“防患于未然,方能立于不败之地。”——《孙子兵法·计篇》

在信息化浪潮汹涌而至的今天,企业如同一艘在深海航行的巨轮,随时可能遭遇暗流暗礁。近期ZeroBEC披露的 Forg365 AI 釣魚即服務(Phishing‑as‑a‑Service)平台,再次把“光明磊落的信任”拧成了致命的陷阱。为了让每一位同事都能在这场没有硝烟的战争中保有自保之盾,本文以“头脑风暴+现实案例”的方式,先抛出三桩震撼人心、发人深省的安全事件,随后结合数据化、无人化、自动化的融合发展趋势,呼吁全体员工踊跃参与即将启动的安全意识培训,全面提升个人与组织的安全韧性。
一、案例 Ⅰ——“AI 复制粘贴”——Forg365 变形金刚式釣魚
事件概述
2026 年 7 月,资安厂商 ZeroBEC 公开了新型釣魚平台 Forg365。该平台采用订阅制运营,利用 Telegram 进行销售、技术支援与更新。核心竞争力在于 AI 生成钓鱼邮件内容,配合 Amazon SES 大规模投递,并提供两大攻击路径:
- Device Code 验证码劫持:诱导用户前往正版 Microsoft 登录页,输入一次性验证码,后端悄然获取 OAuth 令牌,完成账户劫持。
- AiTM(AI‑in‑the‑Middle)中间人:在受害者与 Microsoft 登录服务之间植入代理,实时拦截并篡改认证信息。
深度剖析
– 技术层面:AI 语言模型在短短几秒内即可产生高度针对性的社交工程文本,极大提升钓鱼成功率。与传统钓鱼不同,Forg365 的邮件正文往往带有真实的组织标识、动态生成的用户信息,令防护系统难以依赖关键词规则检测。
– 商业模式:采用 SaaS 订阅+Telegram 即时客服,降低黑产入门门槛,形成“即买即用、即开即跑”闭环。
– 风险扩散:一旦企业内部出现一次 Device Code 漏洞,即可导致整套 Microsoft 365 环境(包括 Teams、OneDrive、SharePoint)被横向渗透,数据泄露、业务中断的连锁反应随之而来。
警示要点
1. 不要轻信任何验证码:即使是官方登录页的弹窗,也可能是伪装的钓鱼页面。
2. 限制 Device Code 使用:管理员应在 Azure AD 中关闭不必要的 OAuth 流程,或对关键资源实施 MFA + 条件访问。
3. 监控异常登录:实时审计 Entra ID 登录记录,尤其是外部 IP 与不常见设备的配对。
二、案例 Ⅱ——“暗网的 K‑歌”——Kali365 与传统钓鱼的结合体
事件概述
2025 年底,国内某大型制造企业的财务部门收到一封自称“税务局催缴税款”的邮件。邮件正文通过 Kali365 平台——一个早期的 Phishing‑as‑a‑Service(PhaaS)产品——利用已被训练的语言模型生成,配合了深度伪造的 PDF 发票。受害者点击链接后,被重定向至伪造的政府门户页面,输入了企业内部账户的用户名与密码。随后,攻击者使用这些凭据登录企业的 ERP 系统,发起转账指令,将 300 万人民币汇往境外离岸账户。
深度剖析
– 技术演进:Kali365 在 AI 生成前端文本的基础上,引入了 自动化文档伪造(利用 PDF‑Generator+Watermark AI),实现了“文字+文档”双层诱骗。
– 攻击链:① 社交工程 → ② 授权凭证泄露 → ③ ERP 系统利用 → ④ 转账逃逸。
– 防御失效:企业虽部署了邮件网关过滤,但未开启对 PDF 内容的行为分析,导致恶意文档通过。
警示要点
1. 文档安全审计:对外部 PDF、Office 文件执行沙箱解析,检测宏、脚本与嵌入链接。
2. 双因素认证落地:对所有财务系统强制 MFA,降低单凭密码的风险。
3. 内部支付审批:构建多级审批流程及异常金额监控,即使凭证被窃,也难以实现“一键付”。
三、案例 Ⅲ——“AI 活塞”——DEBULL 的 AI‑driven 中间人攻击
事件概述
2026 年 3 月,某云服务提供商的内部 IT 团队在一次例行审计中发现,用户登录 Microsoft Entra ID 时出现异常的 Authentication Broker 日志。进一步追踪发现,攻击者利用新型恶意工具 DEBULL,在受害者终端植入了一个隐蔽的浏览器插件,充当 AI‑in‑the‑Middle(AiTM) 代理。该插件能够实时拦截 OAuth 流程中的 token,利用 AI 对 token 进行“洗白”,随后将盗取的令牌重新注入合法会话,完成对公司内部机密文档的批量下载。
深度剖析
– AI 的两面性:DEBULL 将 自然语言处理模型 用于“自动化 token 重包装”,在不触发常规安全检测的前提下,实现了持久化的会话劫持。
– 隐蔽性:插件以合法扩展的形式出现在 Chrome/Edge 扩展商店,且签名有效,企业的浏览器白名单策略失效。
– 影响范围:一次成功的会话劫持,可导致敏感邮件、项目文档、研发源码等被系统性挖掘,导致信息泄露与竞争情报失窃。
警示要点
1. 审计浏览器扩展:建立企业级扩展白名单,禁止自行安装未经过安全审查的插件。
2. Token 生命周期监控:对 OAuth token 的签发、使用、撤销进行全链路追踪,异常使用立即触发告警。
3. AI 生成威胁情报:利用 AI 对日志进行行为聚类,快速捕捉异常模式,提升检测效率。
四、从案例看趋势:数据化、无人化、自动化的“三位一体”
过去十年,我们经历了信息化 → 数字化 → 数据化的演进;而今天,无人化(如 RPA、机器人流程自动化)与自动化(CI/CD、DevSecOps)正以更快的速度交叉渗透。三者共同塑造了企业的 “智慧运营”,同样也为攻击者提供了更宽的攻击面和更高的扩散速度。
1. 数据化:信息资产即“血液”
- 数据泄露成本:据 IDC 2025 年报告,单次大规模数据泄露的直接经济损失已超过 1500 万美元。
- 信息资产分层:企业内部数据按敏感度划分为公开、内部、机密、极机密四层。不同层级对应不同的保护措施(加密、访问控制、审计日志)。
- Zero Trust 实践:在数据流动的每一环,都需要验证身份、设备、位置、行为——不再假设内部网络安全。
2. 无人化:机器人是“双刃剑”
- RPA 漏洞:机器人流程自动化如果缺乏安全审计,容易被攻击者利用,将脚本改写为 恶意操作(例如自动提交转账指令)。
- 凭证管理:机器人在执行任务时往往需要存放明文或弱加密的凭证,成为攻击者的首选突破口。
- 安全对策:使用 凭证保险库(Vault)、动态密码、硬件安全模块(HSM)等技术,确保机器人只在受控环境中运行。
3. 自动化:从 DevOps 到 SecOps
- CI/CD 脚本注入:攻击者通过供应链攻击,在代码仓库植入恶意脚本,进而在自动化流水线中执行。
- AI‑Driven 攻防:正如 Forg365、DEBULL 所示,攻击者已把生成式 AI 融入攻击链;防御方同样需要 AI 来进行异常检测、威胁情报聚合。
- 安全自动化:利用 SOAR(Security Orchestration, Automation and Response)平台,实现 自动化处置(封禁账户、隔离主机、回滚配置)和 可视化响应。
五、呼吁:共同筑起“安全防火墙”,从我做起
“千里之堤,毁于蚁穴。”——《左传·桓公二年》
在企业的安全防御体系中,每一位员工都是第一道防线。如果把安全比作一座城池,那么技术团队是城墙,管理层是城门,而职工的安全意识则是城墙上的每一块砖。缺了哪块砖,城墙就会出现裂缝,敌人就能找机会渗透。
1. 培训的必要性
- 提升辨识能力:通过真实案例演练,让每位员工了解现代钓鱼攻击的“伪装层次”(邮件、验证码、插件、API)。
- 强化行为习惯:培养“验证来源、双因素、最小权限”的日常操作习惯。

