2026年网络安全报告 第14版

第14版 目录： 04全球分析 05重点关注漏洞02网络安全趋势 不止电子邮件：多渠道的社交诈骗 062026 年预测2025 年勒索软件生态系统 从侦察到控制：2025 年网络冲突对运营的影响 07建议03人工智能在网络安全行业的布局 08暴露面管理的视角 引言 引言 人工智能正是这种转变的典型例证。本报告人工智能加剧了这个转变，它增强了攻击者活动的目标、规模和适应性，同时也会影响风险优先级和运营响应。 2025 年，威胁形势迅速演变，整个网络安全的环境和各类威胁的关联性强，也更加难以管控。我们对全球遥测数据和事件的分析揭示了目前网络威胁形势发生了根本性的转变，其标志是新的攻击面和新技术的出现。攻击者正在将人工智能、身份滥用、信息泄露利用和勒索软件整合到他们的攻击活动中。 我们的报告基于实际发生的攻击事件和真实数据。接下来的章节将深入探讨攻击者集中攻击的领域，以及不同的技术如何加强防御彼此之间，以及哪些暴露模式最常导致影响。这为理解威胁形势的发展脉络以及 2026 年最关键的问题提供了必要的背景。 最显著的变化是攻击实施时的执行速度和规模都在加快。数据显示，攻击者正在将访问、执行及其影响通过各种形式关联起来，从人工智能驱动的社交诈骗自动转到勒索软件，并逐步向数据驱动的勒索经济转变。边缘设备和暴露的基础设施越来越多地被用作攻击的跳板。2025年，这些模式在各地区和行业中都持续的被发现，凸显了新技术迅速被应用到实践中并产生切实影响的趋势。 请您仔细阅读本报告中呈现的数据和研究结果。 Lotem Finkelstein，研究院副总裁 LOTEM FINKELSTEINVP 研究院 网络安全趋势 不止电子邮件：多渠道的社交诈骗 在所有组织中，哪个攻击面最容易被利用？对于 2025 年的攻击者来说，答案在于人的因素。在社交诈骗中，威胁行为者试图通过操纵受害者，使其提供初始访问权限，从而实现入侵。在这种攻击中，威胁行为者会以员工、外包人员和第三方服务提供商为目标，以获取对组织系统或敏感信息的访问权限。虽然这些攻击被认为不如利用软件或硬件漏洞的攻击严重，但它们造成的破坏可能与其它方式造成的破坏一样严重。 多年来，网络钓鱼邮件一直是社交诈骗的首要手段，各组织机构也日益意识到这些威胁。然而，到2025年，对社交诈骗相关的攻击不再局限于传统的电子邮件，而是采用了多平台、跨渠道和高度定向的攻击方式，利用电话、即时通讯应用和实时身份冒用等手段。与此同时攻击者也改进了基于电子邮件和浏览器的攻击方式，转向了诸如ClickFix及其变种等交互驱动型技术。这些方法引导用户完成看似合法的操作流程，从而绕过安全控制，并在用户不知情的情况下执行恶意软件。 ClickFix：将执行权转移到用户身上的社交诈骗方式 ClickFix是2025年最重要的社交诈骗技术之一。ClickFix 最早于 2024 年被发现，它是一种初始访问方法，攻击者通过向用户展示虚假指令来诱骗其执行恶意操作。这些指令通常通过被入侵或攻击者控制的网站、恶意广告或品牌冒充电子邮件传播，其设计与常规验证步骤（例如验证码、验证检查或错误修复）非常相似。由于这些步骤看起来像是继续正常活动所必需的合法步骤，用户会被诱骗运行攻击者控制的内容，最终导致恶意软件的传播。 这些方法已导致全球数百万次攻击尝试，并造成多起影响巨大的商业数据泄露事件，给全球企业带来重大经济损失。 该技术利用了用户的信任和遵循技术指令的习惯。由于其简单易用、可扩展且能够绕过某些安全控制，ClickFix 已被证明非常有效，因为恶意操作是由用户手动执行的，而不是通过传统的基于文件的感染链传播。因此，ClickFix 的应用迅速增长。2025 年，ClickFix 的活动比上一年增加了约 500%，并且在近一半有记录的恶意软件中都有发现。 