当前，云计算、大数据、人工智能、物联网等数字化核心技术全方位重塑传统金融业务模式，推动金融服务向智能化、便捷化、高效化迈进。金融数字化为行业带来诸多机遇的同时，也面临着一系列挑战。据APWG 2025年第二季度报告，全球钓鱼攻击达113万起，创近两年新高，其中，针对金融机构的钓鱼攻击占比达18.3%，支付行业亦高达12.1%，二者合计超过三成，已成为网络钓鱼攻击的首选目标。

  网络钓鱼攻击正加速向服务化、高隐蔽性与智能化演进，对高度依赖数字信任机制的金融行业构成系统性威胁。深入研判其演化趋势、剖析金融体系的结构性脆弱点，并探索技术与治理协同的适应性防御路径，不仅关乎金融机构的安全韧性，更对维护国家金融稳定与用户数字权益具备极其重大现实意义。

  网络钓鱼攻击本质是通过欺骗获取用户凭证或敏感信息的攻击行为。到2025年，其实施方式、技术复杂度与产业成熟度已发生深刻变化，体现在三个相互关联的维度：攻击模式服务化、基础设施合法化，以及社会工程智能化。这三者共同构成了低成本、高效率、难溯源的攻击生态。

  现代网络钓鱼的核心驱动力之一在于“犯罪即服务”（CaaS）模式的普及，其中“钓鱼即服务”（PhaaS）平台更扮演了关键角色。据Barracuda Networks 2025年第一季度报告，约60%至70%的钓鱼攻击使用了PhaaS平台。Tycoon 2FA、EvilProxy等主流工具包的广泛使用，使不具备专业方面技术背景的攻击者也能发起复杂的会话劫持攻击。这种服务化模式不仅降低了攻击者实施违背法律规定的行为的技术门槛，也实现了攻击的标准化与规模化，使金融机构面临持续、高频的自动化攻击威胁。

  为提升钓鱼活动的隐蔽性，攻击者正系统性地滥用公众信任的合法云服务平台。如GitHub、Firebase等因其域名信誉度较高，常被攻击者用于托管钓鱼页面。有报道显示，在针对美国信用合作社的钓鱼活动中，攻击者利用Glitch的子域名创建了高度相似的登录界面，因该链接源自“这一可信域，其在电子邮件安全网关和终端防护软件中往往能够绕过基于URL信誉的检测机制，从而成功实施钓鱼攻击。

  传统网络钓鱼依赖模板化内容大规模投送，其成功率建立在极低转化率下的数量补偿之上。近年来，攻击者已转向以信息聚合与自动化技术支撑的精准诱导模式，使社会工程从粗放式心理操控发展为可复制、可扩展的系统性攻击环节。

  一是对钓鱼攻击目标背景信息的结构化利用。攻击者通过公开渠道收集目标的职业角色、组织关系、业务活动等数据，结合自动化脚本生成语境贴合的诱饵内容。例如，针对财务专员的钓鱼邮件可模拟内部付款审批流程，嵌入伪造的合同附件；面向高管的“鲸钓”攻击常以监管通知、董事会文件为名，利用其决策权重与时间敏感心理，规避常规审查机制。

  二是借助外部事件构建合理情境。攻击者利用目标人群的心理惯性，在合法通信预期框架内植入欺诈请求，从而绕过理性判断。多起案例显示，国际金融政策调整、大型购物节等重大公共事件常被频繁用作钓鱼主题，通过制造“账户验证”“交易异常”等紧迫性场景，诱导用户在认知负荷升高时降低警惕。

  当上述策略经过与PhaaS平台深度整合，攻击者不再依赖个体攻击者的临场技巧，而是演变为一种可规模化部署的认知渗透手段。例如，APWG报告数据显示，恶意QR码攻击激增，单季检测量超63万个，涉及1642个品牌。攻击者利用用户对便捷扫码的信任，将受害者直接导向钓鱼页面，而此类攻击往往能绕过传统的邮件内容过滤器，进一步增加了防范难度。

  金融机构的组织架构与业务流程天然存在权限与资产的集中点。首席财务官、财务主管、交易员等关键岗位，被赋予了直接操作大额资金流转、访问核心财务系统（如ERP、核心银行系统）及审批敏感交易的权限。此类账户一旦失陷，攻击者可直接发起欺诈性转账，其单次攻击的潜在经济回报远超对普通用户的攻击。针对关键权限人员的“鲸钓”攻击已发展为高度产业化的商业邮件欺诈（BEC）模式。APWG多个方面数据显示，BEC攻击的平均单笔索款金额飙升至8.3万美元，环比增长97%。这种以高管或财务专员为目标，旨在窃取大额资金的精准攻击，充分暴露了金融机构因权限与价值高度集中而产生的结构性弱点。

  现代金融服务的交付严重依赖庞大且复杂的第三方ECO。从税务申报（如与税务机关系统对接）、支付网关、云基础设施服务商（IaaS/PaaS）、软件供应商到供应链合作伙伴，金融机构的业务流程与数据流广泛延伸至外部实体。这一过程构建了一条多层级的信任链，即金融机构必须信任其供应商的安全性，而供应商的系统安全状态直接影响金融机构的暴露面。一旦攻击者利用互联网钓鱼攻陷某个安全防护相对薄弱的第三方，便可利用该“信任凭证”作为跳板，通过凭证填充、API滥用或供应链植入等方式，间接渗透至金融机构的核心系统，形成“间接攻击路径”。

