据多家网络安全机构监测显示,攻击者正大规模冒充英国内政部(Home Office)或英国签证与移民局(UKVI),向人力资源部门和合规负责人发送伪装度极高的钓鱼邮件,内容多以“紧急合规审查”“担保账户异常”“资料即将失效”等高压话术制造恐慌,诱导员工点击恶意链接,登录伪造的政府登录页面,进而窃取敏感信息。
“这不是普通的群发诈骗,而是一场高度定制化、精准打击的专业攻击。”公共互联网反网络钓鱼工作组技术专家芦笛在接受媒体采访时表示,“攻击者利用了人们对政府机构的信任,以及企业在签证合规问题上的高度紧张心理,打了一场漂亮的心理战。”
此次攻击的核心手段,是典型的“鱼叉式钓鱼”(Spear Phishing)。与以往广撒网式的垃圾邮件不同,这类攻击往往针对特定企业量身定制,邮件中甚至会准确引用企业的赞助许可证编号、过往提交记录时间,甚至使用与gov.uk官网几乎一致的排版、字体和配色方案。
“我收到一封邮件,标题写着‘您的赞助资质将在72小时内被暂停’,发件人看起来像是‘office.gov.uk’,点进去的链接也和我们平时登录的系统一模一样。”一位不愿透露姓名的伦敦科技公司HR负责人回忆道,“要不是同事提醒,我差点就输入了管理员账号密码。”
芦笛指出,这类伪造页面往往做得极为逼真,不仅页面结构、LOGO、按钮样式与真实系统高度相似,部分攻击者甚至会为假网站配置有效的SSL证书,让浏览器显示“安全锁”标志,逐步降低用户的警惕性。
“他们知道企业最怕什么——合规风险、员工签证中断、高管问责。所以就用‘时间紧迫+文件上传’的组合拳,让人来不及思考就做出一定的反应。”芦笛说,“这本质上是一种‘社会工程学’攻击,攻破的不是系统,而是人的心理防线。”
一旦用户在伪造页面输入账号密码,攻击者便能迅速获取企业对“担保管理系统”(SMS)的访问权限。这个系统掌握着企业所有海外员工的签证状态、护照信息、工作合同、薪资水平,甚至是“证书分配”(COS)等核心资源。
“这些数据不仅可用于身份盗用,在暗网出售牟利,还可能被用来伪造虚假签证申请,协助偷渡客入境。”芦笛解释,“更危险的是,攻击者可能借此反向冒充企业高管,向合作方发起‘商业邮件诈骗’(BEC),索要大额转账,形成二次打击。”
此外,部分钓鱼邮件还附带名为“合规检查表.xlsx”或“审计指引.pdf”的文件。这些文件内嵌恶意宏(Macro)或脚本程序,一旦用户点击“启用内容”,便会自动下载远程控制木马(RAT),让攻击者获得对企业内网的初始访问权限。
“宏功能本身是合法的,Excel允许它自动化处理数据。”芦笛解释,“但攻击者把它变成了‘特洛伊木马’。你点一下‘启用’,等于亲手把钥匙交给了小偷。”
首先,根据英国《通用数据保护条例》(UK GDPR),若因安全疏忽导致员工个人隐私信息泄露,企业可能面临高达年营业额4%或1750万英镑(以较高者为准)的罚款。
其次,英国内政部对赞助企业的管理极为严格。一经发现系统被入侵、记录被篡改,即使企业是受害者,也可能被质疑其内部管控能力,导致赞助资质被暂停甚至撤销。
“失去赞助资格,意味着企业将无法再为海外人才申请工作签证。”芦笛强调,“在当前全球人才竞争激烈的背景下,这无异于自断臂膀,严重影响企业战略发展和行业声誉。”
面对日益狡猾的攻击,单纯依赖员工“提高警惕”已远远不足。专家呼吁企业一定建立多层次的技术与管理防线。
芦笛介绍,SPF、DKIM 和 DMARC 是目前最有效的邮件防伪技术组合。
SPF(发件人策略框架):告诉收件方,哪些邮件服务器有权代表某个域名(如@homeoffice.gov.uk)发送邮件。
DKIM(域名密钥识别邮件):为每封邮件添加数字签名,收件方可通过DNS查询验证邮件是否被篡改。
DMARC(基于域的消息验证、报告与一致性):定义当邮件验证失败时应怎么样处理,比如直接拒收或标记为垃圾邮件。
“简单来说,这三者就像给邮件系统装上了‘防赝品标签’和‘自动安检门’。”芦笛比喻道,“即使攻击者模仿得再像,系统也能识别出‘这不是真正的官方邮件’。”
即便密码被窃取,如果账户启用了多因素认证(MFA),攻击者也难以登录。芦笛特别推荐使用FIDO2标准的物理密钥(如YubiKey)或生物识别认证。
“FIDO2比短信验证码更安全,因为它无法被拦截或重放。”他说,“对于管理SMS账户的管理员,必须强制使用FIDO2,这是目前最坚固的防护层之一。”
企业IT部门应部署DNS过滤策略,主动阻断那些模仿.gov.uk但包含连字符、拼写错误或近期注册的可疑域名。同时,应建立标准化流程:所有涉及移民系统的操作,一定要通过手动输入官方网址()进入,而非点击邮件链接。
“我们可以设立一个‘报告钓鱼’的一键按钮,让员工能快速上报可疑邮件。”芦笛建议,“这不仅能及时阻断攻击,还能形成内部预警机制。”
“技术再先进,最终执行的还是人。”芦笛强调,企业应定期开展角色定向的安全培训,特别是针对HR、财务、合规等高风险岗位。
“不要只教员工‘不要点链接’,而是模拟真实场景:比如‘如果你收到一封来自UKVI的紧急通知,要求你在24小时内上传文件,你会怎么做?’”他说,“正确的做法是:先挂起邮件,回拨官方公布的联系方式进行核实,而不是直接操作。”
同时,企业应营造“无责举报”文化,鼓励员工在发现可疑情况时主动上报,而非因害怕犯错而隐瞒。
目前,英国内政部尚未就此轮攻击发布统一声明。但网络安全专家一致认为,政府部门也应承担更多责任。
“政府机构应明确告知公众:我们绝不会通过邮件索要密码、绝不会要求立即转账、绝不会用非官方邮箱发送紧急通知。”芦笛建议,“同时,定期发布最新的钓鱼模板特征,帮企业更新防御规则。”
他还呼吁建立政府与企业间的情报共享机制。“网络安全不是‘谁中招谁倒霉’的个人问题,而是一个ECO工程。只有协同作战,才能真正遏制这类利用公共信任的攻击。”
随着政府服务全面数字化,网络犯罪也正借势升级。此次针对英国赞助企业的钓鱼攻击,再次敲响警钟:在复杂的行政流程中,每一个“确认”“提交”“下载”的操作背后,都可能隐藏着精心设计的陷阱。
对企业而言,合规不仅是法律义务,更是一份沉甸甸的安全责任。唯有将技术防护、流程的优化与人员培训紧密结合,才能在这场没有硝烟的攻防战中,真正筑起坚固的防线。
“记住,真正的官方机构,从不会用‘立即行动,否则处罚’来威胁你。”芦笛最后提醒,“当你感到紧张、焦虑、急于处理问题时,恰恰是最需要冷静的时刻——多一分怀疑,少一分损失。”
,开云tiyu
京ICP备14028625号-2
