2025年网络钓鱼威胁趋势报告

《2025年网络钓鱼威胁趋势报告》由KnowBe4公司于2025年10月发布，详尽分析了当前网络钓鱼攻击的最新动态与演变趋势。报告开篇即指出，网络威胁 landscape 持续演变，攻击者正采用新策略绕过传统电子邮件防御措施，并转向多通道攻击以加大对目标的压力。该报告基于KnowBe4 Defend集成云电子邮件安全产品生成的数据，旨在提升读者对钓鱼威胁的认识，帮助组织构建更强大的防御体系。

报告首先回顾了2025年最常被仿冒的主题。在一月，人力资源相关主题（如促销、福利与薪酬）在钓鱼邮件中占比33%。二月，情人节相关流量同比2024年增长34.8%。三月，“未读消息”类攻击同比增长18.4%，同时恶意SVG附件增长245%。四月，税务相关攻击同比增长22.9%，主要涉及“税务”、“国税局”和“支付”等术语。五月，攻击者利用合法平台AppSheet冒充Meta发送邮件。六月，15.9%的仿冒攻击提及微软邮箱存储限制，社会工程学攻击数量增长三倍。七月，23.4%的钓鱼攻击仿冒收件人所在公司。八月，攻击者冒充美国公开赛赞助商（如劳力士、IBM），并大量利用Microsoft 365的直接发送漏洞。九月，新学年开始，来自受陷学生账户的攻击增长6.3%。十月，利用PayPal、Strike、QuickBooks、Venmo和CashApp等合法支付平台的钓鱼攻击增长十倍。十一月，出现利用欺诈性多因素认证邮件增加凭证窃取网站可信度的新趋势。十二月，攻击者照例利用宗教与世俗节日进行钓鱼。

报告深入剖析了犯罪团伙Scattered Spider的活动。该团伙以复杂的社会工程学和基于身份的攻击闻名，在2025年四月入侵了英国零售巨头玛莎百货（M&S）和Co-Op，并声称参与了针对哈罗德百货、维多利亚的秘密、香奈儿等品牌的攻击，亦被传言与阿迪达斯、潘多拉、英国法律援助署、澳洲航空等机构的攻击有关。至2025年夏季，该团伙据称已与ShinyHunters和LAPSUS$结成松散联盟。Scattered Spider主要采用社会工程学手段，欺骗员工和第三方供应商以获取系统访问权限。其战术包括：基于电子邮件和短信的大规模凭证窃取活动、SIM卡交换欺诈、多因素认证（MFA）轰炸（用大量MFA通知淹没目标）、语音钓鱼（vishing）以及冒充技术供应商（尤其是Okta）。该团伙还频繁使用中间人钓鱼工具包“Evilginx”，该工具能模拟多种域名，使攻击更具独特性和欺骗性。报告估计，玛莎百货因攻击遭受约3亿英镑利润损失，Co-Op事件成本估计在2.7亿至4.4亿英镑之间。攻击者进一步利用泄露的客户数据发起后续钓鱼活动，例如通过仿冒域名（如marksandspencr.com）和精心设计的HTML模板（内含礼品卡模型）冒充玛莎百货，以提供数据泄露补偿为诱饵，将目标引导至凭证窃取网站。

报告还重点关注了语音钓鱼（vishing）的显著增长。在2025年1月1日至9月30日期间，平均5.5%的钓鱼邮件将电话号码作为唯一载荷，相比2024年全年的0.9%增长了449%。此类攻击在8月4日开始的那一周达到峰值，占所有载荷的10.2%。对钓鱼电话号码的分析显示，35.3%包含欧洲区号（其中俄罗斯占35.8%），28.1%包含亚洲区号（中国17.7%、日本15.3%、越南10.4%）。在回拨测试中，77.3%的攻击使用AI语音，22.7%由真人接听。攻击动机主要为金钱利益（68.7%），其中29.3%要求更新银行资料以转移合法供应商付款，25.1%涉及欺诈性退款，14.3%要求进行财务转账。攻击者在通话中频繁使用施压话术，例如编造紧急个人情况（如新婚、抵押贷款到期），以催促目标完成非法操作。