该技术已被广泛应用于各种威胁领域，包括一些知名的网络犯罪集团，例如RedLine和Lumma,它们策划了大规模的信息窃取行动，以及在攻击中投放有效载荷，传播Interlock勒索软件感染。与此同时，新兴恶意软件家族也越来越多地使用ClickFix作为其初始攻击途径。近期的例子包括针对美国居民的 MonsterV2 信息窃取程序活动，以及 Check Point 研究院分析的 PureHVNC RAT 程序活动。除了出于经济动机的犯罪，多个国家支持的 APT 组织也采用了ClickFix 作为首选的传播机制，而不是他们更传统的初始访问技术。 ClickFix 的成功催生了更多采用相同的攻击技术进行社交诈骗的相关事件。2025 年年中，威胁行为者开始采用FileFix，这是一种源自 ClickFix的技术，它通过滥用合法的操作系统工作流程来获取初始访问权限以访问受害者的设备。FileFix依赖于恶意或被入侵的网站来触发一个标准的Windows 资源管理器窗口，用户在该窗口中被指示粘贴看似必需的内容文件路径。此操作会导 2025年，CLICKFIX的活动较去年增长了约500%，并且在近一半的有记录恶意软件活动中被观察到。 致攻击者控制的内容被执行，从而在不使用传统恶意软件传播方式的情况下实现入侵。FileFix 最初作为概念验证而推出，但几周内就被攻击者应用在实际攻击中。从那时起，多个活跃的攻击活动利用该技术来投放恶意软件有，包括InterlockRAT和 StealC 信息窃取程序，这表明成功的社交诈骗方法从研究到实际应用转变的速度有多快。 基于语音的社交诈骗——重大攻击的首选武器 2025年，语音网络钓鱼和身份冒充攻击显著增多，成为一种利用用户信任的高效手段。在这些攻击中，攻击者伪装成受信任或权威人士，并在进行有针对性的侦察后，使用预先准备好的脚本…向受害者施压，迫使其采取重置凭证、更改 MFA代码或授予网络访问权限等措施。历史上与低复杂度相的消费者欺诈，即基于电话的身份冒充，已经演变成一种以企业为中心的入侵技术，用在对大型组织的攻击中的初步立足。 与此同时，攻击者已将 ClickFix 的攻击手段从代码执行扩展到账户入侵。ConsentFix 于 2025年底出现，它将类似的社交诈骗原理应用于云环境。它诱骗用户完成合法的 Microsoft/AzureOAuth 登录流程。然后攻击者指示用户复制并粘贴包含 OAuth 授权码的本地主机 URL 到攻击者控制的容器页面中。窃取的授权码用于获取令牌，并在无需获取密码和完成多因素身份验证(MFA) 的情况下访问用户的 Microsoft 账户。 2025年，针对知名品牌的复杂威胁组织将基于语音的身份冒充攻击认定为为首选的技术。这些攻击者进行深入的侦察，利用多种通信平台与受害者互动，并执行复杂的多阶段社交诈骗脚本以达到其攻击目的。在一些案例中，语音驱动的攻击活动使攻击者能够获得初始访问权限，从而发动了当年一些最具破坏性和影响力的企业级的入侵。 ClickFix 及其变种在 2025 年的流行已扩展到 Windows 环境之外。威胁行为者专门针对macOS 用户发起攻击活动，并利用 ClickFix 技术攻击Linux 系统。正如我们在网络钓鱼工具包中看到的那样，ClickFix 开始商品化，例如IUAMClickFix Generator等工具包的出现，使攻击者能够创建高度可定制的跨平台 ClickFix 攻击活动，并迅速大规模地应用该技术。 诱骗受害者在其自身系统上发起恶意活动，反映了攻击者社交诈骗策略的更广泛转变，即利用用户对终端、浏览器和云身份平台等合法流程的信任。 历史上与低复杂度的消费者欺诈、电话诈骗相关基于身份冒充的攻击已经演变为以企业为中心的入侵。用于在大型组织中获得初步立足的技巧。 最值得注意的是，此次活动与以经济利益为目的的威胁行为者有关，例如 Scattered Spider 和通常被称为 Scattered LAPSUS$ Hunters (SLH) 的集群。