语音钓鱼成为云环境攻击首选 网络犯罪新趋势曝光

在2026年RSA大会上，谷歌云安全团队发布了令人警醒的网络安全趋势报告。数据显示，语音钓鱼攻击在去年激增，已成为网络犯罪分子获取初始访问权限的第二大常用方法，而在云环境入侵中更是排名第一。

互动式社会工程攻击兴起

谷歌云Mandiant咨询副总裁Jurgen Kutscher表示，ShinyHunters和Scattered Lapsus等犯罪组织在2025年的攻击中越来越多地使用语音钓鱼和其他类型的互动式社会工程策略，这些攻击涉及人工实时引导对话。

"正是这些互动式的、基于语音的攻击，真正带来了新的挑战，"Kutscher在接受采访时说道。这一结论基于Mandiant在全球开展的超过50万小时事件响应工作中收集的数据。

报告显示，去年攻击者将基于语音的钓鱼作为初始感染载体的比例达到11%，使其成为获取非法系统访问权限的第二大常见方法。漏洞利用连续第六年位居榜首，占成功攻击的32%。然而，钓鱼邮件等非互动式诱饵有所下降，仅占2025年入侵事件的6%。

攻击者策略日趋狡猾

Kutscher解释说："我们在2025年看到某些威胁行为者致电IT帮助台，例如为多因素认证注册攻击者控制的设备，试图重置密码。他们构建了许多不同的场景来欺骗IT帮助台，而IT帮助台默认是要提供帮助的。这正是互动式社会工程攻击如此强大的部分原因。"

诈骗者不仅针对IT帮助台进行互动式社会工程诈骗。谷歌与其他安全研究人员还记录到，过去一年中ClickFix攻击激增。ClickFix是一种极其流行的社会工程策略，攻击者通过点击虚假的计算机问题修复或"我不是机器人"提示，诱骗用户在自己的计算机上运行恶意命令。

谷歌威胁情报部门记录了去年"数十起"使用这种技术的犯罪案例，特别是专注于大规模初始访问操作的威胁集群。

攻击时间线呈现极端化趋势

这份102页的报告还突出了攻击者时间线的"极端化"趋势。Mandiant的调查显示，越来越多的"交接"案例正在出现，即一个个人或团队获得初始访问权限，然后将该访问权限交接给第二个威胁组织——通常是勒索软件或数据盗窃勒索团伙。这种交接往往在30秒内完成。

"在频谱的另一端，威胁行为者已经获得了极其复杂的隐秘水平"，使他们能够在受害者环境中保持隐藏而不被发现，有时长达数百天，Kutscher说。

边缘设备成为新攻击目标

这类攻击者——通常是间谍组织和朝鲜诈骗IT工作者——通过针对防火墙、路由器和VPN等网络边缘设备来实现这一目标，通常利用零日漏洞。边缘设备运营商通常不会用端点安全产品保护这些设备，因此运行在机器上的攻击往往能逃避防护者的检测。

Kutscher将这一趋势称为"边缘生存"，并在两年前开始谈论这个问题。"有趣的是他们如何利用这些边缘设备的演变，"他告诉记者。

恶意分子不再仅仅使用边缘设备来访问IT环境。"现在他们还在利用这些边缘设备上可用的核心功能，在这些边缘设备上生存，拦截网络流量，能够拦截明文密码等，"Kutscher说。

在某些情况下，这意味着攻击者甚至不需要移动到内部网络，因为他们能够从边缘设备本身窃取机密和其他敏感数据。

长期潜伏成为新威胁

Mandiant在2025年调查了"众多"事件，其中被追踪为UNC6201的疑似中国政府间谍组织入侵了不支持端点安全产品的边缘设备，部署了名为Brickstorm的后门以维持长期访问权限，并从其在设备上的位置捕获有效凭据。然后间谍使用这些凭据访问受害者的VMware环境。

他们平均保持未被发现状态393天。

这些场景对网络信息安全团队构成挑战。例如，从初始访问到勒索软件感染的极短交接时间意味着防护者必须"以机器速度运行"，Kutscher说。"当攻击生命周期以秒为单位进行时，人类速度可能不足以阻止这些类型的攻击。"

Kutscher强调："你还必须意识到，低影响事件可能在几秒钟内变成高影响事件。从调查角度来看，你不能再将某些事情归类为低影响并稍后忽略它们。你必须查看所有这些事件，并理解什么可能是第一阶段攻击，可能导致企业的潜在灾难性后果。"

Q&A

Q1：语音钓鱼攻击是如何工作的？

A：语音钓鱼攻击是指网络犯罪分子通过电话等语音方式进行的互动式社会工程攻击。攻击者会致电IT帮助台，冒充合法用户要求注册多因素认证设备或重置密码，利用IT人员默认提供帮助的心理来获取系统访问权限。

Q2：ClickFix攻击是什么？有什么危害？

A：ClickFix是一种流行的社会工程策略，攻击者通过显示虚假的计算机问题修复提示或"我不是机器人"验证，诱骗用户点击并在自己的计算机上运行恶意命令。这种攻击方式极具欺骗性，用户往往在不知情的情况下主动执行恶意代码。

Q3：为什么边缘设备容易成为攻击目标？

A：边缘设备如防火墙、路由器、VPN等通常不被端点安全产品保护，因此攻击者可以利用零日漏洞入侵这些设备而不被发现。攻击者可以在边缘设备上长期潜伏，拦截网络流量和明文密码，甚至无需进入内部网络就能窃取敏感数据。