跳到正文
>_ITDITDWeb 安全平台

术语表

#网络钓鱼防护#MFA#邮件安全#社会工程学

什么是网络钓鱼(Phishing)——比「识破」更可靠的防御与手法种类

网络钓鱼是冒充可信对象、诱导你进入假网站,从而窃取密码或信息的诈骗。要害在于它瞄准的是『人』而非软件漏洞。本文从防御视角讲解种类(鱼叉式钓鱼、BEC、短信钓鱼、中间人型)以及比『当心』更可靠的防御(抗钓鱼MFA、域名核对、邮件认证),不公开攻击步骤。

发布于 2026-06-13 更新于 2026-06-13 2 分钟阅读

「假装成可信的对象,把你诱入假网站」——这就是网络钓鱼。本文讲解手法的种类与可靠的防御(不公开攻击步骤)。

原理:瞄准的不是「软件漏洞」而是「人」

XSS与SQL注入攻击的是软件缺陷,而网络钓鱼攻击的是人的判断。它用「您的账户已被停用」「请尽快确认」这类紧迫感、权威、恐惧夺走你思考的余地,把你诱导到以假乱真的假网站去输入密码。即便是技术漏洞为零的网站,只要用户被骗,凭据照样会外泄。

入侵入口第一名
勒索软件与信息泄露大多以网络钓鱼为起点,容易成为最初的那扇门
紧迫·权威·恐惧
用『立刻』『来自官方』『可以帮你止损』夺走思考余地是惯用手段
AiTM
中间人型。假网站连一次性验证码都中继,可能突破普通的MFA

手法的种类(叫法不同,本质相同)

普通钓鱼

向不特定多数人群广撒网

鱼叉式钓鱼

专门瞄准特定个人/组织

BEC

冒充合作方/高管下达汇款指令

短信钓鱼

使用SMS

语音钓鱼

使用电话

中间人型(AiTM)

把认证中继到真网站以突破MFA

网络钓鱼的典型种类。途径与目标各异,但『冒充+诱导』的本质相同。

叫法虽不同,本质都在于**「伪装成可信对象进行诱导」这一点。尤其是 BEC(商业邮件诈骗),它连恶意软件都不用,仅靠「伪装成合作方的汇款请求」就造成巨大的金钱损失。这类手法应当靠业务流程的核对**而非技术来拦截。

防御:与其靠识破的注意力,不如用「机制」拦截

1

使用抗钓鱼MFA(最重要)

对假网站不起反应的机制才是关键。通行密钥/物理安全密钥(FIDO2)与域名绑定,因此在假域名上认证从原理上就无法成立,连中间人型(AiTM)也无法突破。SMS/验证器应用的验证码可能被中继,所以应从王国的钥匙(邮件/域名/支付)开始优先迁移到抗钓鱼MFA(→ MFA的选择方法)。

2

不点链接,自己主动去官方

不要点邮件或SMS里的链接,而是通过书签或手动输入直接访问官方网站来核对。越是伪装成「账户确认」「账单」「配送」的消息,越要走自己的途径打开,而不是经由链接。

3

用技术手段减少邮件冒充

正确配置域名的SPF/DKIM/DMARC,让冒用自家域名的伪造邮件能在接收端被拦下(→ 什么是SPF/DKIM/DMARC)。密码管理器在假域名上不会自动填充,所以「填不进去」本身就是假网站的线索。

4

面对紧迫·权威的压力先停下/汇款走另一条途径核实

「立刻」「来自高管」「可以帮你止损」这种压力正是陷阱的信号。被催促时先缓一拍。涉及汇款或凭据的请求,不要直接回复邮件,而是通过电话等另一条途径核实本人后再行动(这是防BEC的要点)。

容易被突破

只有密码+SMS/验证器应用的验证码。一旦在以假乱真的假网站上连验证码一起被中继(AiTM),即便再谨慎也会被夺走凭据。这是建立在『我能识破』前提上的防御。

能拦得住

与域名绑定的通行密钥/物理密钥。在假域名上认证无法成立,所以即使用户被骗也无法被突破。这是『识不破也安全』的机制侧防御。

本站的观点:『当心』不是防御战略

本站认为,把网络钓鱼防护仅仅寄托于「员工培训」「提醒警示」是危险的。在中间人型(AiTM)已成常态的今天,无论多谨慎的人,都赢不过以假乱真的假网站+验证码中继。注意可以是辅助,但不能当作最后一道防线。关键在于机制——从王国的钥匙开始,依次引入与域名绑定的抗钓鱼MFA。与其「培养能识破的人」,不如投资于「识不破也攻不破」的设计,这才是当下的正解。

盲点:「我不会被骗」才是最危险的

网络钓鱼防护中最大的陷阱,是**『我能识破』这种过度自信**。中间人型(AiTM)会显示以假乱真的画面,把你输入的密码和一次性验证码当场中继到真正的网站。也就是说,即便你谨慎地输入了正确的验证码,那个正确的验证码也会连同被盗。所以把防御的重心放在「识破的注意力」上本身就是错的,正道是转向**在假域名上无法成立的认证(抗钓鱼MFA)**这种机制。不停留在「当心」,才是当代网络钓鱼防护的起点。

接下来阅读

FAQ

Q只要当心就能识破网络钓鱼吗?
A

『我能识破』这种过度自信很危险。如今的网络钓鱼会使用以假乱真的假网站,把你输入的密码和一次性验证码实时中继到真正的网站,这就是『中间人型(AiTM)』,连谨慎的人也会连同SMS或验证器应用的验证码一起被盗。所以真正的防御不是『识破的注意力』,而是对假网站不起反应的机制——与域名绑定的抗钓鱼MFA(通行密钥/物理密钥)。

Q网络钓鱼有哪些种类?
A

典型的有:向不特定多数人群广撒网的普通钓鱼、专门瞄准特定个人/组织的鱼叉式钓鱼、冒充高管或合作方下达汇款指令的BEC(商业邮件诈骗)、使用SMS的短信钓鱼、使用电话的语音钓鱼。此外,在假网站上把认证中继到真网站的中间人型(AiTM),因为能突破普通的MFA而尤其需要警惕。

Q只要设置了MFA就能防住网络钓鱼吗?
A

强烈推荐使用MFA,但要看方式。SMS或验证器应用的一次性验证码,一旦被中间人型钓鱼连同验证码一起中继,就可能被突破。无法被突破的是像『通行密钥/物理安全密钥(FIDO2)』这样与域名绑定的抗钓鱼MFA,在假域名上认证从原理上就无法成立。详情请参阅二要素认证(MFA)的选择方法。