有办法识别 AI 生成的钓鱼邮件吗？

仅凭文本质量已难以识别。应确认发送方域名、验证链接 URL，并警惕"紧急""立即"等催促行动的表达。如有疑虑，不要点击邮件中的链接，直接访问官方网站。

深度伪造语音欺诈有多普遍？

Regula 2024 年调查发现 49% 的企业经历过深度伪造音频/视频欺诈。从 3 秒音频生成高质量克隆的技术已经普及，仅靠电话身份验证已不够。

DMARC 能完全防止钓鱼吗？

DMARC 能有效防止自身域名被冒充，但无法阻止攻击者使用相似域名（如 examp1e.com）发送。将 DMARC 定位为多层防御之一，与用户教育和零信任原则结合使用。

生成式 AI 钓鱼威胁 - 从深度伪造语音到精密伪造邮件

本文约需 13 分钟阅读

生成式 AI 从根本上改变了网络钓鱼的格局。曾经帮助用户识别欺诈邮件的明显特征 - 语法错误、措辞生硬、通用问候语 - 已被能够生成任何语言完美个性化消息的大语言模型消除。SlashNext 2024 年的报告记录了自 ChatGPT 公开发布以来恶意钓鱼邮件增加了 4,151%。这不是攻击复杂度的渐进式提升，而是范式转变。本文分析 AI 驱动的钓鱼攻击如何运作，考察包括深度伪造语音欺诈在内的真实案例，并概述超越传统邮件过滤器的防御策略。

生成式 AI 改变网络钓鱼的原因

语法错误的消失与多语言能力

传统钓鱼邮件通常由非英语母语的攻击者用英语撰写，不自然的表达成为检测线索。生成式 AI 完全消除了这一障碍。攻击者只需用母语编写提示，就能生成目标语言的完美商务邮件。日语钓鱼邮件以前以不自然的敬语为标志，现在能生成符合日本商务惯例的自然文本。Abnormal Security 2024 年的研究发现，AI 生成钓鱼邮件的检测率比传统邮件下降了 40%。

鱼叉式钓鱼的大规模生产

传统的鱼叉式钓鱼需要手动调查目标的社交媒体和公开信息，制作个性化邮件。这种工作量限制了攻击规模。生成式 AI 将这一过程自动化。它可以自动收集 LinkedIn 资料、企业 IR 信息和社交媒体帖子，在几秒内为每个目标生成个性化邮件。IBM X-Force 2024 年报告指出，AI 辅助的鱼叉式钓鱼制作时间比手动制作缩短了 95%。

深度伪造语音的 CEO 欺诈

2019 年英国能源公司 24 万美元事件

2019 年，一家英国能源公司的 CEO 接到了母公司德国 CEO 的电话。声音完全一样 - 口音、节奏、语调都吻合。电话指示向匈牙利供应商紧急转账 24 万美元。CEO 因为声音特征、德语口音和说话节奏都完美匹配而执行了指示。但这是 AI 生成的深度伪造音频。《华尔街日报》报道的这一事件是最早公开的语音深度伪造欺诈案例之一。

2019 年达到这种精度的技术到 2025 年已进一步发展。现在有工具可以从仅 3 秒的音频样本生成高质量的克隆语音，使得从社交媒体视频或会议录音中复制任何人的声音成为可能。Regula 2024 年的调查发现，49% 的企业经历过深度伪造音频/视频欺诈。关于深度伪造在诈骗中的更多应用，请参阅深度伪造与身份欺诈的详细解析。组织必须对电话转账指示或敏感信息请求实施使用独立渠道（面对面、预先约定的暗号）的验证程序。

商业邮件诈骗 (BEC) 的高级化

根据 FBI 的 IC3 报告，BEC 造成的损失在 2023 年达到 29 亿美元，是网络犯罪中最大的损失类别。随着生成式 AI 的出现，BEC 变得更加复杂。攻击者分析企业组织架构、最近的新闻稿和高管的社交媒体帖子，生成完美模仿内部沟通风格的邮件。通过穿插只有内部人员才知道的上下文 - "关于上周董事会讨论的事项" - 来消除收件人的警惕。

