移动钓鱼已超过邮件钓鱼

关键信息

Verizon 表示，这些结论基于 2025 年超过 31,000 起真实安全事件，以及来自 145 个国家的 22,000 起已确认数据泄露。在钓鱼模拟中，以移动设备为中心的诱饵点击率约为 2%，而邮件钓鱼约为 1.4%，高出 40%。

资讯摘要

ZDNET 表示，Verizon 最新的 DBIR 显示钓鱼手法正在发生明显转移：以移动设备为入口的攻击已经超过了邮件威胁。报告认为，随着人们越来越善于识别传统钓鱼邮件，犯罪分子正在转向短信、电话以及其他基于移动设备的社交工程方式。Verizon 的分析基于 2025 年超过 31,000 起真实安全事件，以及来自 145 个国家、22,000 起已确认的数据泄露。报告还指出，在已知泄露事件中，“人为因素”出现在 62% 的案例里，同比上升了 2%。

Verizon 还称，社交工程占全部泄露事件的 16%，仍然是数据窃取、支付欺诈、勒索软件和敲诈勒索的重要入口。钓鱼模拟测试显示，语音钓鱼和短信诈骗等移动端诱饵的点击率比邮件钓鱼高出 40%。文章提到，预设情境欺骗（pretexting）也越来越常见，也就是攻击者先冒充高管、供应商、客服台人员，甚至家人建立信任，再诱导受害者做出有害操作。文章给出的核心结论是，企业不能再把邮件防护当作唯一重点，而应把培训和防御扩展到移动通信渠道。

资讯正文

关注 ZDNET：在 Google 上将我们添加为首选来源。ZDNET 的核心要点：Verizon 的 DBIR 揭示了企业安全领域的主要趋势。移动钓鱼攻击正超过基于电子邮件的攻击。企业需要针对移动端的钓鱼培训。

随着我们越来越能够识别传统钓鱼尝试，移动攻击向量正在超越电子邮件威胁，Verizon 在一份探讨数据泄露格局及其对全球企业影响的新报告中表示。

另外：担心全国性的 Canvas 数据泄露吗？现在就采取这 6 个步骤

在 Verizon 的 2026 年数据泄露调查报告（DBIR）中，该公司表示，以移动端为中心的网络攻击正越来越受欢迎，而且其点击率高于通过电子邮件发送的同类钓鱼尝试，这引发了一个问题：我们现有的钓鱼防护是否足够。

移动社交工程成为焦点

根据 2025 年收集的 31,000 多起真实世界安全事件数据，其中包括 145 个国家和地区组织遭受的 22,000 起已确认数据泄露，Verizon 表示，“移动设备比电子邮件更危险。”

另外：2026 年最佳移动杀毒软件：经专家测试与评测

一组钓鱼模拟评估也支持这一说法。在这些评估中，以移动端为中心的攻击向量——包括基于语音的钓鱼（vishing）和短信骗局——都是有效诱饵，其点击率比传统电子邮件钓鱼骗局高出 40%。

人为因素

人往往是安全系统中最薄弱的一环，而威胁行为者对此心知肚明。不过，这并不意味着我们的整体网络安全意识没有提高；这只是意味着网络犯罪分子正在调整他们的战术。根据 Verizon 的报告，“人为因素”出现在 62% 的已知和已记录数据泄露事件中，同比小幅上升 2%。

另外：隐藏在那些不停发送的诈骗短信背后的阴暗 SIM 卡农场——以及如何保持安全

不幸的是，数据表明，许多网络犯罪分子正在利用我们的信任来窃取数据、实施支付欺诈，或作为更严重安全事件的前奏，包括部署勒索软件和实施敲诈。当发送钓鱼邮件已不够用时，他们开始采取 Verizon 所称的“预设情境诱骗（pretexting）”——这一令人担忧的发展表明，如今心理学在现代网络攻击中扮演的角色越来越重要。

预设情境诱骗与钓鱼

社交工程占所有泄露事件的 16%，指的是通过心理操纵，诱使我们采取会危及个人安全和隐私，或企业（例如我们的雇主）安全和隐私的行为。这些手法的范围很广，从让一名员工放行一名伪装成送货司机的罪犯进入受保护的建筑，到有人冒充你的亲人制造财务紧急情况。

