别怪技术不够硬,网络钓鱼拿捏的就是“人性漏洞”
别怪技术不够硬,网络钓鱼拿捏的就是“人性漏洞”
安小圈 2025-04-28 00:45
安小圈
第655期
数据安全 · 勒索软件
网络钓鱼依旧是重要的网络安全威胁,即便受过良好教育、具备专业网络安全人员也难以幸免。钓鱼攻击早已摆脱最初粗糙的垃圾邮件形态,转而走向高度个性化与精细化,足以欺骗世界各地的企业用户。其成功原因不仅在于安全意识不足,更在于攻击者借助社工手法,利用人在压力下的思维与行为模式。
IBM《2023 年数据泄露成本报告》显示,网络钓鱼是全球第二大数据泄露成因,约占 16%,每起事件平均损失 476 万美元。这再次表明:若人的行为仍易被操纵,仅靠技术防护远远不够。
01
网络钓鱼“社工四板斧”
与侧重技术漏洞的攻击不同,钓鱼更专注于情绪和认知偏差。攻击者常用“紧迫”“权威”“熟悉”“恐惧”
等手段,在受害者忙碌或分心时操控其决策。
Pivit Strategy 指出,钓鱼邮件通常模拟相关场景,例如伪造的密码重置通知、假冒快递确认或内部人事邮件,目的在于诱使收件人反射式点击,而来不及核实真伪。
钓鱼深受心理学和经典社工原则启发。黑客常借“权威偏见”——冒充 IT、人事或知名品牌来获取信任;也会制造紧迫或稀缺感,如账户即将冻结、付款逾期;或利用熟悉度,引用受害者已知的机构和同事。
Psychologs指出,许多钓鱼技巧与传统骗局如出一辙:诱导用户在情绪驱动下迅速决策,从而绕过理性思考。
技术层面,钓鱼正越来越依赖数据驱动。TechSplicer 指出,攻击者会收集 LinkedIn、公司官网等公开资料,以增加邮件的可信度和针对性。
即便经验丰富的专业人士也会中招,并非智力不足,而是高负荷、多任务或情绪压力使其无法细致审查每封邮件。2022 年 Verizon 报告同样发现,钓鱼是社工攻击的首要途径,权限越高、数据访问越大的员工风险越高。
02
钓鱼攻击的模拟演练
墨尔本安全公司 Borderless CS 的钓鱼模拟演练表明,包括高层在内的员工在忙碌或高压时更易被贴合情境的钓鱼邮件骗到。
核心教训是:识别钓鱼的能力并不取决于技术水平,而是受注意力、环境和时机影响。正如报告总结:“易受钓鱼影响并非技术不行,而是当下注意力与情境所致。”
许多企业仍沿用一年一次的静态安全培训。专家提醒,除非培训频繁且贴近真实高压场景,否则难以改变实际行为。
最佳做法趋向于动态、结合心理学的培训:包括持续的钓鱼模拟、探讨情绪与认知反应的研讨,以及营造员工可放心上报可疑邮件、不担责的文化。Borderless CS 在客户项目中纳入行为训练,目标是“让员工识破操纵,而不仅仅是背诵警示信号”。
03
AI时代的最佳防御
随着 AI 生成邮件、语音仿冒和深度伪造兴起,钓鱼复杂度将持续提升。虽然垃圾过滤、多因素认证等技术依旧重要,但技术手段无法堵住所有漏洞。
真正有效的防御,需要以人为中心的行为改变和共同责任。
正如文中所述:“最关键的防线是通过行为改变建立的安全意识。首先要认识到任何人都可能被操纵,网络安全是一份共同责任,而非 IT 部门的独角戏。”
网络钓鱼屡屡得手,并非因为大众缺乏技术知识,而是因为人类天生易受情绪和情境影响——这正是攻击者所赌的那张牌。
- 本文为闫志坤编译,原文地址:
https://securitybrief.asia/story/phishing-attacks-thrive-on-human-behaviour-not-lack-of-skill
注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
END
【
原文来源: 数世咨询】
– 为什么【驻场】网络安全服务已成为大多数网络安全厂商乙方不愿再触碰的逆鳞?
-
网络安全【重保】| 实战指南:企业如何应对国家级护网行动?
– 虚拟机逃逸!VMware【高危漏洞】正被积极利用,国内公网暴露面最大****
*- *用Deepseek实现Web渗透自动化
– 【风险】DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理!
*- *关于各大网安厂商推广「DeepSeek一体机」现象的深度分析
– AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿),附下载