2025年，釣魚攻擊仍是企業(yè)面臨的主要安全威脅。隨著攻擊者更多采用基于身份認(rèn)證的技術(shù)而非軟件漏洞利用，釣魚攻擊的危害性甚至超過以往。

攻擊者正轉(zhuǎn)向基于身份的攻擊手段，釣魚與憑證竊?。ㄡ烎~的副產(chǎn)品）已成為數(shù)據(jù)泄露的主因。數(shù)據(jù)來源：Verizon DBIR

通過登錄受害者賬戶，釣魚攻擊能實現(xiàn)與傳統(tǒng)終端或網(wǎng)絡(luò)攻擊相同的目標(biāo)。隨著企業(yè)使用數(shù)百款互聯(lián)網(wǎng)應(yīng)用，可被釣魚或憑證竊取攻擊的賬戶范圍呈指數(shù)級增長。

如今，繞過多因素認(rèn)證（MFA）的釣魚工具包已成常態(tài)，能夠攻破SMS、OTP和推送驗證保護(hù)的賬戶。當(dāng)預(yù)防措施失效時，檢測系統(tǒng)正承受持續(xù)壓力。

一、攻擊者如何繞過檢測機(jī)制

現(xiàn)有釣魚檢測主要集中于電子郵件和網(wǎng)絡(luò)層，通常部署在安全郵件網(wǎng)關(guān)（SEG）或安全Web網(wǎng)關(guān)（SWG）/代理設(shè)備。但攻擊者通過以下方式規(guī)避檢測：

• 動態(tài)更換基礎(chǔ)設(shè)施：定期輪換IP、域名和URL等可被特征識別的元素
• 反分析設(shè)計：在釣魚頁面部署驗證碼（CAPTCHA）或Cloudflare Turnstile等機(jī)器人檢測機(jī)制
• 頁面元素混淆：修改視覺與DOM元素使檢測簽名失效

Cloudflare Turnstile等機(jī)器人驗證可有效規(guī)避沙箱分析工具

攻擊者還通過跨渠道攻擊完全避開郵件檢測。例如近期案例顯示，冒充Onfido的攻擊者通過惡意谷歌廣告（惡意廣告）實施釣魚，全程未使用電子郵件。

攻擊者通過即時通訊、社交媒體、惡意廣告及可信應(yīng)用消息繞過郵件檢測

需指出郵件方案的局限性：雖然能檢測發(fā)件人信譽(yù)和DMARC/DKIM等，但無法識別惡意頁面內(nèi)容?，F(xiàn)代郵件方案雖能深度分析郵件正文，卻難以識別釣魚網(wǎng)站本身，更無法防御跨媒介攻擊。

二、瀏覽器端檢測如何扭轉(zhuǎn)戰(zhàn)局

絕大多數(shù)釣魚攻擊通過惡意鏈接誘導(dǎo)用戶訪問偽造登錄頁面。這些攻擊完全發(fā)生在瀏覽器環(huán)境中，因此相較于外部的郵件或網(wǎng)絡(luò)檢測，在瀏覽器內(nèi)部構(gòu)建檢測響應(yīng)能力具有顯著優(yōu)勢。

這類似于終端安全的發(fā)展歷程：當(dāng)2000年代末期終端攻擊激增時，基于網(wǎng)絡(luò)的檢測、文件特征分析和沙箱運行等傳統(tǒng)手段逐漸被終端檢測與響應(yīng)（EDR）取代，后者實現(xiàn)了對惡意軟件的實時觀測與攔截。

EDR通過在操作系統(tǒng)層實現(xiàn)實時檢測，擺脫了對終端流量的依賴

當(dāng)前我們面臨相似局面：現(xiàn)代釣魚攻擊發(fā)生在瀏覽器訪問的網(wǎng)頁上，而依賴郵件、網(wǎng)絡(luò)甚至終端的安全工具缺乏必要可見性——它們始終在從外向內(nèi)觀察。

現(xiàn)有釣魚檢測無法實時觀測和阻止惡意活動

三、瀏覽器防御的三大核心優(yōu)勢

1. 分析頁面而非鏈接

傳統(tǒng)檢測依賴鏈接或靜態(tài)HTML分析，而現(xiàn)代釣魚頁面是動態(tài)Web應(yīng)用，通過JavaScript實時渲染惡意內(nèi)容。攻擊者還采用以下手段：

• 批量購買域名并動態(tài)輪換鏈接
• 使用一次性魔法鏈接（Magic Link）
• 劫持合法域名

基于瀏覽器可完整觀測渲染后的頁面，實現(xiàn)對惡意元素的深度識別。

2. 檢測TTP而非IoC

即便采用戰(zhàn)術(shù)、技術(shù)與程序（TTP）檢測，傳統(tǒng)方案也依賴網(wǎng)絡(luò)請求拼湊或沙箱加載。但攻擊者通過以下方式規(guī)避：

• 要求用戶交互（如驗證碼）
• 混淆視覺與DOM元素
• 設(shè)置特定URL參數(shù)和頭部

瀏覽器方案提供更全面的可見性：

• 完整解密的HTTP流量
• 全鏈路用戶交互追蹤
• 執(zhí)行各層的深度檢查
• 瀏覽器API數(shù)據(jù)關(guān)聯(lián)

瀏覽器環(huán)境支持構(gòu)建基于TTP的高效控制措施

3. 實時攔截而非事后追溯

非瀏覽器方案基本無法實現(xiàn)實時檢測。代理方案雖能通過網(wǎng)絡(luò)流量分析發(fā)現(xiàn)惡意行為，但因TLS加密后的流量重構(gòu)困難，通常存在延遲且不可靠。

而瀏覽器內(nèi)檢測能：

• 實時觀測用戶所見頁面
• 在危害發(fā)生前攔截攻擊
• 將防御重心轉(zhuǎn)向事前阻斷

四、瀏覽器：釣魚防御的未來方向

Push Security的瀏覽器身份安全方案能在攻擊發(fā)生時實時攔截，其優(yōu)勢包括：

• 密碼復(fù)用檢測：識別用戶向釣魚網(wǎng)站輸入曾用于其他站點的密碼
• 頁面克隆識別：比對已指紋化的合法登錄頁面
• 釣魚工具包探測：檢測頁面運行的惡意代碼

Push在瀏覽器內(nèi)檢測到釣魚頁面時立即阻止用戶訪問

該方案還能防御憑證填充、密碼噴灑和會話劫持等攻擊，并幫助企業(yè)發(fā)現(xiàn)以下身份安全漏洞：幽靈賬戶、SSO覆蓋缺口、MFA配置缺失、弱密碼/泄露密碼/密碼復(fù)用、高風(fēng)險OAuth集成等。