当应用于移动技术时，钓鱼通常会以虚假短信、语音留言和来电的形式出现，以达成恶意目的。这不仅仅是网络犯罪分子冒充你致电你的电信运营商以更换你的 SIM 卡；如果将“预设情境诱骗”作为一种战术使用，犯罪分子会先与受害者建立信任基础，然后再设下陷阱。

另请参见：如何在 Android 上检查短信是否为垃圾信息——以及我依赖的免费工具

把它看作是对用于定向、更加复杂攻击的通用网络钓鱼手段的一种升级。例如，金融部门的一名员工可能会成为目标，攻击者会通过移动消息和电话建立友好关系，并伪装成高管、团队成员或供应商。等到建立起足够的信任后，受害者就会被诱骗修改发票的付款细节，结果把现金不知不觉地汇给犯罪分子，而不是供应商。Verizon 数据集中模拟电子邮件钓鱼活动的平均点击率为 1.4%，而基于电话的钓鱼率约为 2%，高出 40%。报告称：“无论术语如何，各类攻击者一直在利用这些手段，通过冒充帮助台客服人员或需要重置密码的用户来实施攻击，并取得了中等程度的成功。”“这里的关键结论是，使用以电话为中心的载体——短信、语音电话，或以回拨为重点的电子邮件——进行的社交攻击，在我们的数据集中比防御者习以为常的传统电子邮件载体更成功。”

更多关键安全趋势

Verizon 的研究还显示，如今近三分之一（31%）的入侵是从漏洞被利用开始的，这也是首次“利用安全漏洞”作为进入目标系统的初始入口，超过了“窃取凭证”；后者目前只占 13% 的事件原因。这一变化被认为与 AI 有关。报告称，网络犯罪分子正在利用 AI 缩短漏洞利用所需时间，“把防御窗口从数月压缩到短短数小时。”另请参见：这个简单的 ChatGPT 技巧能帮你在点击或回复之前识别骗局

此外，CISA 记录的关键漏洞中，只有 26% 在 2025 年得到了完全修补并解决，低于 2024 年的 38%。组织还应当关注的另一个有趣趋势是 shadow AI。企业早已熟悉 shadow IT，也就是员工未经明确批准使用设备和在线服务，但现在 shadow AI 也成为潜在的安全风险。总的来说，67% 的员工正在公司发放的设备上使用非公司账号的 AI 账户。Shadow AI 是去年记录到的第三常见、非恶意的内部威胁，用户经常向这些模型提交敏感、机密的公司数据，包括源代码、研究资料和技术文档。

如何保持防护

由于样本量较小，Verizon 关于以移动设备为中心的钓鱼研究中的一些共同点确实存在一定 caveat。不过，这也是因为可用的数据点并不多，因为看起来并没有太多公司在进行以移动为重点的钓鱼模拟或培训——而这反过来又暴露出一个潜在问题。钓鱼培训并不新鲜，尽管它的效果存在争议，尤其是当它仅仅被视为一年一度、为了完成检查项而做的例行活动时。

但很少有组织会考虑现代网络钓鱼手段中的移动端因素，这可能让它们面临更大的风险，尤其是在员工使用自己的设备访问公司网络和系统时。如果网络犯罪分子能够通过直接联系毫无防备的员工来绕过安全系统，那么对反钓鱼防御的投入就可能变得毫无价值。对于组织而言，解决办法是制定新的策略，以应对横跨电子邮件和移动端的传统及不断演变的网络钓鱼威胁。随着“借口攻击”（pretexting）也在增加，培训应当让员工明白，网络钓鱼早已不只是大规模撒网式电子邮件——这些罪犯会打感情牌，利用你的信任来达到目的。另外：云攻击正变得更快、更致命——保护企业安全的4种方法。此外，这类攻击还可能通过员工自有设备发生，而这些设备不受你的控制，可能对企业安全构成隐形威胁，因此组织应重新考虑是否允许此类访问，或撤销自带设备（BYOD）方案。从短期看，允许员工使用自己的智能手机可能为公司节省资金，但数据泄露的代价可不便宜。

来源与参考

1. 原始链接
2. Mobile phishing is a bigger threat than email now - how to stay protected