文/本刊记者 陈永杰

2023 年6 月23 日，新加坡网络安全局（CSA）发布的《2022 年新加坡网络全景报告》（以下简称《报告》）中显示，2022 年新加坡网络应急响应小组报告了约8500 起网络钓鱼企图，是2021 年的两倍多。那么什么是网络钓鱼？简单来说，网络钓鱼就是利用虚假身份和欺骗手段，通过网站、语音、短信、邮件、Wi-Fi 等途径，诱导用户泄露用户名、密码、银行账户等个人敏感信息的一种网络攻击方式。

在人工智能（AI）迅速崛起的当下，AI 是否会对网络钓鱼产生影响？成为很多人关注的热点话题。《报告》指出，随着人工智能变得越来越容易获得和先进，威胁行为者可能会利用这种技术进行恶意活动，例如发起高度针对性的鱼叉式网络钓鱼活动。面对这样的发展趋势，高校应如何迎战网络钓鱼攻击？

知己知彼，方能百战不殆

卡巴斯基的一份报告显示，2022 年网络钓鱼的攻击数量超过5 亿次，较2021年翻了一番。而且根据调研，近年来随着互联网的快速发展，网络钓鱼的攻击数量正逐年攀升。在这样的增长态势下，其背后的影响因素引人深思。对此，厦门大学信息与网络中心副主任郑海山认为，主要有下面两个原因：

第一，网络钓鱼对攻击者而言是投资回报率最高的攻击方式之一。随着《中华人民共和国网络安全法》的颁发和推广，我国各个单位的网络安全保障能力不断增强，一些较为简单的安全问题已经大大减少。然而，网络钓鱼往往从网络安全意识最薄弱的人员和环节下手，一旦中招，轻则部分账户名、密码失陷，重则直接突破各个单位的边界防护，获取集权系统权限。

第二，AI 的发展与网络钓鱼数量、质量倍增存在一定联系。研究表明，有相当一部分攻击者在采用类ChatGPT 的生成式人工智能（AIGC）工具来修复以往钓鱼内容的拼写和语法错误。并且在使用AIGC 后，钓鱼内容越来越复杂，个性化程度也越来越高，愈加难以被识别。

具体来说，一方面，AIGC 可以生成逼真的虚假信息，例如伪造电子邮件、社交媒体账号或网站，使其看起来与真实的组织或个人无异，使得网络钓鱼攻击更加难以辨别。另一方面，通过机器学习和自然语言处理技术，攻击者可以自动化生成大量的钓鱼邮件、信息或链接，并根据受害者的个人信息和行为习惯进行个性化定制，提高攻击的成功率。

最常见的网络钓鱼手段就是通过邮件诱骗用户中招，而钓鱼邮件事件一般又可分为三大类：

一是诈骗类，如黑客盗用高校邮箱发送主题为“整改补贴通知”“教职工补贴调整”的钓鱼邮件。邮件正文和附件带有诱导性话语，以骗取目标扫描附件中的二维码；二维码链接页面则伪装成微信登录界面，以骗取手机号和微信密码。

二是窃取敏感信息类，如黑客通过伪造“模拟高校项目邮件”在邮件附件中传播携带病毒程序的钓鱼邮件。邮件正文引导显示发件人名称与邮件主题和邮件正文均有关，具有非常高的伪装度。邮件诱导客户接收附件文件，附件链接压缩包携带病毒感染程序，以此进行病毒传播。

三是定向鱼叉类，如黑客盗用高校邮箱，群发钓鱼邮件给相关高校，通过邮件正文中的诱导性话语，诱骗目标点击链接盗取密码，或诱骗其运行附件，从而控制目标电脑终端，具有很强的欺骗性。

当前，无论是钓鱼邮件还是钓鱼网站、语音、短信等，AI 的发展和应用，无疑会使这些信息更具说服力，从而增加用户被欺骗的风险。而且，随着新兴技术的不断迭代，网络钓鱼的手段还会持续增强。所以，当务之急是尽快探寻出能够有效预防网络钓鱼攻击的动态防护体系。

面向未来，如何防止被钓？

“目前，高校跟其他行业一样，主要面临两种类型的网络钓鱼攻击，一种是广撒网式的攻击，一种是非常有针对性的APT 攻击。”郑海山表示，与其他行业不同的是，高校人员更替比较频繁，每年均有大量的毕业生离校和新生入校，所以网络安全意识培训工作的开展难度较大。厦门大学在应对网络钓鱼上主要开展了这些工作：

一是在邮件系统部署安全网关，识别并拦截钓鱼邮件，推广双因素认证和邮件客户端独立密码设置；二是通过威胁情报，在边界对一些已知的威胁域名和IP 进行拦截过滤；三是提供网络安全意识培训，提高师生员工的网络安全素养；四是提供正版化软件并推广使用，杜绝对Office、PDF、视频、图片等查看或编辑工具的CVE 漏洞利用；五是使用开源平台Gophish 开展常态化反钓鱼邮件演练；六是开展监测与应急响应工作。

郑海山表示，虽然学校做了很多工作，演练结果显示中招率也大大降低，但是网络钓鱼中招依旧不可避免。所以，未来学校还是要从做广、做深、做细上下功夫。具体可遵循以下三点：

首先，万变不离其宗，网络安全素养教育是关键。反网络钓鱼，归根结底是网络安全素养的提高教育。对此，高校先要培养师生识别网络钓鱼的能力，保证普适性的网络安全意识培训，并确保一些掌握较大权限的用户能够抵挡比较高级的钓鱼攻击。在任何情况下，师生都应注意网址链接的正确性，不要随意在不可信网址链接内输入账户名、密码和个人信息，不随意打开可执行文件，包括但不限于.exe（可执行文件）、.scr（屏幕保护程序）、.bat（批处理文件）、.com（命令文件）、.cmd（脚本）、.ps1（Powershell 脚本）、.vbs（VBScript脚本）等。

其次，双向思考，利用好AI 工具。从攻击者角度思考，高校在开展反钓鱼邮件演练时，可以利用AIGC 工具生成钓鱼邮件内容，提高反钓鱼邮件演练的效率和钓鱼邮件的真实性。从防御者角度思考，高校可以借助AI 工具分析网站的内容、域名等特征来检测和识别钓鱼网站，同时还可以分析用户的行为模式和习惯，识别潜在的钓鱼攻击。例如，通过监测用户点击链接的行为、输入敏感信息的习惯等，机器学习算法可以判断是否存在钓鱼行为，并采取相应的防御措施。

最后，变被动为主动。网络安全的本质在对抗，对抗的本质在攻防两端能力较量。除了常态化防守外，学校可以适当考虑一些主动的对抗，比如引入邮件蜜罐系统。对于一些已经明显识别到的网络钓鱼攻击，学校可以主动投放一些诱饵到攻击者系统内，之后密切注意蜜罐信息，将攻击内容、来源IP 等信息串联起来，一旦有诱饵触发了蜜罐，获取来源IP，并对浏览器指纹等信息进行阻断，也可反查溯源日志，识别其他受害者并进行应急响应。

总之，AI 在网络钓鱼领域既是一种威胁，也是一种应对手段。随着技术的不断发展，网络安全领域需要不断创新和加强合作，以保护用户免受网络钓鱼攻击的威胁。