今年 4 月以来，一场针对企事业单位的钓鱼电信诈骗攻击正在全国范围内蔓延。国内网络安全公司微步在线监测显示，一种钓鱼电诈套件与 “银狐” 远控工具结合，已导致数百家政府、科技互联网、金融、制造等行业单位中招，大量员工个人财产遭受损失，社会影响极其恶劣。 微步在线将该钓鱼电诈套件命名为“金蝉”。

“金蝉”，诱骗受害者转账的罪魁祸首

“金蝉” 并非是某种实物，而是一款被诈骗分子利用的电诈套件。它就像是一个精心设计的诈骗 “工具箱”，专门为实施电信诈骗提供各种便利。这个 “工具箱” 功能完整，能协助诈骗分子完成从发送钓鱼信息、收集受害者信息，到最终骗取钱财的一系列恶劣行径。一旦被其盯上，个人和单位都面临着巨大的财产风险 。它与 “银狐” 远控工具狼狈为奸，形成了一条完整的犯罪链条，给社会带来极大危害。

与“银狐”分工协作，完成一次电信诈骗

“尊敬的客户，您的发票已生成，点击下载查看”—— 这样看似普通的发票通知邮件，却可能是诈骗分子的诱饵，目前最新版钓鱼邮件已与真实发票通知几乎一模一样，连邮件主题、编号、公司落款都做得惟妙惟肖。

更狡猾的是，骗子在邮件中嵌入了特殊编码的链接点击后会直接跳转至伪造网站。不少受害者因轻信 “官方发票” 提示，点击链接后下载了隐藏的木马程序“银狐”。

“银狐”可以实现对电脑长期隐蔽的控制。一旦“银狐”被激活，骗子就会远程控制受害者电脑。他们会悄悄在钉钉、飞书、微信等办公软件中拉群，开启全员禁言后发布 “国家财政部补贴申报” 等虚假通知，附带诈骗二维码。这套“虚假通知+电诈二维码”的组合就是钓鱼电诈套件“金蝉”。

“2025 年薪资补贴、社保补贴可领取，扫码立即办理”—— 当受害者扫码进入伪造的 “人社官网” 填报身份证、银行卡、验证码等信息后，骗子会迅速利用这些信息绑定支付工具，盗刷银行账户余额。目前已有高校、商贸公司、机场、银行等多行业单位被曝中招。

黑产形成 “开发 - 分销” 产业链，域名注册暗藏猫腻

调查发现，这起诈骗背后存在专业黑产链条：上游开发者制作 “金蝉” 电诈管理平台，通过出售账号权限获利。黑客还窃取正规公司邮箱批量注册钓鱼域名，前期用虚假信息注册，得手后篡改域名归属信息，以此逃避追踪。

微步在线观测到，部分钓鱼链接直接包含受害单位名称，如 “某大学”“某保险公司” 等，骗子利用受害者对单位的信任实施精准诈骗。

三招紧急防护，守护财产安全

检查可疑邮件、文件：收到发票、补贴等通知邮件，或在企业群聊中看到类似内容，应先通过官方渠道核实，切勿直接点击链接或下载附件。

限制办公软件权限：企业可暂时关闭 IM 工具的自动拉群、外部文件传输等功能，降低风险。

办公网自查：微步在线旗下EDR产品OneSEC可对“银狐”、“金蝉”的攻击进行检测和响应，办公电脑应重点检查是否存在异常启动项（如 “NetEase” 相关文件），及时删除可疑目录和注册表项。

目前，此类电信诈骗已形成 “远控 - 拉群 - 变现” 的完整链条，企业员工尤其需要提高警惕，不要轻易相信企业办公软件群聊中发出的通知、文件或二维码，如发现电脑异常、账户资金变动，应立即断网并报警。