这届钓鱼邮件太“AI”装了-安全KER

当钓鱼邮件披上AI的外衣，攻击与防御的天平正被悄然改写……

在某央企集团二级子公司攻防演练的关键阶段，攻击者利用恶意AI工具，批量炮制以“漏洞修复通知”为主题的钓鱼邮件，邮件不仅对发件人域名进行精细化伪装（将 “gov.cn”篡改为”g0v.cn”），更携带0day/Nday恶意附件并通过加密压缩隐蔽踪迹，迷惑性极强。

短短24小时内，该单位安全设备即被5000余条邮件威胁告警淹没。然而，近60%为正常业务邮件误报，而真正携带0day漏洞的高风险钓鱼邮件，却因 “加密附件隐蔽性” 险些突破防线，给企业网络埋下重大安全隐患。

经360安全智能体对近年来攻防演练数据的分析显示，采用 “AI生成+场景诱导” 的钓鱼邮件已让传统检测工具拦截率跌至49.8%——这意味着每100封恶意邮件中，就有一半可能绕过防线、直达目标用户。

AI钓鱼邮件“破防”了！

今年攻防演练中，钓鱼邮件的“智能化”蜕变让安全防线屡屡承压。这些攻击已脱离粗制滥造的传统形态，成为具备AI基因的精准打击工具，呈现三大智能化特征：

一是伪装精度突破认知，攻击者通过AI学习目标机构的邮件沟通习惯，从签名格式到措辞风格实现“像素级模仿”。

二是加密混淆技术升级，超80%的恶意附件采用多层加密压缩，直接规避传统静态检测，隐蔽性显著提升。

三是精准把控攻击时机，利用防御薄弱窗口。攻防演练期间，约50%的钓鱼邮件集中在凌晨2-4点（值守换班间隙）或重大活动前12小时发送，精准利用防御薄弱窗口。

这种 “懂伪装、会隐藏、善时机” 的智能攻击，让传统检测陷入两难。过度敏感则误报率飙升干扰业务，放宽阈值则漏报风险剧增。显然，AI 时代的钓鱼邮件防护，已到了迫在眉睫的地步。

360重构钓鱼邮件智能化检测全链路

面对AI驱动的新型钓鱼攻击，360NDR以安全大模型为核心，重构钓鱼邮件检测全链路，通过“钓鱼邮件检测智能体”搭建自适应智能防御体系，实现“全量覆盖、精准研判”，并在实战中展现三大核心优势：

突破加密壁垒，隐蔽威胁无所遁形：针对攻击者最常用的“多层加密压缩附件” 逃避检测手段，360钓鱼邮件检测智能体依托自然语义深度理解技术，突破传统“暴力破解”的局限性。通过解析邮件正文语境、关联历史通信特征，精准提取加密附件内容，再经沙箱动态执行验证威胁属性，对加密隐蔽恶意邮件的识别率提升90%以上，彻底打破“加密即安全”的攻击误区。

深度语义解构，看穿AI生成的 “完美伪装”：依托多模态大模型的强语义理解能力，360钓鱼邮件智能体从发件人解析、邮件路由分析、时间戳分析三个维度构建立体检测网：可追踪经过多层代理伪装的邮件传输路径，精准识别异常；支持中英日韩等10余种语言混合分析，快速锁定诱导性表述；通过百万级样本训练形成 “紧急话术库”，瞬间识别典型陷阱，研判效率较人工提升10倍，从根本上破解AI伪装难题。

重构检测效率，从被动响应到主动防御：360钓鱼邮件检测智能体内置高性能文件沙箱，对邮件附件采用 “静态检测（AV+情报+漏洞）+动态监测（行为分析+YARA+机器学习+逃逸对抗）” 的协同机制，可实现自动化高效分析。每一份附件均可生成包含200+行为特征的检测报告，钓鱼邮件检测专家通过分析文件释放、联网、注册表操作、API 调用等行为，输出高效可读的研判结果，为安全决策提供精准依据。