你以为金融诈骗还停留在“冒充银行客服”的老套路？现实远比你想象的更危险。

最近，全球金融市场正悄悄掀起一股“安全焦虑”。多家券商、支付平台接连曝出账户异常操作事件：有人收到一封看似合规的“反洗钱审查”邮件，点击后短短10分钟内，账户资金就被转出；有企业财务接到“CEO”语音电话，语气急促要求紧急付款，回拨却发现号码已被注销。

这不是电影情节，而是正在发生的金融定向钓鱼（Spear Phishing）与账户接管（ATO）攻击。更令人担忧的是，这类攻击正与全球市场波动、地缘风险叠加，形成“技术+金融”的双重风暴。

钓鱼攻击“提速”：从“发邮件”到“转钱”仅需几分钟

过去，网络钓鱼往往是个“慢活儿”——发邮件、等点击、盗密码、再登录，整个过程可能持续数小时甚至数天。

但如今，攻击者已将整个链条“工业化”和“自动化”。

“最危险的是 AiTM（Adversary-in-the-Middle）中间人代理攻击。” 公共互联网反网络钓鱼工作组技术专家芦笛解释道，“攻击者不再只是偷密码，而是实时劫持你的登录会话。”

具体怎么操作？

当你点击钓鱼链接并输入账号密码时，页面会悄悄将你的凭证和多因素认证（MFA）验证码同步转发给攻击者。与此同时，攻击者已用你的身份登录真实银行系统，而你还以为自己只是“登录失败”。

“整个过程用户毫无察觉，攻击者甚至能在你登录的同时，直接发起转账。”芦笛说，“从首次接触邮件到大额转账尝试，时间窗口已压缩到几分钟内。”

更可怕的是，Deepfake（深度伪造）语音技术也被用于“高管欺诈”。攻击者通过AI克隆企业高管的声音，拨打紧急电话要求财务转账，语气逼真，连长期共事的下属都难以分辨。

“我们已发现多起案例，骗子用AI合成的‘CFO声音’，在会议间隙打给财务，说‘我现在在开会，没法发邮件，你先转500万到XX账户’。”芦笛透露，“等发现时，钱早已被拆分成多笔小额交易，流向境外空壳公司。”

为何金融行业“中招”最多？

金融行业天然就是网络犯罪的“高价值目标”——账户里有真金白银，交易系统权限大，客户数据丰富。

但近期攻击频发，背后还有更深层的“天时地利”：

1. 市场波动加剧，通信频率飙升

当前全球利率前景不明，地缘冲突频发，金融市场交易量激增。企业和金融机构之间的邮件、电话、消息往来成倍增加。

“高频通信流就像一片‘信息丛林’，攻击者很容易把钓鱼邮件伪装成正常的交易确认、合规通知或清算指令。”芦笛指出，“你每天收到几十封业务邮件，哪一封是假的？很难分辨。”

2. 中小机构成“套利目标”

大型银行普遍部署了高级威胁检测系统，但许多中小券商、跨境支付初创企业因安全投入不足，成为攻击者的“首选软柿子”。

“这些机构客户账户多、交易权限高，但安全防护薄弱。”芦笛说，“一旦攻陷一个管理员账户，攻击者不仅能直接转款，还能用它去洗钱、操纵小盘股，甚至通过‘社交信任链’扩散到合作方。”

更有甚者，被黑账户会被打包出售给其他犯罪团伙，形成“一条龙”黑产服务。

防御升级：从“事后补救”到“事前拦截+事中阻断”

面对如此凶猛的攻击，传统“杀毒软件+防火墙”的被动防御已远远不够。专家呼吁，金融机构必须构建“端到端”的主动防御体系。

1. 交易行为分析：AI盯住“异常动作”

芦笛建议，银行应部署交易行为分析系统，实时监控每一笔操作是否“正常”。

比如：

突然向一个从未交易过的对手方转账大额资金？

在非工作时间发起跨境汇款？

同一设备短时间内登录多个高权限账户？

“这些异常行为模式，比单纯看IP地址或密码更可靠。”他说。

2. 连续认证 + 设备指纹：让“身份”全程可追踪

除了登录时的MFA，还应实施连续认证——即在用户会话期间，持续验证其身份。

例如：

检测鼠标移动轨迹、打字节奏是否与本人一致；

绑定设备指纹（硬件ID、操作系统特征），防止会话被“中继”到其他设备。

“即使攻击者拿到了你的登录凭证，但如果设备不匹配，系统也能及时阻断。”芦笛解释。

3. 客户端防护：推广FIDO Passkey与即时风险提示

对个人用户，应大力推广FIDO无密码登录（如指纹、面容ID+硬件密钥）。

“Passkey基于公钥加密，不会在网络上传输密码，从根本上杜绝钓鱼。”芦笛强调。

同时，银行App应在用户操作时弹出即时风险提示，如：“您正在向境外账户转账，确认是您本人操作吗？”

4. 跨机构情报共享：织一张“天网”

单个机构的力量有限，必须推动跨银行、跨支付平台的威胁情报共享。

例如：

共享已知的恶意域名、钓鱼IP；

通报被黑的IBAN账户、加密货币钱包地址；

建立黑名单库，防止黑钱在不同机构间流转。

“就像防疫需要‘健康码’互通，金融安全也需要‘风险情报’互通。”芦笛比喻道。

监管出手在即：强制“确认收款人”与“负反馈机制”

值得关注的是，全球监管层已开始行动。

据业内人士透露，多个国家的金融监管机构正考虑对实时支付系统（如中国的超级网银、欧洲的SEPA Instant）强制实施两项新规则：

确认收款人（Confirming the Payee）：在转账前，系统必须明确显示收款人全名，与账号匹配，防止“账号对、人不对”的诈骗。

多因子负反馈机制：当系统检测到高风险交易时，可主动触发二次验证，甚至临时冻结，需用户明确确认才能继续。

“这将是支付安全的一次重大升级。”芦笛评价，“过去我们总说‘用户自己要小心’，现在系统必须承担更多责任。”

投资者注意：网络安全板块迎来“风口”？

市场对金融钓鱼的担忧，也正在转化为投资机会。

近期，网络安全板块表现抢眼，尤其是具备以下技术能力的厂商：

AI驱动的钓鱼检测（能识别语义异常、伪造邮件头）

身份威胁响应（ITDR）（专攻账户劫持与MFA绕过）

浏览器隔离技术（在云端打开可疑链接，本地零风险）

“这些不再是‘可有可无’的附加功能，而是金融机构的‘生存刚需’。”芦笛预测，“未来三年，金融行业的网络安全投入将加速增长。”

结语：安全，已成为金融的“基础设施”

曾几何时，网络安全被视为IT部门的“后台工作”。但今天，它已直接关系到资金安全、市场稳定与客户信任。

在数字化浪潮下，每一次点击、每一笔转账，都是一场潜在的“信任考验”。

“我们不能再把安全当作成本，而应视为核心竞争力。”芦笛最后强调，“在这个‘谁掌握数据，谁就掌握权力’的时代，保护账户，就是保护金融的生命线。”

编辑：芦笛（公共互联网反网络钓鱼工作组）