主要收获
- 微软Threat Intelligence 在2026年第一季度Threat Intelligence 83亿起电子邮件钓鱼威胁,其中二维码钓鱼攻击较上一季度增长了146%,而3月份的验证码钓鱼攻击数量较2月份增长了一倍多。
- 微软自身的基准测试显示,Microsoft Defender 能在恶意邮件送达收件箱后,将其拦截率提升至 70.8%。
- 到2025年12月,由人工智能生成的网络钓鱼攻击将占所有网络钓鱼攻击的56%,较上年增长了14倍。
- 以 Deep CDR™ 技术为核心的多层防护方案,将检测与预防相结合,无论威胁是否已知,都能在文件型威胁触达用户之前将其彻底消除。
当基于检测的安全措施变成一场注定失败的竞赛
如果您负责大型企业的电子邮件安全工作,那么过去这一个季度的情况想必令您倍感熟悉。一波又一波的二维码附件,行为异常的HTML文件激增,还有那个瞒过网关的可疑PDF文件,几小时后才从收件箱中被移除。每条警报都已处理,每个工单都已关闭,但内心深处始终萦绕着同一个令人不安的问题:我们究竟及时拦截了其中多少?
微软发布的《2026年第一季度电子邮件威胁态势报告》揭示了这一问题背后的具体数据。在短短三个月内,微软Threat Intelligence 83亿起基于电子邮件的网络钓鱼威胁,发现二维码钓鱼攻击激增146%,且仅在3月份,需要通过验证码验证的钓鱼攻击数量就翻了一番多。
关键不在于数量,而在于变化的速度,以及这种变化所揭示的、仅靠检测手段的管控措施所存在的局限性。
基于验证码的钓鱼攻击:一项关于规避机制的实时实验
3月份,采用验证码(CAPTCHA)作为防护措施的网络钓鱼攻击数量增长了一倍多(+125%),达到一年多以来的最高月度水平。
微软发现,威胁行为者每月都在积极轮换攻击载体,测试哪种格式最能绕过电子邮件防御系统。这种行为比单纯的攻击数量更能说明问题。
- 1月份,HTML附件是最主要的发送方式(占37%);2月份这一比例下降了34%,3月份则翻了一番多
- 2月份SVG文件数量激增49%,3月份则骤降57%
- 3月份,通过PDF附件传播的、需通过验证码验证的钓鱼邮件数量增长了四倍多(+356%),比年度峰值高出37%
- 3月份,DOC/DOCX 文件载荷激增近五倍(+373%),占需通过验证码验证的钓鱼攻击的15%
- 电子邮件中嵌入的URL曾占CAPTCHA验证钓鱼攻击的一半以上,其数量一度跌至八个月低点,随后有所回升
一个在2月份针对捕获HTML有效载荷而调优的防护措施,几乎无法让安全人员预判它能否拦截3月份的PDF攻击浪潮。
仅靠检测的局限性
基于检测的电子邮件安全系统围绕一个核心问题展开:这是否构成威胁?
然而,其有效性取决于该解决方案是否曾遭遇过该威胁(或至少是类似的威胁)。但零日漏洞和由人工智能增强的有效载荷已超越了签名比对和单引擎机器学习模型,从而逃过了检测。 据Hoxhunt《钓鱼攻击趋势报告》显示,2025年12月,AI生成的钓鱼攻击增加了14倍,到2025年12月已占所有钓鱼攻击尝试的56%,这充分说明了问题,因为此类威胁更难被察觉。
格式武器化进一步加剧了检测负担;攻击者会通过 HTML、PDF、SVG、DOC/DOCX 文件以及 URL 发送恶意内容。每种格式都有其独特的动态内容攻击面,检测引擎必须分别学习如何对其进行检测,这进一步限制了检测能力。
最后,微软自身的基准测试显示,Microsoft Defender 平均能在恶意电子邮件送达后清除其中 70.8% 的内容。原生的云端防御机制存在漏洞,即使在病毒停留时间很短的情况下,也会导致安全风险。等到采取补救措施时,用户可能已经打开、转发或操作了恶意附件。
这并非意味着检测已不再重要。基于检测的电子邮件安全方案在应对已知威胁方面表现出色。但仅靠这一方案,已不足以应对微软本季度记录的威胁模式。
2026年第一季度报告应带来哪些变化
没有一种电子邮件安全措施能彻底消除所有威胁,但“最大覆盖范围”是一种可行的防御策略,如今这意味着将检测与预防相结合。如果您的电子邮件安全策略仍然主要依赖于先识别威胁再进行拦截,那么微软本季度记录的载荷轮换现象就充分说明了您的系统有多么脆弱。
将预防纳入整体方案
多层级方法在检测的同时还会提出另一个问题:该附件中是否仍包含活跃内容?
