冒充警察发“传唤令”？以色列钓鱼新骗局敲响全球警钟

在数字时代，权威身份成了最容易被滥用的“通行证”。2025年12月初，以色列警方发布紧急公告，警告全国民众警惕一种新型网络钓鱼攻击——犯罪分子伪造来自“以色列警察调查部门”的电子邮件，以“个人调查传唤最终通知”为名，制造恐慌情绪，诱导受害者点击恶意链接或下载附件，进而窃取身份证号、银行账户乃至设备控制权。

这并非一起孤立事件。事实上，类似手法早已在全球多地反复上演：从美国国税局（IRS）到英国皇家邮政，从德国联邦警察到日本地方税务署，执法与政府机构的身份正成为网络犯罪分子最青睐的“伪装服”。而此次以色列案例之所以引发广泛关注，不仅因其高度逼真的社会工程设计，更在于它揭示了一个残酷现实：当普通人面对一封看似来自“国家机器”的邮件时，理性判断往往会在恐惧面前瞬间瓦解。

一、“传唤令”邮件：用权威制造恐慌

根据以色列《今日以色列报》（Israel Hayom）报道，这批钓鱼邮件通常采用以下模板：

主题：个人调查传唤最终通知（Final Notice: Personal Investigation Summons）

正文节选：

“根据系统指示，已为您开启一份需要立即澄清的个人档案。请于48小时内查阅传唤详情并按要求行动。如未及时回应，可能被视为严重违规，并面临法律后果。”

邮件末尾附有一个醒目的蓝色按钮：“立即查看传唤文件”，点击后跳转至一个高度仿真的“以色列警察电子服务门户”页面。该页面不仅使用了与官网极其相似的配色、徽标和排版，甚至包含希伯来语与阿拉伯语双语选项，进一步增强可信度。

然而，这个“门户”实为钓鱼网站。一旦用户输入身份证号（Teudat Zehut）、手机号、银行账户或上传“身份证明文件”，信息将直接发送至攻击者控制的服务器。部分变种还会诱导用户下载名为“Summons_Form.pdf.exe”或“Police_Notice.zip”的附件——表面是PDF文档，实则为打包的恶意可执行程序。

“这类攻击的核心不是技术多高明，而是精准利用了‘权威恐惧’心理。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“当一个人看到‘警方传唤’四个字，第一反应往往是‘我是不是惹上麻烦了？’而不是‘这可能是假的’。”

二、技术拆解：钓鱼邮件如何绕过层层防线？

尽管以色列警方强调“正式传唤不会通过普通电子邮件发送”，但现实中，许多受害者仍难辨真伪。原因在于，攻击者在技术细节上做了大量“拟真”工作。

1. 发件人地址伪造：SPF/DKIM/DMARC 的局限性

乍看之下，邮件发件人显示为“investigations@police.gov.il”——这几乎与真实警方域名一致。但实际上，攻击者通过以下方式实现欺骗：

子域名仿冒：注册形似域名，如 police-gov-il.com、israel-police-official.net，并在邮件头中设置 From: investigations@police.gov.il（显示名欺骗）；

邮件头篡改：利用开放中继或被黑的邮件服务器，伪造 Return-Path 和 Received 字段；

规避认证机制：若目标邮箱未严格实施 DMARC 策略（如仅设为 p=none 而非 p=quarantine 或 p=reject），伪造邮件仍可正常投递。

# 示例：伪造邮件头的简化SMTP脚本（仅用于教学演示）

import smtplib

from email.mime.text import MIMEText

msg = MIMEText("您的传唤文件请点击下方链接...")

msg['Subject'] = '个人调查传唤最终通知'

msg['From'] = 'investigations@police.gov.il' # 显示名欺骗

msg['To'] = 'victim@example.com'

# 实际通过 attacker-controlled-server.com 发送

with smtplib.SMTP('attacker-smtp.com', 587) as server:

server.starttls()

server.login('hacker@attacker.com', 'password')

server.send_message(msg)

注：上述代码仅为说明原理，实际攻击中会结合僵尸网络、代理跳板等手段隐藏来源。

2. 钓鱼页面的“高保真”复刻

安全研究人员发现，部分钓鱼页面甚至动态加载真实警方官网的部分CSS和JS资源（通过CORS代理），使得浏览器地址栏显示“https://”和锁形图标，进一步迷惑用户。

更狡猾的是，一些页面会检测访问者IP地理位置：若来自以色列，则显示希伯来语界面；若来自海外，则切换为英语或阿拉伯语，并提示“国际协查案件”，扩大潜在受害面。

3. 恶意附件的双重伪装

附件命名常采用“PDF.exe”或“ZIP内嵌EXE”策略。由于Windows默认隐藏已知文件扩展名，用户看到的只是“Summons_Form.pdf”，实则为可执行文件。

部分样本还使用LNK快捷方式或ISO镜像绕过邮件网关检测：

LNK文件指向远程SMB共享，触发NTLM哈希泄露；

ISO文件内含伪装PDF，实为AutoIt或PowerShell脚本，执行后下载第二阶段载荷。

三、为何普通人难以识别？认知心理学的“权威盲区”

