人工智能使网络犯罪分子能够像财富 500 强企业的营销部门一样运作——只不过他们的产品是账户盗用、数据窃取和身份欺诈。

在当今的网络威胁形势下，网络钓鱼仍然是最普遍、最有效的策略、技术和程序 (TTP) 之一。它常常成为数据泄露的入口，可能对组织和个人造成毁灭性后果。例如，领先的航空航天和国防承包商通用动力公司在 2024 年底报告称，针对其员工的网络钓鱼攻击导致数十个员工福利账户被盗用。

网络钓鱼攻击利用人类心理和信任，往往能够绕过技术防御，为大规模网络安全事件的发生铺平道路。Verizon Business 发布的《2025 年数据泄露调查报告》显示，网络钓鱼攻击占网络安全事件总数的 16%。只有凭证滥用（22%）和漏洞利用（20%）的占比超过了网络钓鱼。尽管Zscaler 的《ThreatLabz 2025 年网络钓鱼报告》发现网络钓鱼攻击总量下降了 20%，但攻击者正在转向针对人力资源、IT、财务和薪资部门的精准攻击活动。

此外，网络钓鱼不再局限于电子邮件收件箱。如今，攻击会通过社交媒体、搜索引擎和即时通讯应用等非电子邮件渠道进行。仅凭语法和拼写错误已不足以识别恶意信息。网络犯罪分子越来越多地利用人工智能 (AI) 来创建高度个性化、可扩展且极具迷惑性的钓鱼活动，使其与合法通信难分伯仲。

新一代网络钓鱼攻击速度更快、更智能、也更危险。网络犯罪分子一直以来都依赖于心理操控，通过建立信任、制造紧迫感和利用情绪来达到目的。如今，人工智能通过以下方式强化了这种策略：

利用从社交媒体、泄露数据库和暗网来源抓取的个人和行为数据创建高度个性化的信息。

语法和语气都完美无瑕，消除了一个常见的安全隐患。

通过电子邮件、短信和协作工具进行自动化、动态对话，模拟同事或高管的对话

过去需要人工投入和时间的网络钓鱼攻击现在可以大规模发起。攻击者可以瞬间部署数千次个性化攻击。

网络钓鱼的新前沿

多种因素正在加速人工智能驱动型网络钓鱼的有效性：

LinkedIn绕过了传统的安全控制： LinkedIn私信可以完全绕过大多数企业依赖的电子邮件安全工具。员工使用公司设备访问LinkedIn，但安全团队通常无法监控这些通信。因此，攻击者可以直接联系员工，而不会触发传统的安全防护措施。

实时身份冒充：人工智能可以生成深度伪造语音克隆，在实时电话通话中逼真地模仿高管的声音。人工智能生成的视频可以模拟领导在虚拟会议中批准欺诈性电汇或索取机密信息。随着远程办公的普及，员工越来越难以察觉这些身份冒充攻击。

商业电子邮件入侵 (BEC) 的机器级速度：被入侵的账户使人工智能工具能够与员工进行动态的多步骤对话。攻击者可以分析内部工作流程、发票周期和审批结构，这使得他们的金融诈骗企图极具迷惑性。借助自动化技术，攻击者可以比以往更长时间地隐藏自身。

人工智能驱动的网络钓鱼不再仅仅是窃取登录信息。它现在能够持续不断地进行身份盗用，从而带来根本性的网络安全挑战：

人工智能生成的文件和合成身份可以绕过薄弱的验证机制。

欺诈性注册可以提供看似合法的敏感系统访问权限。

一旦入侵成功，攻击者就可以利用人工智能自动进行横向移动并提升权限。

归根结底，身份是新的战场——人工智能正在将网络犯罪分子转变为高效的身份窃贼。

组织如何反击

抵御人工智能对手需要转变战略。各组织必须：

采用能够发现访问模式异常的高级身份威胁检测和风险缓解工具，而不仅仅是拦截网络钓鱼邮件。

使用自适应且防钓鱼的身份验证方式，包括生物识别技术和持有绑定凭证，而不是仅仅依赖密码或短信验证码。

利用反映现代人工智能驱动攻击策略的模拟训练，持续对员工进行教育。

实施零信任访问原则，以限制凭证泄露造成的损失。

人工智能赋予了网络犯罪分子如同世界500强企业营销部门般的运作能力——只不过他们的产品是账户盗用、数据窃取和身份欺诈。合法通信与恶意通信之间的界限将日益模糊，传统的防御手段也将越来越失效。

为了保持领先地位，企业必须认识到，身份信息如今是最有价值——也是最脆弱——的目标。只有通过更新防御策略并采用防钓鱼的身份保护措施，他们才能有望战胜下一波人工智能驱动的威胁。