近期,钓鱼网站诈骗活动呈高发态势。中央网信办发文表示:举报中心数据显示,2025年全年依法受理处置仿冒假冒网站平台1418个,较去年同比激增1.7倍,涉及国家机关、国有企事业单位、学校、学术期刊、民营企业、金融机构六类单位。
安恒信息副总裁杨绍波在接受央视新闻采访时,就当前钓鱼网站的识别与防护进行解析。他指出,钓鱼网站的核心伪装手段包括利用AI高仿界面、伪造HTTPS安全标识和域名“碰瓷”等,这类网站欺骗性强且生命周期短,难以被普通用户察觉。根据安恒信息监测数据显示,每年钓鱼网址新增,涵盖仿冒网站、诈骗网站,邮箱钓鱼、APP钓鱼等多种形态,尤其近两年,有较大量的关联APT攻击、"银狐"等知名攻击组织相关的钓鱼网站情报。
从实际案例看,不法分子的目标精准且多元:在中高考招录季虚构“广东工商管理学院”等虚假学校网站骗取学费;假借《中国农村卫生》等学术期刊名义收取审稿费、版面费;仿冒国家电网、中国石化网站诱导虚拟商品购买和加油卡充值;冒用浦发银行等金融机构名义开展非法荐股、配资活动,全方位收割不同群体的财产。
起底钓鱼“五件套”:你看到的,都是精心设计
钓鱼网站的伪装手段日益高明,其核心手段主要包括以下五类:
域名“碰瓷”+视觉高仿:不法分子注册与正规平台高度相似的域名,如将港交所官网“hkex.com.hk”篡改为“hkexx.com.hk”“hkex-official.cn”等,利用用户视觉疏忽混淆视听。同时借助AI技术复刻官网界面,从LOGO、配色、栏目布局到字体样式完全一致,部分甚至照搬新闻动态、公告文本,让用户难以分辨真伪。
伪造安全标识+增强可信度:通过非法手段获取HTTPS证书,使仿冒网站显示“锁形”安全标识,误导用户认为网站经过权威认证。部分还会盗用正规平台的备案信息、官方联系方式,甚至在页面底部标注虚假的“ICP备案号”“公安备案号”,进一步降低用户警惕性。
场景化精准诱导+心理操控:结合不同群体需求设计话术:针对职场人士发布“社保补贴申领”“个税退税通知”;针对考生及家长推送“名校补录名额”“内部招生渠道”;针对投资者推出“高收益理财”“股市内幕消息”,利用用户贪利、焦虑、侥幸的心理,诱导其点击链接、填写信息、缴纳费用。
境外部署+域名跳转+躲避监管:仿冒网站的服务器多设在境外,域名频繁更换跳转,一旦被监测发现便迅速切换地址,增加监管和处置难度。部分还会通过社交平台、短信、邮件等渠道定向推送链接,实现“精准投放、快速撤离”的游击式诈骗。
镜像复制+数据窃取:通过技术手段镜像复制正规网站的全部内容,仅修改收款账户、联系方式等关键信息,让用户在查询信息、办理业务时误操作。同时在网站中植入恶意代码,非法收集用户输入的身份证号、银行卡号、密码等敏感信息,形成“诱骗-窃取-转卖”的黑色产业链。
如何防护?技术防线+安全意识缺一不可
企业级防护:云端+终端双重拦截
面对仿冒钓鱼网站的技术升级和蔓延态势,安恒信息构建“云端监测+终端拦截”的全链路防护体系,形成“监测-预警-阻断”的完整闭环,从源头遏制风险:
云端监测
就像一位7×24小时在线的"数字猎手",依靠域名备案智能核验、全球IP路径追溯和页面特征分析三大核心技能,精准识别每一个试图伪装成正规网站的“克隆体”。即便仿冒手段再高明、服务器藏得再隐蔽,这套系统也能在秒级内完成分析与识别,并将其纳入实时更新的全球钓鱼情报库中。
终端拦截
由安恒办公智盾等构成的终端安全产品如同您的个人"防钓助手",时刻守护上网安全:它可同步云端的最新威胁情报,一旦有人误触可疑链接,便会立即弹出清晰预警、果断拦截访问,将风险隔绝在点击的瞬间。对企业而言,这更是一张覆盖全员的安全防护网——员工任何一次可能“手滑”的操作,都会被系统即时感知并预警,从源头避免因误操作引发的信息泄露与经济损失。
防钓指南:记住三查三不
一查官方标识+不点击陌生链接。通过搜索引擎查询正规平台时,优先选择带“官方”标识的结果;不点击短信、微信、邮件中来源不明的链接。
二查域名真伪+不泄露敏感信息。访问平台时手动输入官方域名,仔细核对域名是否与正规平台一致;切勿在非官方渠道填写敏感信息,正规机构不会通过弹窗、链接要求“紧急认证”。