  金融用户（包括个人客户和企业员工）一直处在银行、支付平台等机构建立的“安全通信”范式中。他们习惯于接收来自官方渠道的账户变动通知、安全验证请求（如短信验证码），以及与交易相关的确认邮件。这种由金融机构自身培育的、对品牌通信的高度信任，形成了一种用户心理定式。攻击者通过高度仿真的钓鱼页面和邮件，精确复刻此类通信的视觉元素、语言风格和情境设定，可以有明显效果地触发用户的条件反射式响应。用户在预期框架内，倾向于将此类请求视为正常业务流程的一部分，以此来降低了对通信真实性的质疑门槛，为网络钓鱼攻击创造了有利条件。

  面对攻击者对MFA的系统性劫持和对用户心理的精准操控，建议金融在数字化进程中，通过无密码认证、构建零信任架构、提升全流程人员安全意识、强化技术检验测试响应能力及热情参加反钓鱼治理协同工作，推进金融机构的防御体系的适应性演进。

  现阶段的钓鱼攻击主要是针对可被窃取与重放的凭证体系，其中密码已成为其最薄弱的环节。为从根本上防御此类攻击，金融机构亟需加速向无密码认证体系转型。通过采用“设备内私钥存储与域名绑定”等技术机制，重构身份验证的信任基础，可明显降低因用户操作失误导致的凭证泄露风险。建议金融机构优先在企业网银、高管账户及核心业务系统等高价值场景领域率先部署该体系。

  面对网络钓鱼攻击对传统边界防御与静态认证机制的系统性突破，金融机构需转向以“永不信任，持续验证”为核心原则的零信任架构。该架构不再依赖网络位置或单次认证结果建立信任，而是通过多维度上下文信息的动态评估，实现对每一次访问请求的细粒度控制。

  在身份与访问层面，系统需持续评估用户设备的完整性、地理位置及行为基线。即使用户已通过MFA完成初始认证，若会话出现异地快速登录、非上班时间访问敏感系统等异常行为，系统可触发自适应认证或临时阻断，以有效防范会话劫持攻击。

  在访问控制层面，应严格执行最小权限原则，确保用户与服务账户仅拥有完成其职责所必需的最低权限，以此限制攻击者在凭证失陷后的横向移动能力。同时结合动态授权机制，根据风险评分实时调整访问权限，实现权限的“按需分配、及时回收”。

  在供应链安全层面，将网络安全要求纳入第三方服务商的准入与持续管理流程。对供应商实施定期安全评估，明确其安全责任边界，并对其访问本机构系统的权限与行为日志进行集中监控，防范因供应链环节薄弱导致的间接渗透风险。

  在内容上，超越“不要点击链接”的泛化说教，应采用基于真实事件的情境化模拟钓鱼攻击训练。例如，针对首席财务官（CFO）开展“伪造财务指令”和“深度伪造语音”的演练；针对IT人员开展“冒充供应商”的语音钓鱼测试。

  在流程上，建立强制性的多通道验证协议。对于所有资金转账、权限变更等高风险操作，一定要通过独立于初始通信渠道的第二通道进行人工二次确认。此流程可制度化落实，不因指令来源的权威性而豁免。

  在文化上，营造“安全即责任”的文化，鼓励员工报告可疑事件，而非简单化的事后对“点击了链接”进行处罚。通过攻防演练和激励机制，将用户纳入主动防御体系。

  为应对钓鱼攻击在载体与基础设施上的持续演化，金融机构需构建覆盖邮件、终端、网络与身份系统的全栈式检验测试能力，并通过安全响应机制提升整体防御韧性。

  在入口防护层面，部署具备AI语义分析能力的安全邮件网关（SEG），不再局限于静态URL黑名单匹配，而是综合发件人历史行为、收件人关系网络、邮件内容语义特征等因素进行风险评分，动态阻断伪装度高、情境逼真的钓鱼邮件。

  在终端与网络层面，整合终端检测与响应（EDR）、网络检测与响应（NDR）系统，实现对可疑进程、异常网络连接与横向移动行为的联动感知。特别是针对SVG等合法格式中嵌入恶意脚本的新型载体，EDR系统可通过行为沙箱与启发式规则进行深度解析与拦截。

  此外，金融行业应热情参加反钓鱼治理协同治理。由于网络钓鱼攻击日益组织化、跨域化，其基础设施往往分布于不同云服务商、域名注册商及通信平台，形成动态攻击链。因此，必须将技术迭代与协同联防并重，方能在对抗升级中守住信任边界。例如，由中国互联网络信息中心（CNNIC）牵头成立的公共互联网反网络钓鱼工作组，正推动跨行业协同机制的建立。该机制聚合银行、支付机构、邮件厂商与安全厂商等多方资源，通过自动化接口实时交换钓鱼URL、恶意IP及攻击手法等威胁情报，形成动态威胁情报池，有效提升全行业响应速度，以此来实现对网络钓鱼攻击的预警与联防。建议金融机构将自身监测能力融入全局防御网络，实现从被动防御到主动对抗的升级，在协同中筑牢数字金融安全防线。

  金融行业网络钓鱼攻击的本质是对金融行业结构性脆弱点的系统性利用。传统以边界防护与用户教育为核心的防御模式，难以应对攻击手段的服务化、对合法基础设施的滥用与社会工程的智能化。未来防御体系的强化，必须超越单纯封堵与警示的思维，转向以持续验证、最小权限与生态协同治理为基础的适应性架构。这一转型的深度与广度，将直接影响金融机构在数字时代的安全基线。（张雅楠系本文通讯作者）