AI钓鱼邮件暴涨 | 钓鱼邮件安全演练提升全员安全意识
在AI浪潮席卷各行各业的同时,网络犯罪分子也借助AI技术让钓鱼攻击更具欺骗性。KnowBe4最新发布的《2025行业钓鱼基准报告》显示,AI驱动的钓鱼邮件正以前所未有的速度增长,可绕过传统邮件安全网关(SEG)和微软原生防护,大幅提升攻击成功率。
报告汇集了来自全球6.2万家企业、共计1450万用户、6770万次模拟钓鱼测试的数据,被业界视为衡量组织网络安全水平的“风向标”。
数据显示,各行业员工整体平均钓鱼易感比例(Phish-prone Percentage, PPP)高达33.1%,即三分之一的员工容易上当受骗;若不进行安全意识培训,企业几乎处于“裸奔”状态。
AI让钓鱼攻击变得更智能、更隐蔽
报告指出,2025年AI技术正成为钓鱼攻击的最大助推器:
- 钓鱼邮件总量较去年增长17.3%;
- 47%的钓鱼攻击可绕过微软和其他邮件安全网关;
- 82.6%的钓鱼邮件内容由AI生成,语气自然、针对性强,更难以通过传统特征检测发现。
KnowBe4首席策略官Perry Carpenter在接受采访时表示:“AI生成内容可以大规模仿造企业内部邮件风格、合规提示或管理层指令,让即便受过训练的资深员工也难以分辨真伪。”
哪些行业最易中招?
根据该报告的行业排行,最易受AI钓鱼攻击影响的三大高风险行业为:
- 医疗与制药:员工平均PPP高达41.9%;
- 保险:39.2%;
- 零售与批发:36.5%。
这三个行业普遍涉及大量敏感个人信息,黑客更愿意投入时间和资源进行“高精度”攻击。
东南亚成为全球网络犯罪“核心基地”
报告的分析还覆盖全球7个主要地区,包括北美、欧洲、亚洲等,数据显示欧美的钓鱼邮件投递量仍高于亚洲,但亚太地区的防御水平总体较弱,易感比例超过38%。这与部分亚洲国家对网络安全意识培训投入不足密切相关。
Forrester的数据显示,亚太地区的企业在12个月内平均遭遇3.5次数据泄露,而全球平均为2.8次。该地区企业的累计损失为280万美元,而全球平均为270 万美元。
2024年10月,联合国毒品和犯罪问题办公室(UNODC)发布了一份报告,指出东南亚地区的跨国有组织犯罪正以前所未有的速度发展,网络欺诈是增长最为迅速的两个领域之一。事实上,UNODC估计,东亚和东南亚地区的受害者因网络欺诈遭受的经济损失已达180亿美元至370亿美元。
值得注意的是,联合国毒品和犯罪问题办公室还指出,这些损失的“绝大部分”是由同样位于东南亚的有组织犯罪集团实施的诈骗造成的。
东南亚的几个国家,特别是湄公河沿岸的国家,已经成为跨国犯罪网络的“试验场”,亚洲犯罪集团正在使其“业务线”多样化,现在将恶意软件、生成性人工智能和深度伪造纳入其业务范围。
在2025年4月发布的第二份报告中,联合国毒品和犯罪问题办公室详细描述了东南亚网络欺诈和诈骗中心的“工业规模”,并将亚洲犯罪集团列为全球网络诈骗、洗钱和地下钱庄的“绝对市场领导者”。
培训90天可将风险降40%,一年后降至4.1%
好消息是,报告也给出了切实可行的解决方案:实施持续、个性化的安全意识培训(SAT)能有效改变局面。数据显示,企业为员工提供至少90天的SAT后,平均钓鱼易感率可从33.1%下降40%以上;若坚持全年系统培训,易感率可进一步降至4.1%。
专家强调,SAT不仅是防护工具,更能培养员工识别社会工程学伎俩的能力,帮助他们建立“安全优先”的思维习惯。
企业急需升级“人力防火墙”
GoUpSec安全意识专家FunnyG指出,相比传统钓鱼攻击,AI钓鱼最大的不同是AI能够跨语言屏障生成以假乱整的钓鱼邮件和消息(这促进了网络钓鱼攻防的国际化),以及能够大规模实施个性化针对性攻击。与以往单靠技术手段不同,AI钓鱼攻击的核心是利用人性的弱点,因此员工已成为网络攻击的最后防线。若员工缺乏识别和上报可疑邮件的能力,即便投入再多的安全产品,也无法从根本上降低风险。
KnowBe4安全顾问也建议,企业应将SAT纳入年度IT预算和管理层KPI,确保培训覆盖率和持续性,并结合定期模拟钓鱼演练检验成效,将员工从“最大短板”转化为“最强防线”。
由GoUpSec安全意识专家FunnyG提出的观点可以看出,企业长期坚持进行安全意识培训和有计划的模拟社会工程演练,可以把人的风险因素降低。经数据分析显示,经过持续有计划的安全意识培训,可以将钓鱼邮件平均中招率从23.88%降至4.16%,从另一个角度看,钓鱼邮件平均中招减少率达到了83.19%。
通过模拟钓鱼邮件攻击的方式,搭建一个高仿真、沉浸式的真实钓鱼攻击场景,不仅能让员工切实体会到钓鱼邮件的迷惑性和隐蔽性,还能身临其境地了解什么是网络钓鱼、如何识别、遇到网络钓鱼时应该如何正确处置,从而达到良好的警示效果和提升安全防范能力的目的。
承制模拟钓鱼邮件演练流程
承制模拟钓鱼邮件优势
操作简单:一键代发。
隐私保护:根据隐私协议,我们收集用户的邮件地址、打开时间、使用的设备。我们不收集用户的姓名、坐标、归属地、用户提交的数据表格内容等非公开内容。
邮件逼真:钓鱼模板特色化定制。
网安文化
北京承制科技有限公司
近些年,承制科技协助数众多企业完成了多渠道、多层次、全方位的网络安全宣传教育实施工作。在项目实施过程中,承制科技准确把控客户需求时间节点并从需求沟通、方案设计、定制开发等方面多维度和客户进行充分的沟通,尽可能满足客户在常态化宣贯及宣传周活动现场布展、宣贯的所有需求,确保把解决客户的问题放在第一位。
如果您想定制专属于您企业的网安意识宣贯方案,欢迎您了解承制科技网络安全意识服务目录。承制科技具备丰富的网络安全宣传周策划及实施经验,曾为多家央企、政企、大型制造企业等各行业客户服务。凭借承制优质的服务理念及多样化、定制化的产品,收获了客户的大量好评。