Scattered Spider（也被称为 UNC3944 /Octo Tempest）是一个高效的、专注于入侵的集群，以身份中心化的初始访问技术而闻名，包括冒充服务台和 IT 供应商、多因素身份验证疲劳以及 SIM 卡交换账户接管。SLH 是由与 ScatteredSpider、LAPSUS$ 和 ShinyHunters 相关的运营者、采用相似的工具和策略共同实施。这三个组织都有着高调的企业入侵和勒索记录。过去值得注意的攻击事件包括 Shiny Hunters 在 2024 年入侵美国电信巨头 AT&T，该组织因此获得了超过 35 万美元的赎金；同时 Scattered Spider 在2023年对MGM Resorts 也实施了攻击。 Lapsus$ 在 2022年通过被入侵的第三方支持提供商攻击了身份验证公司 Okta。 成功地冒充成功地冒充合法成员。攻击者诱骗一名技术支持工程师重置密码以获取访问权限，从而部署了 DragonForce 勒索软件。此次事件迫使玛莎百货暂停在线订单一个多月，并扰乱了实体店的运营，导致客户数据被盗。该公司后来估计损失了约3亿英镑的利润。直接事件响应和恢复成本达 1.36 亿英镑。 2025年，语音驱动的社交诈骗成为首要学科初始访问向量,在影响较大的企业数据泄露事件中发挥着重要作用，导致数据盗窃和勒索。 高影响力的企业攻击事件 SLH与2025年发生的几起影响巨大的事件有关，在这些事件中，语音驱动的社交诈骗成为针对大型企业的首要初始入侵途径，从而获取数据。盗窃和勒索。2025 年 4 月，Scattered Spider 通过有针对性的社交诈骗行动，并辅以广泛的侦察，入侵入侵了英国零售商 Marks & Spencer 的网络。攻击者收集了有关该公司成员和内部流程的详细信息，使他们能够在联系为 Marks &Spencer 提供支持的第三方服务台提供商时， 另一起案例中，英国汽车制造商捷豹路虎（JLR）于2025年8月成为SLH的攻击目标。攻击者入侵了其内部系统，窃取了客户数据，并强制关闭了IT和生产环境，导致生产中断数周。虽然没有技术 评估结果的公布，但报告显示，此次入侵可能涉及针对 IT 支持团队的社交诈骗，这与 SLH 之前的活动一致。据估计，此次事件造成的损失约为19亿英镑。 2025年初，以高超的语音钓鱼攻击手段而闻名的威胁组织ShinyHunters（也被追踪为UNC6040）针对各组织的Salesforce环境发起定向攻击，以获取大规模数据。盗窃和勒索。攻击者主要针对跨国企业的英语分支机构的员工。他们冒充公司内部IT支持人员来胁迫受害者。授予访问权限或披露敏感信息通过获取凭证，最终导致 Salesforce 的 数据被窃取。攻击者随后声称，此次攻击活动影响了约 40 家组织，其中包括多家全球知名品牌，并导致近 10 亿条记录被窃取。这些说法尚未得到证实。 现有报告显示，在多起案例中，与SLH生态系统相关的个人均来自西方国家。公开的逮捕记录和起诉书中列出了具有美国、英国和欧洲国籍的个人。这或许可以解释为何这些操作者具备如此精通的语言和文化背景，从而能够对欧洲和北美机构发起基于语音的身份冒充攻击。 语音冒充攻击的广泛应用，无论是针对个人还是知名企业，都是2025年社交诈骗发展趋势的显著特征之一。一些影响巨大的攻击活动给受影响的组织造成了巨大的财务和运营损失。 除了企业入侵之外，语音冒充仍然是重要的欺诈手段，尤其是在针对普通公民的以经济利益为目的的诈骗中。在这些案例中，攻击者通常会冒充金融机构或加密货币平台，迫使受害者转移资金或泄露账户凭证，从而实现账户盗用。根据 FBI的报告，2025 年通过语音进行的欺诈和账户盗用事件造成的损失超过 2.5 亿美元。 受害者发起的社交诈骗 语音身份冒充已成为一种趋势 2025 年，我们 observable 到受害者发起的（入站）社交诈骗趋势日益增长，攻击者故意引导目标主动发起联系，从而