一、釣魚攻擊威脅持續(xù)升級

2025年，釣魚攻擊仍是企業(yè)面臨的重大安全挑戰(zhàn)。隨著攻擊者越來越多地采用基于身份驗證的技術(shù)而非軟件漏洞利用，釣魚攻擊的威脅程度甚至超過以往。如今繞過多因素認證（MFA）的釣魚工具包已成常態(tài)，能夠竊取受短信驗證碼、一次性密碼（OTP）和推送驗證保護的賬戶，在預(yù)防措施失效的情況下，檢測系統(tǒng)承受著持續(xù)壓力。

釣魚檢測的核心困境在于：基于行業(yè)通用的釣魚頁面識別指標（IoC），幾乎每個釣魚攻擊都使用獨特的域名、URL、IP地址、頁面結(jié)構(gòu)、目標應(yīng)用等組合。實質(zhì)上，每次釣魚攻擊都是全新的——甚至可稱之為"零日攻擊"（這說法可能令人倒吸涼氣）。本文目的并非夸大釣魚威脅，而是揭示當前檢測機制的缺陷。如果每次釣魚攻擊都像零日漏洞，說明我們的檢測方法存在根本性問題。

二、釣魚檢測基礎(chǔ)原理

典型釣魚攻擊流程包含三個環(huán)節(jié)：攻擊者向用戶發(fā)送惡意鏈接→用戶點擊加載惡意頁面→該頁面通常是特定網(wǎng)站的登錄門戶，旨在竊取受害者賬戶憑證。當前檢測機制主要依賴由已確認的惡意頁面指標（IoC）組成的黑名單，這些指標包括攻擊中出現(xiàn)的惡意域名、URL和IP地址。

安全廠商通過多種渠道收集IoC數(shù)據(jù)，但前提是該惡意頁面必須已被用于實際攻擊。這意味著需要潛在受害者與之交互——要么上當受騙，要么舉報可疑行為。頁面被標記后，安全人員或自動化工具會進行調(diào)查分析，確認存在惡意內(nèi)容后將其IoC加入黑名單。這些信息隨后通過威脅情報渠道傳播，最終集成到安全郵件網(wǎng)關(guān)（SEG）、安全Web網(wǎng)關(guān)（SWG）等網(wǎng)絡(luò)層防護系統(tǒng)中。

這種機制存在根本缺陷：要檢測攔截釣魚頁面，必須先有受害者遭遇攻擊...

三、攻擊者如何制造"全新"釣魚攻擊

現(xiàn)代攻擊者深諳釣魚檢測的三大弱點：(1)依賴域名/URL/IP黑名單 (2)部署在郵件和網(wǎng)絡(luò)層 (3)需先訪問分析頁面才能攔截。這些十年未變的方法已被攻擊者輕松規(guī)避。

1. 輕松繞過IoC檢測

釣魚域名本身具有高度可棄性：攻擊者批量購買域名、劫持合法網(wǎng)站，并預(yù)設(shè)域名會被封殺?，F(xiàn)代釣魚架構(gòu)還能動態(tài)輪換特征元素——例如從持續(xù)更新的鏈接池分配不同URL給每個點擊者，甚至采用一次性魔法鏈接（使后續(xù)安全調(diào)查無法復(fù)現(xiàn)）。當域名被標記為惡意時，攻擊者只需注冊新域名或入侵受信任的WordPress服務(wù)器即可，這兩種手段目前已被大規(guī)模使用。

2. 多渠道攻擊規(guī)避郵件檢測

攻擊者采用跨平臺組合攻擊規(guī)避郵件檢測：通過即時通訊、社交媒體、惡意廣告或可信應(yīng)用發(fā)送信息。例如先在社交平臺發(fā)送含鏈接的"無害"PDF，最終導(dǎo)向惡意網(wǎng)頁。郵件安全方案雖有發(fā)件人信譽評估和DMARC/DKIM等檢查，但無法直接識別惡意頁面。深度郵件內(nèi)容分析也僅能發(fā)現(xiàn)可疑鏈接，對跨媒介攻擊束手無策。

3. 阻止安全分析的手段

現(xiàn)代釣魚頁面已非靜態(tài)HTML，而是通過JavaScript動態(tài)渲染的Web應(yīng)用，使基礎(chǔ)靜態(tài)檢測失效。為應(yīng)對沙箱分析，攻擊者部署驗證碼或Cloudflare Turnstile等機器人防護。即使突破這些防護，還需提供正確的URL參數(shù)、請求頭并執(zhí)行JavaScript才能觸發(fā)惡意內(nèi)容。此外，攻擊者還混淆視覺和DOM元素以規(guī)避特征檢測。

四、事后檢測模式亟待變革

這些規(guī)避技術(shù)導(dǎo)致實時釣魚檢測幾乎不存在?；诖淼慕鉀Q方案最多能通過用戶交互產(chǎn)生的網(wǎng)絡(luò)流量檢測惡意行為，但由于TLS加密后網(wǎng)絡(luò)請求重構(gòu)的復(fù)雜性，這種檢測存在延遲且不可靠。從頁面被標記到IoC分發(fā)至黑名單，通常需要數(shù)天甚至數(shù)周——這就是為何大多數(shù)釣魚攻擊都能"全新"出現(xiàn)：當前檢測本質(zhì)是事后追溯（post mortem），依賴已知惡意指標。而指標被標記為惡性的前提，恰恰是有用戶已上當...

五、瀏覽器安全：釣魚防御新戰(zhàn)線

終端安全的發(fā)展歷程為我們指明方向：2000年代末期，當終端攻擊激增時，依賴網(wǎng)絡(luò)檢測、文件特征分析和沙箱運行的防御方式，最終被端點檢測與響應(yīng)（EDR）技術(shù)取代。EDR通過實時監(jiān)控操作系統(tǒng)活動實現(xiàn)了有效防護。

當前我們面臨相似轉(zhuǎn)折點：現(xiàn)代釣魚攻擊發(fā)生在瀏覽器訪問的網(wǎng)頁上，而依賴郵件、網(wǎng)絡(luò)甚至終端的檢測工具都缺乏必要能見度。瀏覽器已成為新的操作系統(tǒng)——既是主要工作場景，也是攻擊發(fā)生地。

要實現(xiàn)有效防護，必須能在用戶訪問時實時觀察頁面內(nèi)容（而非沙箱環(huán)境），才能建立基于戰(zhàn)術(shù)技術(shù)流程（TTP）而非易變IoC的檢測體系。

六、瀏覽器擴展防護實戰(zhàn)對比

攻擊者入侵WordPress獲取可信域名后部署釣魚工具包，向員工發(fā)送含惡意鏈接的郵件。傳統(tǒng)SWG或郵件掃描方案在沙箱檢測時，釣魚工具會重定向至無害頁面通過檢查。最終用戶可自由訪問釣魚頁面，輸入憑證和MFA代碼導(dǎo)致賬戶淪陷。

而部署瀏覽器安全擴展后，系統(tǒng)能實時檢測到：用戶輸入的密碼曾用于其他網(wǎng)站（密碼重用或正被釣魚）、頁面克隆自合法登錄頁、頁面運行著釣魚工具包。隨即阻止用戶繼續(xù)交互，從根本上阻斷攻擊。

這種防護機制使攻擊者難以規(guī)避——當用戶無法在釣魚頁面輸入憑證時，攻擊自然失效。