本研究聚焦于钓鱼攻击中用户脆弱性的多维特征，通过分析Spamley数据集（包含1086名参与者在真实钓鱼检测任务中的表现）来探究心理和行为因素如何影响用户对钓鱼的易感性。研究采用探索性因子分析（EFA）识别出五个潜在结构：成熟度（Seniority）、专业知识（Expertise）、创造力（Creativity）、稳定性（Stability）和脆弱性（Vulnerability）。行为数据表明，自我报告的冲动性与响应时间呈负相关，且快速决策显著区分了脆弱用户与韧性用户。基于成熟度（F1）和创造力（F3）两个维度，K-Means聚类将用户分为两类：意识型用户（Aware User）和高风险型用户（High-Risk User）。结果显示，仅凭技术知识不足以保证韧性，操作成熟度、决策速度与认知方式的交互作用才是关键。多数用户属于高风险类别，表现为草率评估和缺乏批判性分析。研究强调需要从统一培训转向个性化、自适应的网络安全教育，以针对性解决认知偏差和行为倾向。

本文提出一种名为 PhishPrint 的新方法，旨在通过预先分析钓鱼检测爬虫的行为特征，生成针对性的规避策略，从而绕过基于爬虫的钓鱼检测系统。研究背景是当前钓鱼网站广泛采用各种技术逃避检测，尤其是针对自动爬虫的识别与屏蔽。核心问题在于如何有效地绕过主流钓鱼检测爬虫的探测机制。PhishPrint 方法首先对目标爬虫进行 profiling，收集其请求模式、IP 范围、User-Agent、行为时间等特征，然后利用这些信息生成与正常访问无异的请求，同时调整页面内容或响应策略，使得爬虫无法准确识别钓鱼页面。论文通过实验评估了 PhishPrint 在多个真实钓鱼检测爬虫上的表现，证明其能够显著降低检测率，并分析了不同 profiling 策略的有效性。主要贡献包括：提出了基于 prior profiling 的规避框架，量化了多种规避技术的效果，以及揭示了当前钓鱼检测爬虫的脆弱性。该研究适合安全防御者和钓鱼检测系统开发者阅读，以改进爬虫的鲁棒性。

本文首次系统性地研究了以太坊上基于载荷的交易钓鱼（PTXPHISH）攻击。该攻击通过恶意载荷操纵智能合约交互来欺骗用户，相比早期简单交易钓鱼更为高级。研究者首先进行了长期数据收集，构建了包含5000笔钓鱼交易的真实数据集，并将钓鱼策略分为四大类、十一个子类。其次，提出了一种基于规则的多维检测方法，F1分数超过99%，平均每个区块处理时间390毫秒。然后，在300天的大规模检测中发现了130637笔钓鱼交易，造成超过3.419亿美元损失。深入分析揭示：诈骗者每天消耗约13.4 ETH（占以太坊总Gas的12.5%）用于地址投毒；发现了洗钱模式；前五大钓鱼组织造成了40.7%的损失。实际贡献包括向社区报告1726个钓鱼地址（占同期社区贡献的42.7%），发送2539条链上预警消息，帮助了1980名受害者。本研究为对抗新兴PTXPHISH和保护用户资产提供了重要参考。

本文提出了一种名为 PhishSigma++ 的恶意邮件检测方法，旨在解决现有检测器过度依赖易变的文本特征、在对抗性文本操纵下性能急剧下降的问题。研究背景是随着 AI 生成内容（AIGC）的发展，攻击者具备了更丰富的语言能力和逃避技术。核心洞察是：即使攻击者修改表面文本，功能意图仍会约束实体间的关系，这些关系是相对不变的信号。方法上，PhishSigma++ 借鉴了 Sigma 规则的思想，但将其推广到基于实体关系的检测。它从 RFC822 邮件中提取 40 种类型的实体类，计算 5 种跨类型关系以构建类型化邮件图，并使用粒子群优化（PSO）选择稀疏判别掩码，支持分类和类型级证据总结。在 29,142 条消息上，PhishSigma++ 在干净数据上达到 0.9675 F1 分数，在非自适应 Good Word 填充攻击（rho=0.8）下保持 0.9579 F1，而基于 token 的贝叶斯过滤器崩溃至 0.0243，DistilBERT 钓鱼检查点降至 0.7284。相比传统 Sigma 规则，PhishSigma++ 提供了更高的检测率、更广泛的 relational invariance 覆盖和数据驱动的特征选择。此外，阈值化的类型关系分数编码了 Sigma 风格字段条件的有效片段，将手工规则逻辑和学习到的关系掩码统一到单邮件框架中。

