2025年，釣魚攻擊仍是企業面臨的主要安全威脅。隨著攻擊者更多采用基于身份認證的技術而非軟件漏洞利用，釣魚攻擊的危害性甚至超過以往。

攻擊者正轉向基于身份的攻擊手段，釣魚與憑證竊取（釣魚的副產品）已成為數據泄露的主因。數據來源：Verizon DBIR

通過登錄受害者賬戶，釣魚攻擊能實現與傳統終端或網絡攻擊相同的目標。隨著企業使用數百款互聯網應用，可被釣魚或憑證竊取攻擊的賬戶范圍呈指數級增長。

如今，繞過多因素認證（MFA）的釣魚工具包已成常態，能夠攻破SMS、OTP和推送驗證保護的賬戶。當預防措施失效時，檢測系統正承受持續壓力。

一、攻擊者如何繞過檢測機制

現有釣魚檢測主要集中于電子郵件和網絡層，通常部署在安全郵件網關（SEG）或安全Web網關（SWG）/代理設備。但攻擊者通過以下方式規避檢測：

• 動態更換基礎設施：定期輪換IP、域名和URL等可被特征識別的元素
• 反分析設計：在釣魚頁面部署驗證碼（CAPTCHA）或Cloudflare Turnstile等機器人檢測機制
• 頁面元素混淆：修改視覺與DOM元素使檢測簽名失效

Cloudflare Turnstile等機器人驗證可有效規避沙箱分析工具

攻擊者還通過跨渠道攻擊完全避開郵件檢測。例如近期案例顯示，冒充Onfido的攻擊者通過惡意谷歌廣告（惡意廣告）實施釣魚，全程未使用電子郵件。

攻擊者通過即時通訊、社交媒體、惡意廣告及可信應用消息繞過郵件檢測

需指出郵件方案的局限性：雖然能檢測發件人信譽和DMARC/DKIM等，但無法識別惡意頁面內容。現代郵件方案雖能深度分析郵件正文，卻難以識別釣魚網站本身，更無法防御跨媒介攻擊。

二、瀏覽器端檢測如何扭轉戰局

絕大多數釣魚攻擊通過惡意鏈接誘導用戶訪問偽造登錄頁面。這些攻擊完全發生在瀏覽器環境中，因此相較于外部的郵件或網絡檢測，在瀏覽器內部構建檢測響應能力具有顯著優勢。

這類似于終端安全的發展歷程：當2000年代末期終端攻擊激增時，基于網絡的檢測、文件特征分析和沙箱運行等傳統手段逐漸被終端檢測與響應（EDR）取代，后者實現了對惡意軟件的實時觀測與攔截。

EDR通過在操作系統層實現實時檢測，擺脫了對終端流量的依賴

當前我們面臨相似局面：現代釣魚攻擊發生在瀏覽器訪問的網頁上，而依賴郵件、網絡甚至終端的安全工具缺乏必要可見性——它們始終在從外向內觀察。

現有釣魚檢測無法實時觀測和阻止惡意活動

三、瀏覽器防御的三大核心優勢

1. 分析頁面而非鏈接

傳統檢測依賴鏈接或靜態HTML分析，而現代釣魚頁面是動態Web應用，通過JavaScript實時渲染惡意內容。攻擊者還采用以下手段：

• 批量購買域名并動態輪換鏈接
• 使用一次性魔法鏈接（Magic Link）
• 劫持合法域名

基于瀏覽器可完整觀測渲染后的頁面，實現對惡意元素的深度識別。

2. 檢測TTP而非IoC

即便采用戰術、技術與程序（TTP）檢測，傳統方案也依賴網絡請求拼湊或沙箱加載。但攻擊者通過以下方式規避：

• 要求用戶交互（如驗證碼）
• 混淆視覺與DOM元素
• 設置特定URL參數和頭部

瀏覽器方案提供更全面的可見性：

• 完整解密的HTTP流量
• 全鏈路用戶交互追蹤
• 執行各層的深度檢查
• 瀏覽器API數據關聯

瀏覽器環境支持構建基于TTP的高效控制措施

3. 實時攔截而非事后追溯

非瀏覽器方案基本無法實現實時檢測。代理方案雖能通過網絡流量分析發現惡意行為，但因TLS加密后的流量重構困難，通常存在延遲且不可靠。

而瀏覽器內檢測能：

• 實時觀測用戶所見頁面
• 在危害發生前攔截攻擊
• 將防御重心轉向事前阻斷

四、瀏覽器：釣魚防御的未來方向

Push Security的瀏覽器身份安全方案能在攻擊發生時實時攔截，其優勢包括：

• 密碼復用檢測：識別用戶向釣魚網站輸入曾用于其他站點的密碼
• 頁面克隆識別：比對已指紋化的合法登錄頁面
• 釣魚工具包探測：檢測頁面運行的惡意代碼

Push在瀏覽器內檢測到釣魚頁面時立即阻止用戶訪問

該方案還能防御憑證填充、密碼噴灑和會話劫持等攻擊，并幫助企業發現以下身份安全漏洞：幽靈賬戶、SSO覆蓋缺口、MFA配置缺失、弱密碼/泄露密碼/密碼復用、高風險OAuth集成等。