OPSWAT Deep CDR™ 技术并不试图判断文件是否恶意。该技术假定所有文件都可能存在风险,因此会对文件进行拆解,移除潜在风险元素,并提供一个安全的版本。用户收到的是一份可正常使用的文档。无论已知还是未知的威胁,都已不复存在。
当携带CAPTCHA验证钓鱼有效载荷的PDF文件数量激增至原来的四倍时,受Deep CDR™技术保护的环境无需识别这种新变种。无论如何,导致攻击得逞的动态内容都会被移除。 这一特性同样适用于经过武器化的 DOC/DOCX、SVG、HTML 和 ZIP 附件,以及嵌入 PDF 中的二维码——后者是 2026 年第一季度增长最快的攻击载体,其中 PDF 占恶意二维码传播渠道的 70%。
Deep CDR™ 技术经 SE Labs 验证,是首个在防护率和准确率两项指标上均达到 100% 的CDR 解决方案。
借助 MetaDefender
净化处理会中和活跃内容。某些附件仍需进行更深入的行为分析,尤其是那些旨在通过静态分析时显得无害的隐蔽有效载荷。MetaDefender Sandbox 防护Sandbox 至基于仿真的动态分析,从而揭露可疑附件中的恶意行为,并返回单一可信的判定结果,以加快分类处理速度。凭借 99.9% 的零日漏洞检测率,Aether 填补了仅靠净化处理和多重扫描所留下的防护空白。
OPSWAT 如何OPSWAT 多层防护策略保障电子邮件安全
MetaDefender Security™是OPSWAT 针对微软 2026 年第一季度数据所描述的威胁所提供的多层防护方案。两种部署模式,均基于相同的检测与预防融合架构。是OPSWAT 针对微软 2026 年第一季度数据所描述的威胁所提供的多层防护方案。两种部署模式,均基于相同的检测与预防融合架构。
MetaDefender Gateway Security™ (EGS)以软件形式部署在现有邮件服务器的 SMTP/MX 层前端。它针对 200 多种文件类型应用 Deep CDR™ 技术,并结合MetaDefender Sandbox、 Metascan(整合 30 多种杀毒引擎的多重扫描,提供最广泛的已知威胁覆盖)、钓鱼攻击检测、Proactive DLP,以及 Predictive Alin AI——这是一种预执行 AI 防护层,可在数毫秒内标记 AI 生成的附件和多态附件,并支持在 OT/ICS 及物理隔离环境中离线运行。
MetaDefender Cloud Security™ (CES)可增强 Microsoft 365 环境的功能,部署仅需几分钟,且无需更改 MX 记录。 针对微软记录的基于文件的有效载荷趋势(HTML、PDF、DOC、ZIP、SVG 武器化),CES 采用 Deep CDR™ 技术、MetaDefender 、Multiscanning 17 个杀毒引擎Multiscanning Metascan™Multiscanning 以及 Predictive Alin AI,对所有进出邮件流中的附件(包括加密文件)进行检查和清理。
凭借我们不懈的承诺,致力于将能够保护客户免受包括人工智能生成攻击在内的现代威胁的创新技术推向市场OPSWAT 全球超过 2,000 家组织提供安全防护。
