“HR紧急通知”藏陷阱：AI加持下的钓鱼攻击更逼真了

新型钓鱼攻击利用AI技术实现语义伪装升级，伪装成“放假安排”“税务稽查”等社会热点事件，甚至伪造通知。攻击载体从文本扩展至语音、视频、二维码等多模态形式。攻击者通过开源情报构建目标人物行为图谱，针对科研人员发“学术会议通知”，针对财务人员伪造“紧急付款指令”，并利用供应链薄弱环节植入恶意代码。

即时通信软件的高频使用让攻击更隐蔽，攻击者以“紧急”“帮个忙”等话术制造心理压力。此外，攻击者还通过“时间对抗”技术延迟钓鱼页面加载以绕过检测。

个人防护：避免在社交媒体上传人脸、声纹、指纹等生物信息，使用PIN码+硬件密钥组合验证;不随意点击陌生链接和附件，通过官方渠道核实“工作通知”“放假安排”等信息。

机构防护：对供应链实施穿透式安全监管，对关键信息基础设施供应商实施代码审计和漏洞溯源;对数据实施“加密+脱敏+访问控制”三重防护;启用多因素认证，使用杀毒软件、防火墙、邮件过滤工具，保持防病毒软件实时监控。

社会防护：开展线下宣讲、情景短剧、游戏互动等安全保密宣教活动;定期开展钓鱼邮件演练和模拟攻击培训;建立举报奖励机制，开通多渠道举报通道。