盤點2025年網(wǎng)絡(luò)釣魚攻擊方式與套路

2025年，網(wǎng)絡(luò)釣魚威脅徹底告別“廣撒網(wǎng)”式的大規(guī)模隨機攻擊，全面邁入“精準打擊”的工業(yè)化獵殺階段。隨著生成式人工智能（Generative AI）、多模態(tài)深度偽造（Deepfake）技術(shù)的成熟，以及這類技術(shù)與供應(yīng)鏈體系的深度綁定，企業(yè)及組織的安全防御邊界正被持續(xù)突破，脆弱性達到前所未有的水平。

下面將結(jié)合行業(yè)權(quán)威報告，對2025年度十大高發(fā)網(wǎng)絡(luò)釣魚套路進行深度拆解，所有案例均源自真實行業(yè)事件，供從業(yè)者參考規(guī)避：

一、AI深度偽造+超個性化情感圍獵

這是2025年破壞性最強的釣魚手段。攻擊者不再局限于靜態(tài)文字詐騙，而是通過采集受害者的音頻片段、社交媒體視頻等素材，實時合成足以以假亂真的虛擬形象，精準突破受害者心理防線。

典型案例：香港曾發(fā)生一起標志性案件，一名財務(wù)人員參與了一場有多位“公司高管”出席的視頻會議后，按會議指令轉(zhuǎn)賬2500萬美元，事后核查發(fā)現(xiàn)，除該財務(wù)人員外，會議中所有參與者均為AI生成的深度偽造形象[1]。

技術(shù)支撐：目前僅需幾秒鐘的語音樣本，就能實現(xiàn)實時音頻克隆，這種擬真度極高的方式，能直接繞過人類的理性判斷，讓人防不勝防。

二、商務(wù)郵件欺詐（BEC）轉(zhuǎn)向供應(yīng)鏈滲透

商務(wù)郵件欺詐已從早年的冒充高管發(fā)郵件詐騙，升級為更隱蔽的供應(yīng)商郵件欺詐，攻擊目標直指企業(yè)供應(yīng)鏈結(jié)算環(huán)節(jié)。

套路特征：攻擊者會先滲透供應(yīng)商的真實郵箱，潛伏數(shù)月之久，詳細研究其發(fā)票格式、付款周期、溝通話術(shù)等細節(jié)，完全模仿真實業(yè)務(wù)場景。

攻擊演進：借助AI技術(shù)修改發(fā)票中的銀行賬戶信息，給出的理由多為“年度審計需要臨時更換結(jié)算賬戶”。由于發(fā)送郵件的地址是真實的，財務(wù)人員僅憑常規(guī)核對，幾乎無法識別真?zhèn)巍?jù)數(shù)據(jù)統(tǒng)計，2025年上半年，供應(yīng)商郵件欺詐攻擊在所有BEC案件中的占比已飆升66%[2]。

三、軟件供應(yīng)鏈釣魚與開源生態(tài)投毒

攻擊者將目標鎖定在GitHub、NPM等開源社區(qū)的維護者，通過釣魚手段竊取其賬號權(quán)限，進而向開源軟件包中植入惡意代碼，實現(xiàn)批量攻擊。

典型案例：2025年9月的NPM平臺攻擊事件中，攻擊者注冊了偽域名npmjs.help，發(fā)送虛假的緊急更新通知，誘騙維護者泄露令牌，最終導(dǎo)致27個核心軟件包被植入針對加密貨幣轉(zhuǎn)賬的惡意代碼，影響范圍覆蓋數(shù)百萬用戶[3]。

技術(shù)支撐：攻擊者利用萊文斯坦距離（Levenshtein distance）計算視覺相似域名，在數(shù)十億次軟件下載行為中精準定位目標，悄無聲息竊取資產(chǎn)。

四、跨平臺全渠道滲透

網(wǎng)絡(luò)釣魚早已跳出“郵件附件”的單一模式，實現(xiàn)全渠道覆蓋。調(diào)查數(shù)據(jù)顯示，約三分之一的釣魚攻擊通過LinkedIn、Microsoft Teams、Slack等辦公工具，或社交平臺私信（DM）發(fā)起[3]。