随着大型语言模型（LLM）的快速发展，利用其生成钓鱼内容的恶意行为日益普遍。攻击者可以利用LLM生成语法正确、主题定制的钓鱼邮件，这使得传统基于语义特征的检测方法难以有效识别。现有LLM检测方法存在计算成本高、依赖底层模型性能等问题，不适用于大规模部署。为此，本文提出了一种名为Paladin的新型防御范式。Paladin通过在原始LLM中嵌入触发-标签（trigger-tag）关联，采用多种插入策略，将普通LLM改造为“仪表化”模型。当仪表化模型生成与钓鱼相关的内容时，会自动包含可检测的隐式或显式标签，从而使得安全系统能够轻松识别钓鱼邮件。研究考虑了四种不同的场景（基于隐式/显式触发器和标签的组合），并从隐蔽性、有效性和鲁棒性三个关键维度评估了该方法。实验结果表明，Paladin在所有场景下的检测准确率均超过90%，优于现有基线方法。该方法为防御LLM生成的钓鱼内容提供了一种新的思路，具有低开销、高准确率的潜力。

该论文提出了PhishLang，一个基于MobileBERT的实时、全客户端钓鱼检测框架。传统钓鱼检测方法通常依赖服务器端分析或黑名单，存在延迟、隐私泄露和无法检测新钓鱼站点的问题。PhishLang通过在客户端设备上直接运行轻量级MobileBERT模型，实现对URL和网页内容的实时分析，无需网络请求，保护用户隐私。框架通过优化模型大小和推理速度，能够在移动设备上高效运行，同时保持高检测准确率。实验结果表明，PhishLang在真实世界数据集上达到了99.2%的准确率和0.7%的误报率，推理时间低于10毫秒。此外，该框架支持可解释性，通过注意力机制提供分类依据。主要贡献包括：首次将MobileBERT应用于客户端钓鱼检测、设计高效的模型压缩与蒸馏策略、以及在多个基准测试上的全面评估。该研究为移动端安全防护提供了轻量级、隐私保护的解决方案。

本文介绍了CtPhishCapture，一个专门检测针对加密货币钱包的凭证盗窃钓鱼诈骗的系统。研究背景是随着加密货币的普及，攻击者通过仿冒钱包登录页面、虚假空投或客服钓鱼等手段窃取用户助记词或私钥。核心问题在于现有反钓鱼方案难以有效识别针对加密货币生态的定制化钓鱼页面。CtPhishCapture的方法结合了视觉相似度分析（网页截图与已知合法钱包UI对比）、URL特征工程（检测域名乱真模式）以及行为分析（检测页面动态加载的凭证提交行为）。系统采用多阶段流水线：首先通过爬虫收集疑似钓鱼URL，然后利用轻量级视觉哈希与OCR提取页面文本，再通过机器学习分类器判断是否具钓鱼特征。实验基于真实钓鱼样本和合法钱包页面数据集，证明系统在低误报率下达到高检测率，尤其能发现隐藏的凭证窃取逻辑。主要贡献包括构建了首个专攻加密货币钱包钓鱼的检测框架、开源了标注数据集，并揭示了攻击者常用的CSS混淆与动态表单注入技术。适合安全研究人员、加密货币交易所防御团队以及关注Web3安全的读者。

本研究深入探讨了电子邮件别名机制引发的身份混淆问题。电子邮件别名允许用户使用同一个邮箱账户生成多个不同地址，但接收方或服务提供商可能无法正确区分这些别名背后的真实身份，从而产生安全风险。论文系统分析了一类攻击场景：攻击者可以利用别名间的视觉或逻辑相似性，伪装成用户的不同身份进行社会工程攻击或绕过访问控制。研究方法包括构建大规模数据集（覆盖主流邮件服务商）、设计身份混淆检测算法，并实验评估现有防护措施的不足。主要贡献包括：量化了别名身份混淆的普遍性与危害性，提出了基于邮件元数据和发送行为的身份区分方法，并给出了改进建议。该工作有助于邮件安全防护、防钓鱼策略的设计。