钓鱼邮件热点报告（2025.05月度）

本报告由MailSec Lab（网际思安旗下麦赛邮件安全实验室）定期发布，本期主要分享2025年5月份Top 10（数量排名前十）的热点钓鱼邮件样本，旨在提醒大家提高钓鱼邮件防范意识！

Top 10 钓鱼邮件主题（2025.05）

排序	钓鱼邮件主题	占比
1	关于员工个人基本信息补充通知！	26.1%
2	员工住房津贴申领通知	25.6%
3	关于员工《薪资调整》通知！【该主题已连续三个月上榜，且均在TOP5】	23.1%
4	2025公司最新奖惩制度！	21.5%
5	关于员工缴纳社保的通知	2.3%
6	办公室分享文件给您！【相似主题包括：来自办公室送达的文件】	0.41%
7	异地登录提醒【相似主题包括：关于邮箱登录异常的提醒及账户安全验证通知 \| 系统检测到一项新的登录活动】	0.40%
8	【异常提醒】您的邮箱需要身份验证【相似主题包括：账号安全提醒：请及时检查设置】	0.31%
9	网络安全通知【相似主题包括：网络安全中心通知】	0.29%
10	待办事项处理【相似主题包括：待办事项通知 \| 待办事项提醒】	0.076%

特别提醒

近日，MailSec Lab监测到大量以“员工住房津贴申领”、“税务补贴通知”、“工资明细调整”等为主题的钓鱼邮件攻击，经分析确认，这些邮件均为银狐病毒（SilverFox）的最新变种，MailSec Lab对银狐病毒做了详细深度的剖析，具体内容参考微信文章 “”。

下面我们对2025年5月的TOP 10钓鱼邮件做详细的样本分析与说明：

关于员工个人基本信息补充通知！

本主题在5月内所有钓鱼邮件中总体占比高达26.1%，该类邮件假借内部人事部门通知名义，将含有木马病毒的钓鱼软件内嵌在“公司员工个人信息补充表格”的rar压缩文件中，员工收到此类邮件很容易轻信邮件内容，会下载附件并解压rar文件。

该压缩附件包含的.exe文件，大部分电脑安装的病毒查杀工具均可识别木马并报警查杀。

【在此也要提醒大家切勿打开来源不明的压缩文件及里面的可执行程序（.exe等），有些恶意程序还未被杀毒软件收录，即使我们电脑已安装杀毒软件，也要对这类.exe的可疑恶意程序重点提防，宁可不要点击。】

员工住房津贴申领通知

该主题邮件假借公司内部管理部门名义，将钓鱼木马病毒嵌入到.rar的压缩文件邮件附件中，诱导用户下载后点击运行。为了防止邮件安全网关等专业设备的安全检测，该附件采用带密加密附件方式，将查阅密码显示在邮件正文中。

特别提醒

经MailSec Lab对“员工住房津贴申领通知.exe”进行安全分析，发现该附件被植入银狐木马病毒。攻击者为躲避安全检测，对附件进行了加密。MailSec Lab观察到目前部分银狐木马病毒的变种已经针对国内用户常用的360安全卫士等防护软件，设计了特定的“卸甲”流程。它不仅会尝试强制关闭正在运行的安全软件进程，还会通过修改注册表等手段，试图永久性地禁用其核心防护功能，如实时监控和自我保护，为后续的潜伏和信息窃取活动扫清障碍。

在此提醒大家一定要仔细甄别邮件附件的真实性，不要轻易点击和运行来历不明的邮件附件，尤其是带密码（在邮件正文、邮件附件名中刻意显示解密密码）的加密附件，这种带密加附件通常就是黑客想绕过邮件安全检测设备而故意进行加密，虽然现在专业的邮件安全网关大多已经实现针对带密加密附件进行钓鱼安全检测，但仍然要提醒大家提供安全意识重点防范“银狐病毒”钓鱼邮件。

关于员工《薪资调整》通知！

该主题邮件与03、04月度一样保持在TOP10的第5名，同样多以信息部、人事部等内部通知的名义，邮件正文中没有太多内容，仅带有一个主题为“关于公司员工薪资调整通知”或“关于公司员工《薪资调整》具体详情”的.rar或.zip压缩附件，该附件采用加密压缩方式，在邮件正文中显示文件查看的密码。

通过对该.zip文件进行安全检测，发现其包含恶意木马程序，目前PC上安装的杀毒软件已收录该木马程序，可以进行实时查杀和告警。

【在此提醒大家切勿打开来源不明的.zip、.rar压缩文件，尤其是以薪资调整通知、薪资调整详情等为主题的压缩附件，一定要使用专业杀毒软件对这类文件进行木马病毒查杀。】

2025公司最新奖惩制度！

该主题邮件假借人事部门的名义，采用诱导员工下载关于《2025公司最新奖惩制度》详情的查阅附件。

该类附件含有木马.exe程序，电脑端的病毒查杀软件大多已经收录木马特征并可识别报警。

【虽然电脑端的病毒查杀软件可以安全扫描，但也建议大家不要去对该类附件进行解密解压及运行操作，不要带有好奇和侥幸心理。】

关于员工缴纳社保的通知

该主题邮件假借公司“信息管理部“名义，采用带密加密附件方式。通过对该.rar文件进行安全检测，发现其包含恶意木马程序，目前PC上安装的杀毒软件大多已收录该木马程序，可以进行实时查杀和告警。

