2025年第一季度,网络犯罪分子开始全面回归“低技术、高欺骗”的钓鱼手段,借助回电钓鱼(callback phishing)、SVG伪装等方式,绕过越来越精密的邮件扫描系统,成功上钩的受害者不断增加。
根据 VIPRE Security 最新发布的安全趋势报告,回电钓鱼在今年一季度已占所有钓鱼攻击的 16%,而此前主流的恶意链接类钓鱼方式则大幅下降了 42%。回电钓鱼通过发送无链接、无附件的普通邮件,引导用户拨打看似合法的电话,进而在通话中套取敏感信息或诱导安装恶意软件,成功避开了传统反病毒引擎和邮件网关。
与此同时,攻击者的附件策略也发生了变化。SVG 文件正迅速成为继 PDF 之后最常被用于钓鱼的文件类型(占比 34%),相比之下 HTML 附件的使用量大幅下降至 12%。攻击者通过 SVG 中的 <script> 标签植入恶意跳转代码,一旦用户点击,即被重定向至钓鱼页面。
在恶意软件传播方面,XRed 后门程序在 Q1 攻击数量上遥遥领先,是排名第二的 Lumma 的三倍。其他活跃家族包括 StealC、AgentTesla 和 Redline,均以信息窃取为主。
报告还指出,**商业邮件诈骗(BEC)**在所有诈骗邮件中占比 37%,其中 73% 假冒对象为 CEO 或其他高管。制造业继续成为攻击者的重点目标,占攻击量的 36%,远高于零售业和金融业的 15%。
VIPRE 首席产品与技术官 Usman Choudhary 表示:“我们正目睹一种明显的转变:攻击者开始放弃复杂技术,转而专注于‘人性’漏洞。这对现有邮件防护体系提出了严峻挑战。”
这场“回归基本功”的钓鱼攻势表明,未来的邮件安全不仅要依赖技术手段,更需要提高员工的警觉性与判断力。
来源:安全圈
71% 的新员工会在 3 个月内点击钓鱼邮件
发布日期:2025-06-27
领取优惠
提交成功!