特别危险的是邮件线程劫持攻击。攻击者入侵邮箱账户后，自然地加入现有邮件线程，请求更改发票付款目的地。由于线程上下文是合法的，收件人不太容易产生怀疑。加强邮箱账户本身的防御是 BEC 对策的起点，具体保护步骤请参阅邮箱账户保护指南。作为对策，请严格执行通过电话直接确认付款目的地变更的规则。

传统钓鱼检测的局限性

传统钓鱼检测依赖已知恶意域名黑名单、邮件正文关键词匹配和发送方 IP 信誉评分。但 AI 生成的钓鱼绕过了所有这些防御。攻击者每次获取新域名，生成规避关键词过滤器的自然文本，并通过正规邮件发送服务发送。Proofpoint 2024 年的研究报告称，68% 的 AI 生成钓鱼邮件通过了主要邮件安全网关。

URL 检查也已达到极限。攻击者滥用正规云服务（Google Docs、Microsoft SharePoint、Dropbox）托管钓鱼页面，仅凭 URL 无法区分正规和伪造。2024 年在 Google 域名上托管的钓鱼页面超过 50 万个。

新的防御策略

彻底的 DMARC 和邮件认证

DMARC（基于域的消息认证、报告和一致性）对发送域进行认证并拒绝伪造邮件。它结合 SPF 和 DKIM 验证发送方合法性，允许域所有者指定认证失败邮件的处理方式（隔离或拒绝）。Google 和 Yahoo 从 2024 年 2 月起要求大量发送者设置 DMARC。但 Valimail 2024 年报告显示，仅 28% 的域在执行模式（p=quarantine 或 p=reject）下运行 DMARC。如需系统了解包括 DMARC 在内的钓鱼防御措施，请参阅钓鱼防护综合指南。

零信任与人类直觉

仅靠技术防御无法阻止 AI 生成的钓鱼攻击。最后的防线是人类判断。但传统的安全意识培训教导"寻找语法错误"已经过时。新的培训必须关注行为模式：紧迫感施压（"1 小时内回复"）、权威利用（"CEO 指示的"）和情感操纵（"您的账户将被暂停"）。组织应采用零信任方法，无论看起来多么合法，每个涉及敏感信息或金融交易的请求都需要通过独立渠道验证。要系统学习钓鱼防御，钓鱼防御与邮件安全指南 (Amazon)是有价值的参考资源。

AI 威胁不仅限于钓鱼邮件。攻击者还利用机器学习加速密码破解和凭证猜测，使强大且唯一的密码比以往更加重要。

现在就能做的事

务必确认邮件发送方域名，如有任何可疑之处通过独立渠道直接向发送者确认
对电话转账指示或敏感信息请求，引入使用预先约定暗号进行身份验证的程序
为组织的邮件域名配置 DMARC 执行模式（p=reject）
使用 Passtsuku.com 为每个服务设置唯一密码，即使一个密码因钓鱼泄露也能限制损害

常见问题

有办法识别 AI 生成的钓鱼邮件吗？: 仅凭文本质量已难以识别。应确认发送方域名、验证链接 URL，并警惕"紧急""立即"等催促行动的表达。如有疑虑，不要点击邮件中的链接，直接访问官方网站。
深度伪造语音欺诈有多普遍？: Regula 2024 年调查发现 49% 的企业经历过深度伪造音频/视频欺诈。从 3 秒音频生成高质量克隆的技术已经普及，仅靠电话身份验证已不够。
DMARC 能完全防止钓鱼吗？: DMARC 能有效防止自身域名被冒充，但无法阻止攻击者使用相似域名（如 examp1e.com）发送。将 DMARC 定位为多层防御之一，与用户教育和零信任原则结合使用。

这篇文章对您有帮助吗？

生成密码 →