- 持续更新:安全威胁日新月异,培训不应是一次性活动,而是 循环迭代的学习闭环。
2. 参与方式
| 时间 | 形式 | 内容 | 目标 |
|---|---|---|---|
| 2026‑07‑20(周三) | 线上直播(2 小时) | Forg365 攻击链全景剖析、实战演练 | 认识 AI 钓鱼的全流程 |
| 2026‑07‑27(周三) | 案例研讨(1.5 小时) | DEBULL 与 AiTM 中间人攻击 | 掌握浏览器插件安全治理 |
| 2026‑08‑03(周三) | 桌面演练(2 小时) | 设备验证码防护、MFA 实操 | 能够在实际业务中配置防护 |
| 2026‑08‑10(周三) | 安全文化工作坊(1 小时) | “安全思维”融入日常沟通 | 将安全理念内化为团队共识 |
报名入口:公司内部门户 → “安全培训” → “即将开启的课程”。
奖励机制:完成全部四场培训的同事,将获颁 “信息安全守护星” 电子徽章,且有机会参与公司年度安全创新大赛。
3. 自我检查清单(每日 5 分钟)
| 项目 | 检查要点 | 备注 |
|---|---|---|
| 邮件 | 发件人域名是否匹配、链接是否指向官方域、是否出现 Device Code 请求 | 使用 “邮件头分析工具” |
| 登录 | 是否开启 MFA,是否使用密码管理器 | 禁止复用密码 |
| 设备 | 操作系统是否打补丁、是否开启 BitLocker / FileVault | 及时更新 |
| 插件 | 浏览器扩展是否在白名单内 | 禁止未授权插件 |
| 行为 | 是否出现异常流量、异常文件下载 | 及时向 IT 报告 |
六、结束语:安全,是每个人的“终身学习”
在数字化、无人化、自动化的融合时代,技术的进步永远跑在防御的前面;而人类的学习曲线则可以通过系统化的培训、案例复盘和日常习惯的养成,实现 “防御的追上甚至超越”。让我们把“信息安全”从抽象的口号,转化为每一次点击、每一次登录、每一次对话中自觉的安全判断。
只要每个人都愿意多花几秒钟去核实、思考、报告,就没有所谓的“安全漏洞”只能被外部黑客发现的说法。让我们在即将开启的安全意识培训中,携手并肩,把企业的防火墙筑得更坚固、更高、更智能。
共筑安全防线,护航数字未来!

信息安全 AI安全
昆明亭长朗然科技有限公司致力于推动企业信息安全意识的提升,通过量身定制的培训方案来应对不同行业需求。我们相信教育是防范信息泄露和风险的重要一环。感兴趣的客户可以随时联系我们,了解更多关于培训项目的细节,并探索潜在合作机会。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898