根据APWG（公共互联网反网络钓鱼工作组）数据，2025年第二季度全球网络钓鱼攻击达113万起，创近两年新高，其中，针对金融机构的攻击占比达18.3%，支付行业亦高达12.1%，二者合计超过三成。金融行业已成为网络钓鱼攻击的首选目标之一。

网络钓鱼对金融行业的高度聚焦，源于金融机构普遍存在的攻击面：

• 金融机构的组织架构与业务流程天然存在着权限与资金的集中点。资金操作、风险管理、科技研发、中后台管理等岗位，或直接触达资金，或接触核心数据，或控制核心业务系统，或掌握企业管理权限。此类岗位人员的账户一旦失陷，攻击者可直接发起欺诈性转账，其单次攻击的潜在经济回报远超对普通用户的攻击。针对关键权限人员的“鲸钓”（Whaling）攻击已发展为高度产业化的商业邮件欺诈（BEC）。这种以高管或财务人员为目标，旨在窃取大额资金的精准攻击，充分暴露了金融机构因权限与价值高度集中而产生的结构性弱点。

• 金融机构的员工长期处于金融机构建立的“安全网络环境”中，习惯于接收来自官方渠道的邮件（例如安全验证请求，交易确认邮件等）。这种由金融机构自身培育的、对品牌的高度信任，容易形成某种心理定势。攻击者通过高度仿真的钓鱼页面和邮件，精确复刻此类邮件的视觉元素、语言风格和情境设定，能够有效触发用户的条件反射式响应。用户在预期框架内，倾向于将此类请求视为正常业务流程的一部分，从而降低了对通信真实性的质疑门槛，为网络钓鱼攻击创造了有利条件。

• 现代金融服务依赖庞大且复杂的第三方生态系统。从支付网关、云平台、软件供应商到供应链合作伙伴，金融机构的业务流程与数据流广泛延伸至外部实体。该生态构建了一条多层级的信任链，即金融机构“不得不”信任其供应商的安全性，而供应商的网络安全状态直接影响金融机构的暴露面。一旦攻击者通过网络钓鱼攻陷某个安全防护相对薄弱的第三方，便可利用该“可信凭证”作为跳板，渗透至金融机构的核心系统，形成间接攻击路径。

随着Tycoon 2FA、EvilProxy等攻击工具包的广泛使用，攻击者即使不具备专业技术背景也能发起有效但复杂的会话劫持攻击。不仅如此，网络钓鱼已从粗放的大规模投送模式化内容，转向以信息聚合与自动化技术支撑的精准诱导，成为可复制、可扩展的系统性社会工程学攻击。

攻击者可能公开渠道收集目标的职业角色、组织关系、业务活动等数据，结合自动化脚本生成语境贴合的诱饵内容：

攻击者也可能利用目标人群的心理惯性，通过制造“账户验证”“交易异常”等紧迫性场景，诱导用户在认知负荷升高时降低警惕，从而绕过理性判断。

“防钓鱼MFA”（Phishing-Resistant MFA）的概念由美国CISA（Cybersecurity and Infrastructure Security Agency，网络安全与基础设施安全局）提出将能够抵御网络钓鱼攻击的若干MFA称为“防钓鱼MFA”。#FIDO 是CISA认定的防钓鱼MFA之一。FIDO 联盟成员包括谷歌、苹果、微软等等，致力于安全强度更高、使用更方便且更易于部署的身份认证机制（“simpler stronger authentication”）。飞天诚信于2014年加入FIDO联盟，现为FIDO联盟董事会成员。作为 FIDO 联盟生态的重要参与者，飞天诚信构建了丰富的FIDO Security Key产品线，现已支持Google、AWS等众多在线服务。用户可以通过USB-A、USB-C接口、NFC或BLE接口将FIDO产品连接到电脑或手机，快速、安全地完成账号登录或单点登录。

金融的本质是信用，而数字金融的信用基石，必须建立在不可被伪造、不可被窃取的真实身份之上。面对日益精密的网络钓鱼攻击，我们不能仅依赖员工的"警惕心"来构筑防线——人总会疲惫，直觉会出错，而攻击永不停歇。"防钓鱼MFA"的深层意义在于：将安全的责任从"人的判断"转移到"技术的本质"，让系统天生具备抵御欺骗的基因。当每一台设备、每一次登录、每一笔交易都能回归"人证合一"的本源，金融机构才能真正摆脱"易攻难守"的困境，在数字经济浪潮中稳健前行。

让我们以FIDO为盾，以硬件为锚，为金融行业构筑一道钓竿永远触不到的坚实防线——因为客户的资产不容妥协，数字金融的信任不容侵蚀。