【在此提醒大家切勿打开来源不明的.rar压缩文件，尤其是以社保缴纳、薪资调整等通知为主题的压缩附件，一定要使用专业杀毒软件对这类文件进行木马病毒查杀。】

办公室分享文件给您！

该主题邮件成为本月度较为新型、占比较高的钓鱼邮件，其采用云文档二次链接的方式，通常的钓鱼图片是放置在邮件正文或邮件附件中的，这种新型的钓鱼邮件会将钓鱼图片或含有钓鱼图片的文档放置在云盘中，通过邮件正文中“点击查阅原文”以URL链接的方式，诱导员工点击该URL以打开在线的图片或文档，然后就会弹出如下大家熟悉的含二维码的钓鱼页面：

扫描该二维码，会显示如下“在线快速办理审核认证”的页面，这就是典型的钓鱼引导内容。

MailSec Lab对该url进行安全威胁检测，该URL已于2025/5/19收录至威胁情报，含有典型垃圾邮件恶意特征。

【在此提醒大家，目前很多邮件安全检测设备已可以识别并过滤邮件正文、附件中的钓鱼文字及二维码图片、恶意URL链接等威胁内容，但黑客为了绕过这些安全检测，将攻击手法升级为采用在线文档或在线图片方式，即将含有恶意二维码图片或URL链接的图片或文档放置在公共云盘或网盘中，因为网盘或云盘的url对邮件安全网关等检测设备来说，是一个合法的“白”链接；对于这种新型的在线文档类钓鱼邮件，建议选择具有URL深度检测功能的邮件安全网关产品。】

异地登录提醒

与该主题内容相似的同类邮件主题还包括：

“关于邮箱登录异常的提醒及账户安全验证”

“系统检测到一项新的登录活动”

等等

该类主题邮件均仿冒企业内部系统后台，向员工发送“异地登录提醒”类邮件，要求员工尽快进行系统验证，否则账户将停止功能使用。

如果点击“立即验证”，会谈出如下仿冒“异常处理中心”的钓鱼页面；

或如下“邮箱验证中心”钓鱼页面：

【在此提醒大家，此类主题的钓鱼邮件，是导致企业内部邮箱账号密码被盗的最主要途径，大家一定对该类系统验证、邮箱验证的邮件加强警惕，认真查看页面URL网址是否为公司真实网址，主动与企业IT管理员或安全人员确认页面真实性。】

【异常提醒】您的邮箱需要身份验证（重置密码）

该主题邮件与“异常登录提醒”主题邮件有异曲同工之处，会提醒员工“重置密码”；或者以邮件系统迁移新系统需要身份验证为由，让员工“点击验证” ，一旦员工输入邮箱密码，则该邮箱即被黑客盗号接管。

【在此提醒大家对邮箱身份验证、重置密码的系统通知类邮件，一定要加强防范，不要轻信邮件内容，尽量与企业网络安全人员事先进行确认后再行操作。】

网络安全通知

此类邮件与“异地登录提醒”、“异常提醒/身份验证”主题邮件同属一类，其以“网络安全中心”的安全通知口吻，以检测到邮箱存在异常行为，可能已被恶意利用为理由，要求员工立即完成邮箱安全认证。

【在此提醒大家不要轻易相信任何以网络安全通知、异常行为告警为由的钓鱼邮件。】

待办事项处理

该类钓鱼邮件仿冒人事部门，以财政补贴为诱导内容，邮件附件“财政补贴”的docx文档，打开该文档，显示如下典型钓鱼图片：

特别提醒

补贴类钓鱼邮件一直是网络诈骗的重灾区，在钓鱼邮件中长期处于高占比状态，此类钓鱼邮件正文中内嵌精心设计的虚假链接或二维码，仿冒正规的官方网址，诱导用户填写个人身份信息、银行卡号及密码，会直接导致银行账户资金被盗，对个人财产带来严重威胁，所以这类钓鱼邮件是危害最大的。随着人们对这类邮件防范意识的加强，黑客开始借助夹带附件（将图片内置在附件文档中）、转换主题（例如讲补贴等字眼改成上述“代办事项处理”等其他主题），在此提醒大家不要轻易相信任何补贴类钓鱼邮件。

总结：

2025年05月度的钓鱼邮件热点分析重点如下：

1、含银狐木马病毒附件钓鱼邮件居高不下，以带密（邮件正文显示密码）的加密（.rar、.zip）附件的钓鱼邮件为主，主题多以“住房补贴”、“薪资调整”、“缴纳社保”等居多；

2、以“办公文件共享”为主题，以在线文档躲避邮件安全检测的新型钓鱼邮件越来越多；

3、以“异地登录提醒”、“邮箱异常”、“安全通知”等为主题，诱导输入邮箱账号密码的盗号钓鱼邮件需重点防范；

往期推荐: