教育，以降低财务损失和账号被劫持风险。

2025Q4品牌冒充榜：Microsoft成最常被钓鱼仿冒品牌，Facebook与Roblox紧随其后

根据SC Media援引的Guardio Labs与Cybernews最新统计，2025年第四季度，Microsoft超越Facebook成为全球钓鱼攻击中被冒充次数最多的品牌。攻击者广泛伪造Microsoft登录门户、Microsoft 365订阅续费页面以及安全警报邮件，诱导用户在假冒页面中输入企业账号与密码，以获取对邮件、云文档与协作平台的访问权限。尽管被挤至第二名，Facebook仍持续被用作假安全通知与帐号恢复提醒的主题，攻击者通过“违反社区规则”“需要立即验证身份”等说法制造紧迫感，诱导受害者点击链接并输入社交账号凭据。值得关注的是，深受青少年欢迎的游戏平台Roblox名列第三，攻击者利用其庞大的年轻用户群体，推出虚假赠品、免费Robux礼包与假客服支持站点，在所谓“验证”过程中窃取密码与支付信息，家长在尝试为子女充值或处理账号问题时尤易受骗。安全专家指出，品牌冒充排名的变化反映出攻击者正追逐覆盖面广、账号价值高的平台，以最大化凭据窃取后的变现空间。组织与个人用户应对涉及Microsoft、Facebook、Roblox等热门品牌的安全通知保持警惕，优先通过官方应用或直接输入网址进行核实，避免依赖邮件或消息中的链接；企业可在安全培训中加入当前最常被仿冒品牌的案例，以提升员工对典型界面与钓鱼特征的敏感度。

TechRadar：伪装内部通知的新型钓鱼活动令人防不胜防

TechRadar Pro报道，一类新型钓鱼活动正通过伪装成企业内部消息或协作系统通知的方式，提高成功率并躲避传统过滤。尽管原文页面抓取失败，但结合微软、CSO等近期研究可见，这类攻击往往借助配置不当的邮件路由、第三方网关或被滥用的云服务，使邮件在技术验证上看似来自企业自有域名或可信业务系统。攻击内容通常围绕内部主题展开，如“新考勤制度通知”“内部薪酬调整说明”“共享文档查看请求”或“安全团队紧急公告”，并常附带需要立即操作的链接或附件。员工因误以为邮件来自HR、IT或直属管理者而降低警惕，增加了点击恶意链接与输入凭据的可能。报道指出，攻击者有时还会复用在社交媒体或数据泄露中获取的信息，定制收件人姓名、部门、项目名称等细节，进一步增强可信度。

建议企业在加强邮件身份验证配置的同时，应通过安全培训改变员工对“寄件人显示名”和表面抬头的过度信任，鼓励在涉及账号、薪酬或合规事项的邮件中通过独立渠道复核；技术上可引入“外部邮件”标记、内部域名异常检测与对高风险主题的额外警告提示。在协作平台与公告系统中保持统一的沟通渠道与模板，也可帮助员工识别异常格式或来源的“伪内部消息”，降低类似攻击的得逞机会。

供稿：北京中科易安科技有限公司（公共互联网反网络钓鱼成员单位）

编辑：芦笛（公共互联网反网络钓鱼工作组）