核心套路：攻擊者先在社交平臺養(yǎng)號數(shù)周，模擬真實職場身份建立信任關(guān)系，再發(fā)送看似合法的業(yè)務(wù)鏈接。同時針對移動端優(yōu)化界面，偽造HTTPS鎖頭標志，讓用戶誤以為是安全鏈接，從而點擊中招。

五、二維碼釣魚突破防御邊界

二維碼的便捷性使其被廣泛應(yīng)用，但也掩蓋了底層URL的不可見性，成為攻擊者的新突破口。攻擊者將惡意二維碼嵌入郵件、公共停車場海報、偽造的電費單等場景，誘導(dǎo)用戶掃描。

防御繞過點：傳統(tǒng)的安全郵件網(wǎng)關(guān)大多只能解析文本鏈接，無法識別圖像中二維碼指向的惡意地址，導(dǎo)致這類釣魚郵件的投遞成功率極高，輕易突破企業(yè)前端防御。

六、短信與語音釣魚爆發(fā)式增長

2025年第一季度，語音釣魚攻擊量同比飆升1633%，短信與語音釣魚已成為面向普通用戶和職場人士的高發(fā)攻擊手段[5]。

技術(shù)支撐：攻擊者利用AI撥號器，不僅能克隆目標熟悉的聲音，還能實時分析通話者的語氣、反應(yīng)，生成對應(yīng)的回復(fù)話術(shù)，實現(xiàn)交互式詐騙。

套路核心：借助緊迫感壓迫用戶，常見名義包括快遞丟包、銀行卡凍結(jié)、欠費等，精準抓住民眾的焦慮心理，誘導(dǎo)點擊虛假充值頁面或泄露個人信息。

七、瀏覽器原生利用與ClickFix誘導(dǎo)攻擊

這是一種非典型釣魚模式，攻擊者不依賴外部鏈接或附件，而是偽造瀏覽器原生提示，如：證書過期、文檔顯示異常、插件需要更新等，誘導(dǎo)用戶點擊“修復(fù)”按鈕。

套路核心：用戶點擊“修復(fù)”按鈕后，會觸發(fā)隱藏的惡意腳本，進而誘導(dǎo)通過PowerShell執(zhí)行攻擊代碼。由于全程使用系統(tǒng)合法工具，常規(guī)安全軟件難以攔截，攻擊隱蔽性極強。

八、復(fù)合型社會工程學(xué)：刷單與投資理財場景融合

這類套路在國內(nèi)高發(fā)頻發(fā)，堪稱“詐騙之王”，其核心在于通過場景疊加降低用戶警惕，實現(xiàn)精準收割[5]。

套路升級：已從單一刷單詐騙，演變?yōu)樗?色情誘導(dǎo)、刷單+虛假兼職等復(fù)合模式。攻擊者先通過小額返利建立信任，再結(jié)合金價暴漲、虛擬貨幣熱點等時事，誘導(dǎo)受害者進入虛假理財平臺，最終逐步套取資金，實施循環(huán)收割。

結(jié)語

網(wǎng)絡(luò)釣魚已正式邁入“工業(yè)化精準獵殺”的全新階段，生成式AI、深度偽造等技術(shù)與各類釣魚套路深度綁定、層層升級，攻擊場景無孔不入，其威脅范圍已全面覆蓋企業(yè)核心環(huán)節(jié)與個人日常生活。面對這場無硝煙的安全博弈，企業(yè)亟需筑牢“技術(shù)+管理+意識”三位一體的防御堅盾，唯有主動升級防御能力、筑牢安全防線，才能在層出不窮的釣魚威脅中站穩(wěn)腳跟，切實守護自身與組織的資產(chǎn)安全。

參考及來源：

[1]https://baijiahao.baidu.com/s?id=1799569751510292083&wfr=spider&for=pc

[2]https://hoxhunt.com/blog/business-email-compromise-statistics

[3]https://www.armorcode.com/blog/inside-the-september-2025-npm-supply-chain-attack

[4]https://pushsecurity.com/blog/2025-top-phishing-trends

[5]https://e-bits.com.au/the-2025-phishing-surge/

[6]https://www.mps.gov.cn/n2253534/n2253543/c9077933/content.html