关于钓鱼邮件的发送时间，报告分析了2025年9月1日至30日的数据，发现攻击者主要在周一至周五的工作时间内发起攻击，高峰出现在上午至中午，晚间则逐渐减少。周末仍有持续攻击，尤其在北美地区，这与员工使用移动设备处理公司邮件的“始终在线”工作模式相关。不同地区的攻击时间分布存在差异，可通过热图直观展示。专家指出，人们在分心（如下午兼顾家庭与工作）、午后能量低下或长时间工作后疲惫时更容易成为钓鱼攻击的受害者。

报告揭示，滥用合法平台（如SharePoint、DocuSign、PayPal）发送钓鱼邮件的现象急剧增加。截至2025年8月31日，此类攻击同比去年增长66.9%，较2023年增长214.3%，较2022年增长604.0%。这些攻击全部通过了DMARC认证，59.9%的组织将这些发送域名加入了允许列表以加速商务通信，89.0%的用户与这些供应商存在既定关系，这使得攻击更难被检测。钓鱼超链接是此类攻击中最常见的载荷（2025年占比90.4%），而附件的使用自2024年以来下降了60.0%，自2022年以来下降了90.8%。添加电话号码作为载荷的比例虽仅为1%，但自2022年以来技术性增长了900%。2025年最常被滥用的平台按月变化，包括Intuit QuickBooks、Google AppSheet、Canva、SurveyMonkey、Google Docs、Zoom和Google Classroom等。高级管理人员（C-level）是最频繁的目标，因为他们拥有更高的访问权限和审批权。其次是中层管理和资深非管理岗员工，他们通常与相关供应商有业务往来，不易察觉钓鱼邮件。

在规避安全电子邮件网关（SEGs）方面，报告指出，自2023年底以来，绕过SEG检测的钓鱼邮件增加了38.3%，绕过微软原生检测的攻击增加了44.2%。主要规避战术包括：滥用合法平台以利用受信任域名绕过认证检查（84.9%的钓鱼邮件通过了DMARC认证）；多态技术使用增加20.9%（32.4%的攻击使用随机化主题行等技术）；以及使用混淆技术（如HTML smuggling，将编码的有效载荷隐藏在HTML附件中）增加了13.6%。超链接仍然是2025年最常见的载荷（占46.7%），因为它们创建快速且易于更换。

报告还汇总了2025年钓鱼统计数据：在3月1日至9月30日期间，钓鱼邮件数量较前六个月增长15.2%；使用AI的钓鱼攻击增长5.1%；超过半数（59.1%）的钓鱼攻击来自受陷账户（同比2024年增长34.9%），其中11.5%来自供应链中的受陷账户；最常被针对的是高级管理人员（CEO、CFO、CPO、财务副总裁、COO），执行部门是被钓鱼最多的部门；新员工入职后平均3.5周会收到钓鱼邮件；千禧一代是最常被钓鱼的世代，但随着Z世代进入职场，他们也逐渐成为目标；钓鱼邮件平均长度为880个字符，最常用的五个词是：urgent、sign、review、invoice、payment；超链接是最常见的载荷类型，附件平均大小为150KB，最常见的附件类型是PDF（43.0%）、SVG（24.1%）和HTML（21.3%）；62.7%的钓鱼邮件使用了混淆技术（2023年为55.2%），最常用的是HTML smuggling（占25.9%），其次是使用形似字符（占15.2%）。

报告最后强调，电子邮件安全已不再是技术栈中的孤立元素。面对攻击者将目标引导至安全性较低渠道和应用的企图，电子邮件安全产品必须融入整体的人力风险管理生态系统。该生态系统利用最新威胁情报和深度行为分析，自动化持续辅导，提升对实时攻击的认知。

下列文件

2025年网络钓鱼威胁趋势报告（中文）.pdf

2025年网络钓鱼威胁趋势报告（英文）.pdf

扫码单买

来源：KnowBe4