摘要:
在持续地缘紧张背景下,针对国家关键数字服务的网络钓鱼攻击呈现出政治与经济双重目标融合的新特征。2025年,以色列国家网络局联合本土安全初创公司Malmanta AI成功挫败一起大规模仿冒政府网站的钓鱼行动,攻击者通过高度逼真的希伯来语伪门户,诱导公民提交身份证号、税务信息及一次性验证码,进而实施身份盗用与财政欺诈。本文基于该事件的技术细节,系统分析此类攻击在域名构造、内容伪装、跳转链路及社会工程诱饵等方面的创新手法,重点揭示其如何利用语言近似性、合法站点跳转与官方UI组件复用提升欺骗性。在此基础上,提出一种融合自然语言风格建模与前端资源指纹比对的早期检测框架,并通过机器学习模型实现对钓鱼页面的自动识别。同时,构建覆盖域名策略、用户行为、身份验证与公共信任体系的纵深防御架构,包括强制DMARC部署、集中化可信登录标识、多通道二次确认等具体措施。文中提供实际代码示例,展示文案异常检测与CSS组件差异分析的实现逻辑。研究表明,在混合战争语境下,钓鱼攻击已超越传统金融欺诈范畴,成为影响社会稳定与政府公信力的战略工具,需以国家层面协同机制应对。
关键词:钓鱼攻击;政府门户网站;地缘网络安全;自然语言建模;DMARC;身份盗用;Malmanta AI
一、引言
近年来,网络空间日益成为地缘政治对抗的延伸战场。特别是在中东等高紧张区域,针对国家数字基础设施的攻击不仅旨在窃取经济利益,更试图削弱公众对政府机构的信任,制造社会混乱。2025年初,以色列国家网络局(National Cyber Directorate, INCD)与本土人工智能安全公司Malmanta AI联合披露了一起针对政府数字服务门户的大规模钓鱼攻击事件。攻击者创建数十个高度仿真的希伯来语网站,冒充税务申报、社会福利申领及数字身份证验证等关键公共服务平台,通过短信和电子邮件分发短链接,诱导公民在伪门户中输入敏感身份信息及一次性验证码(OTP)。部分受害者账户随后被用于提交虚假补贴申请或转移信用额度,造成直接经济损失,同时引发公众对政府在线服务安全性的广泛质疑。
与传统钓鱼攻击不同,此次行动展现出三个显著特征:其一,攻击时机与地区安全局势高度同步,具有明显的混合战(Hybrid Warfare)属性;其二,钓鱼页面在语言风格、排版布局乃至前端组件上均刻意模仿官方站点,欺骗性极强;其三,攻击链中嵌入了从已被入侵的合法小型网站跳转的中间环节,规避基于URL黑名单的检测机制。这些特征表明,现代钓鱼攻击已从“广撒网”式欺诈演变为精准、定向且具备战略意图的信息作战手段。
现有学术研究多聚焦于通用钓鱼检测技术,如URL特征提取、HTML结构相似度计算或邮件头分析,但对特定语境下(如国家危机期间)针对政府服务的高保真仿冒攻击关注不足。尤其在非拉丁语系(如希伯来语)环境中,字符形近替换、从右向左(RTL)排版等特性进一步增加了检测难度。此外,多数防御方案仍停留在终端用户教育层面,缺乏系统性、可自动化的技术响应机制。
本文以以色列此次事件为案例,深入剖析仿冒政府门户钓鱼攻击的技术实现路径,并提出一套结合语言建模与前端资源指纹的早期预警方法。全文结构如下:第二部分详述攻击链各环节的技术细节;第三部分构建基于自然语言处理与CSS组件比对的检测模型,并提供可复现的代码示例;第四部分设计涵盖技术、策略与公众沟通的多层次防御体系;第五部分讨论地缘背景下的攻击演化趋势与应对挑战;第六部分总结研究发现并提出政策建议。
二、攻击链技术分析
本次钓鱼攻击采用典型的多阶段渗透模式,其核心在于利用公众在危机时期对政府信息的高度依赖心理,结合技术伪装实现高效转化。
(一)域名构造与信任建立
攻击者注册的域名普遍采用以下策略:1)使用.gov.il的近似拼写,如govv.il、g0v.il或gov-il.com,利用视觉混淆;2)采用希伯来语转写形式,如“mishtal”(意为“治理”)替代“memshelet”(政府),虽非官方术语但语义相近;3)部分域名甚至包含真实政府部门缩写(如pitzuchim—内政部),增强可信度。值得注意的是,所有钓鱼域名均未直接出现在初始诱饵中,而是通过短链接服务(如bit.ly)或已被攻陷的地方市政小站进行跳转,有效规避邮件网关对恶意域名的实时拦截。
(二)钓鱼页面高保真仿冒
钓鱼页面在视觉与交互上高度还原官方门户。具体表现为:1)完整复用以色列政府统一UI框架(如“Israel Digital Identity”设计系统)中的按钮、表单与图标;2)采用官方配色方案(蓝白主色)及字体(如David字体);3)嵌入真实的政府徽标与版权声明。更关键的是,文案内容经过精心编写,使用符合政府公文风格的正式希伯来语,包括标准问候语、法律条款引用及服务说明文本。这种语言层面的拟真,使得即使警惕性较高的用户也难以察觉异常。
(三)社会工程诱饵设计
