过去几年,邮箱几乎被用户“边缘化”了:Slack、微信、Telegram和Teams横扫全球企业通讯市场;Signal和WhatsApp蚕食了企业和政府加密通信市场(甚至白宫和美国国防部的高级官员也违规使用Signal发布作战计划)。然而,就在大多数人以为邮箱只剩下电子发票和广告推送的时候,黑客的目光重新聚焦在了这个陈旧却遍地漏洞的平台上——而他们的新武器,正是AI。
精准验证攻击可绕过主流电子邮件安全防御机制
在传统印象中,钓鱼邮件靠的是“广撒网”:海量发送伪装成银行、快递或同事的邮件,赌一部分用户会中招。但AI时代,钓鱼技术开始“进化”。
安全公司Hoxhunt近日发出警告:眼下发展迅猛的AI代理技术现在已经具备“击败精英红队”的能力,自动生成语气逼真、上下文合理、语法严谨的鱼叉式钓鱼邮件。而这类攻击的一大特点,是“定制化”。
更可怕的是,这些攻击还融合了来自Cofense所揭示的新技术——精准验证钓鱼(Precision-Validated Phishing):攻击者在部署钓鱼页面前,先通过实时的邮箱验证机制筛选目标,只对“已确认真实且具高价值”的邮箱地址推送攻击链接。测试邮件、安全分析师邮箱、蜜罐账户等都将被提前剔除。企业安全防御团队过去依赖虚假账号测试攻击流程的手段,在此面前形同虚设。
Gmail变革困局:端到端加密
电子邮件安全领域的领头羊——Gmail正在努力追赶威胁演化的速度。谷歌近期宣布为企业用户默认支持端到端加密(E2EE),并推出基于AI的智能搜索功能,试图提升安全性与用户体验。然而,这两个“杀手级功能”却在根本层面相互冲突:
-
AI搜索必须读取邮件内容,E2EE邮件则无法被AI分析;
-
用户需在隐私与效率之间做出选择,无法兼得。
更尴尬的是,这一轮Gmail所谓“端到端加密”也遭遇质疑。科技媒体Ars Technica指出,“Gmail的加密密钥仍掌握在客户端基础设施中”,未能实现真正的用户对用户加密。这对希望完全掌控数据的用户和隐私倡导者而言,显然是不足的。
验证机制反噬:验证码也不再安全?
过去,验证码和邮箱验证链接被视为增强邮箱安全的重要手段。但现在,它们却被黑客反利用:大量鱼叉攻击开始伪装成“企业邮箱验证”、“Microsoft帐号二次登录”或“自动邮件归档确认请求”,利用人类对验证流程的信任完成欺骗。
攻击流程大致如下:
-
诱导点击邮件链接;
-
要求输入邮箱地址进行“验证”;
-
黑客后台实时判断邮箱是否真实有效;
-
若邮箱被判定为研究人员、测试账号,自动跳转到无害页面;
-
若为真实目标,则呈现高仿真的钓鱼登录页。
这种组合攻击降低了曝光率,大大提升了命中率。
一场架构级的挑战:邮件平台注定不安全?
问题的根本并不只是AI。AI只是放大器,真正的问题,是电子邮件这一通信协议本身就诞生于无安全设计的时代:
-
邮件是明文传输、内容可被拦截;
-
验证机制依赖域名和DNS,而这些机制早已被绕过;
-
邮件平台以“平台外兼容”为核心,缺乏统一封闭体系;
这也是为何ProtonMail等“围墙花园式”服务能够真正提供端到端加密,而Gmail、Outlook等“开放平台”至今仍无法完全实现用户对用户的机密通信。
未来路径:邮件安全需要推倒重来?
Cofense给出的判断很清晰:传统凭证钓鱼时代正在被精准验证钓鱼取代,更隐蔽、更难追踪,传统防御手段逐渐失效。
与此同时,大规模AI生成的钓鱼内容也如潮水般来袭。Symantec、Hoxhunt等多家机构预测,未来钓鱼攻击将不再依赖“人类操刀”,而是全流程由AI生成、部署和优化——这不是趋势,而是现实。
在这样的威胁环境下,电子邮件作为一种通用通信机制,其核心架构已经难以胜任未来需求。这正是业内呼吁对邮件进行“底层级重构”的原因:
-
需要像Signal一样从协议设计上实现端对端安全;
-
需要像RCS或iMessage一样,构建跨平台、跨厂商的安全通信标准;
-
更需要让安全“内建”于服务之中,而不是作为“附加选项”附加其后。
结语
电子邮件曾是互联网的第一个杀手级应用,如今却成为攻击者最爱的旧战场。AI不是邮件安全的救星,反而是它的试金石——逼迫用户重新思考信息的发送方式、平台的选择标准,乃至个人隐私的底线。
当Gmail和Outlook仍在旧平台上迭代补丁,而精确钓鱼攻击、伪装验证码诱骗、AI达规模钓鱼已成为现实,问题不是“邮件还能不能安全”,而是——你还敢不敢用它来传递重要信息?
邮件安全,或许到了彻底重构的时候了。
END
原文始发于微信公众号(GoUpSec):邮件安全的头号威胁:精准验证钓鱼攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论