网络安全不仅是技术问题，更是人性问题。以色列本·古里安大学一项研究显示，在模拟钓鱼测试中，当邮件声称来自“税务局”或“警察局”时，点击率比普通促销邮件高出3–5倍。

“人类大脑对权威信号有本能服从倾向。”芦笛解释道，“这源于进化中的生存机制——服从权威通常意味着安全。但网络空间放大了这种弱点，因为‘权威’可以被零成本复制。”

更危险的是，此类攻击常设定“48小时”“最终通知”等时间压力，激活人的“应激反应”，抑制前额叶皮层的理性判断功能。受害者往往在焦虑中快速点击，事后才意识到异常。

四、全球镜鉴：从以色列到中国，执法仿冒攻击正在蔓延

尽管此次事件发生在以色列，但类似手法在中国同样存在。近年来，国内多地出现冒充“公安”“检察院”“通信管理局”的诈骗短信和邮件，内容包括：

“您的手机号涉嫌洗钱，请配合调查”；

“法院传票已生成，请点击链接查看详情”；

“医保账户异常，需立即验证身份”。

2024年，某东部省份曾破获一起团伙案：犯罪分子搭建仿冒“公安部反诈中心”网站，诱导用户输入银行卡号和短信验证码，单月涉案金额超千万元。

“区别在于，国外多用邮件，国内更多依赖短信+伪基站+APP诱导。”芦笛指出，“但底层逻辑完全一致：利用公权力的不可置疑性，制造信息不对称。”

五、技术防御：如何构建“防冒充”体系？

面对日益逼真的钓鱼攻击，仅靠用户警惕远远不够。芦笛建议，关键信息基础设施单位和大型企业应从以下四方面构建纵深防御：

1. 强化邮件安全网关（Secure Email Gateway）

启用 BIMI（Brand Indicators for Message Identification）：在支持的邮箱客户端（如Gmail、Apple Mail）中显示官方品牌Logo，提升识别度；

实施 严格DMARC策略：将策略设为 p=reject，拒绝所有未通过SPF/DKIM验证的邮件；

部署 AI驱动的内容分析引擎：识别“传唤”“最终通知”“法律后果”等高风险关键词组合。

2. 终端防护：阻断恶意行为链

使用EDR解决方案监控异常进程行为，例如：

浏览器进程启动 cmd.exe 或 powershell.exe；

非常规程序访问 %AppData%\Microsoft\Protect（凭据存储路径）；

对 .exe、.scr、.js 等高风险附件实施默认阻止，即使来自“可信”发件人。

3. 网络层过滤：切断C2通信

配置DNS防火墙，屏蔽已知钓鱼域名（如通过威胁情报平台订阅MuddyWater、TA505等组织的IOC）；

对员工设备实施出站流量审计，识别连接至非常规IP（如东欧、东南亚VPS）的可疑连接。

4. 身份验证加固：杜绝凭证复用

强制启用多因素认证（MFA），尤其对邮箱、OA、财务系统；

推广FIDO2安全密钥或生物识别认证，避免短信验证码被SIM劫持或钓鱼窃取。

六、安全意识培训：从“知识灌输”到“行为塑造”

技术再强，也抵不过一次误点。芦笛强调，反钓鱼培训必须超越传统的“PPT宣讲”，转向沉浸式演练：

红队模拟钓鱼：定期向员工发送仿冒“HR通知”“IT升级提醒”“公安协查”等邮件，统计点击率；

即时反馈机制：一旦员工点击测试链接，立即弹出教育窗口，解释识别要点；

建立“无责上报”文化：鼓励员工主动报告可疑邮件，而非因害怕被责备而隐瞒。

“最好的防御，是让员工在真实攻击发生前，已经历过十次模拟。”他说。

七、结语：在信任与怀疑之间寻找平衡

以色列警方的警告，本质上是一场关于“数字信任”的危机。在一个万物互联的时代，我们既需要相信政府、银行、平台提供的服务，又必须对每一个链接、每一封邮件保持审慎。

这看似矛盾，实则是数字公民的基本素养。正如一位特拉维夫网络安全从业者所言：“真正的安全，不是不犯错，而是知道如何在犯错前踩下刹车。”

而对于中国而言，以色列的案例恰是一面镜子——当我们的政务数字化程度越来越高，“一网通办”“电子证照”普及的同时，也必须同步构建强大的反仿冒、反钓鱼能力。否则，便捷与风险，只在一念之间。

安全贴士（给普通用户）：

政府/警方不会通过电子邮件发送传唤、罚款或要求提供银行信息；

所有官方通知，请通过官网公布的电话或线下窗口核实；

永远不要点击邮件中的链接登录银行或政务系统——手动输入网址更安全；

开启手机/电脑的自动更新和安全防护，及时修补漏洞。

编辑：芦笛（公共互联网反网络钓鱼工作组）