攻击消息通常以“紧急通知”形式出现,例如:“您的数字身份证即将失效,请立即验证”或“您有未领取的战争补贴,请在24小时内确认”。消息通过短信或WhatsApp发送,声称来自“内政部”或“税务署”,并附带短链接。点击后,用户被引导至伪门户,要求输入身份证号(Teudat Zehut)、手机号及接收到的OTP。一旦提交,攻击者即获得完整身份凭证,可登录真实政府服务账户。
(四)后续滥用与影响扩散
获取账户后,攻击者主要实施两类操作:1)提交虚假福利申请,将资金转入控制的银行账户;2)修改个人资料中的联系方式,为长期监控或二次诈骗铺路。部分案例中,攻击者还利用被盗账户向其他公民发送钓鱼消息,形成病毒式传播。由于涉及敏感身份数据,事件引发了公众对政府数字服务安全架构的广泛不信任,具有明显的舆论操控意图。
三、基于语言与前端特征的钓鱼检测模型
针对上述高保真仿冒特点,传统基于黑名单或简单关键词匹配的检测方法效果有限。本文提出一种双通道检测框架:通道一聚焦文案语言风格异常,通道二分析前端资源组件差异。
(一)语言风格建模
政府公文具有高度规范化的语言特征,包括固定句式、特定术语频率及正式语气。我们训练一个基于Transformer的希伯来语文本分类器,区分“官方文案”与“仿冒文案”。
首先,收集以色列主要政府门户(如gov.il、mishtal.gov.il)的公开页面文本作为正样本,同时从历史钓鱼样本中提取负样本。对文本进行预处理:去除HTML标签、标准化希伯来语变音符号、保留从右向左书写顺序。
随后,使用预训练的HeBERT(希伯来语BERT)模型进行微调:
from transformers import AutoTokenizer, AutoModelForSequenceClassification, Trainer, TrainingArguments
import torch
# 加载希伯来语预训练模型
model_name = "onlplab/alephbert-base"
tokenizer = AutoTokenizer.from_pretrained(model_name)
model = AutoModelForSequenceClassification.from_pretrained(model_name, num_labels=2)
# 示例训练数据格式
train_texts = ["הכניסו את מספר הזהות שלכם לאימות", "..."] # 混合官方与钓鱼文本
train_labels = [1, 0, ...] # 1=官方, 0=钓鱼
# 编码
encodings = tokenizer(train_texts, truncation=True, padding=True, max_length=128)
class GovTextDataset(torch.utils.data.Dataset):
def __init__(self, encodings, labels):
self.encodings = encodings
self.labels = labels
def __getitem__(self, idx):
item = {key: torch.tensor(val[idx]) for key, val in self.encodings.items()}
item['labels'] = torch.tensor(self.labels[idx])
return item
def __len__(self):
return len(self.labels)
train_dataset = GovTextDataset(encodings, train_labels)
# 训练
training_args = TrainingArguments(
output_dir='./results',
num_train_epochs=3,
per_device_train_batch_size=16,
logging_steps=100
)
trainer = Trainer(
model=model,
args=training_args,
train_dataset=train_dataset
)
trainer.train()
该模型可部署于网络爬虫前端,对新发现的疑似政府页面进行实时评分。若语言风格偏离阈值,则标记为可疑。
(二)前端组件指纹比对
即使文案高度相似,钓鱼页面在CSS/JS资源上往往存在细微差异。我们提取官方门户的关键前端组件哈希值作为“指纹”:
import hashlib
import requests
from bs4 import BeautifulSoup
def get_official_fingerprints():
# 预先抓取官方站点关键资源哈希
official_css_url = "https://www.gov.il/assets/css/main.min.css"
resp = requests.get(official_css_url)
css_hash = hashlib.sha256(resp.content).hexdigest()
return {"main_css": css_hash}
def compare_page_fingerprint(suspected_url, official_fps):
resp = requests.get(suspected_url)
soup = BeautifulSoup(resp.text, 'html.parser')
# 提取页面引用的CSS
css_links = [link['href'] for link in soup.find_all('link', rel='stylesheet') if 'gov.il' not in link.get('href', '')]
for css_url in css_links:
if css_url.startswith('/'):
css_url = suspected_url.rstrip('/') + css_url
try:
css_resp = requests.get(css_url)
suspect_hash = hashlib.sha256(css_resp.content).hexdigest()
if suspect_hash != official_fps['main_css']:
return False # 组件不匹配
except:
continue
return True # 所有组件匹配
通过定期更新官方指纹库,并对新域名页面进行比对,可有效识别资源篡改或自建仿冒站点。
四、纵深防御体系构建
单一检测技术不足以应对动态演化的PhaaS威胁。需构建覆盖基础设施、身份管理、公众沟通的综合防御体系。
(一)强化域名与邮件安全策略
全面部署DMARC强制策略:政府域名应配置p=reject策略,拒绝未通过SPF/DKIM验证的邮件。这可阻止攻击者伪造“tax@gov.il”等发件人地址。
推广BIMI(Brand Indicators for Message Identification):在支持的邮件客户端中显示政府徽标,提升用户对合法邮件的识别能力。
(二)集中化可信登录入口
建议所有政府数字服务统一通过https://login.gov.il进行身份认证,而非分散在各子站。该入口应具备以下特征:
固定HTTPS证书指纹,支持浏览器证书钉扎(Certificate Pinning)
显示动态安全标语(如“今日无紧急通知”)
集成多因素认证强制策略
(三)用户端防护增强
启用账户活动通知:当账户发生登录、资料修改或申请提交时,通过独立通道(如专用APP推送)通知用户。
推广“永不点击短信链接”原则:政府应明确声明“绝不会通过短信发送登录链接”,并将此纳入公共安全宣传。
(四)国家协同响应机制
建立由INCD牵头、私营安全公司参与的“钓鱼威胁情报共享平台”,实现:
新发现钓鱼域名10分钟内全网同步
自动触发托管商下线流程
向公众发布实时预警(通过国家应急广播系统)
五、地缘背景下的攻击演化与挑战
本次事件凸显钓鱼攻击在混合战争中的战略价值。未来攻击可能呈现以下趋势:
多语种协同钓鱼:针对阿拉伯裔或俄语裔公民,使用其母语仿冒本地化政府服务,扩大攻击面。
深度伪造辅助:结合AI生成的语音或视频,模拟官员呼吁“立即验证身份”,提升社会工程效果。
利用合法SaaS平台:通过Google Sites、Wix等搭建钓鱼页,因其域名信誉高,更易绕过过滤。
对此,防御方需:
将钓鱼检测纳入国家关键基础设施保护框架
投资非拉丁语系NLP模型研发
建立跨部门(通信、金融、内政)的快速响应小组
六、结论
以色列此次挫败的钓鱼攻击事件,揭示了在地缘冲突背景下,网络钓鱼已从经济犯罪工具演变为兼具财务掠夺与舆论操控双重目标的战略武器。其高保真仿冒能力对传统安全范式构成严峻挑战。本文通过技术还原与模型构建,证明融合语言风格分析与前端资源指纹比对的检测方法可有效识别此类攻击。更重要的是,防御不能仅依赖技术手段,必须通过强制DMARC策略、集中化登录入口、公众教育与国家协同机制,构建韧性信任体系。未来研究应关注多模态钓鱼(文本+语音+视频)的检测,以及在资源受限环境下(如移动端)的轻量化防护方案。唯有将技术精准性与社会韧性相结合,方能在信息战时代守护数字公民身份安全。
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
1190
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
