Norn Labs发布2026年2月Huginn钓鱼检测报告，显示其工具发现254个钓鱼网站，其中83.9%未被谷歌安全浏览标记。Muninn自动扫描和深度扫描分别捕获94.1%和100%的钓鱼网站。58.7%的钓鱼网站托管在可信平台如Weebly等。报告旨在分享钓鱼攻击趋势并展示其工具效能。

Huginn报告：2026年2月网络钓鱼态势分析 | Norn实验室

背景与数据概览

Norn实验室推出的主动式钓鱼网站探测工具Huginn，在2026年2月通过公开威胁情报源处理了263个URL（254个钓鱼网站，9个合法网站）。核心发现如下：
- 谷歌安全浏览（GSB）的盲区：83.9%（213个）的钓鱼网站在被发现时未被GSB标记，而该技术是Chrome内置防护的基础。
- Muninn工具表现：
- 自动扫描（无需用户干预）检出率94.1%（238/254），误报6个合法页面；
- 深度扫描（基于页面截图分析）实现100%钓鱼网站检出，但将全部9个合法页面误判为可疑——这种权衡在主动调查可疑链接时是可接受的。

钓鱼网站宿主平台分析

攻击者正滥用可信平台托管钓鱼页面：
- 主流平台：149个钓鱼网站分布在Weebly（51个，GSB仅标记2个）、Vercel（40个，GSB标记8个）、Wix（7个，GSB零标记）等；
- 讽刺案例：16个钓鱼页面直接托管在Google Docs、Forms等谷歌自有服务上，且均未被GSB识别。

攻击目标与手法

• 品牌仿冒TOP5：微软（28次）、谷歌（21次）、Netflix（19次）、亚马逊（16次）、AT&T（13次）；
• 加密货币领域：14个钓鱼网站针对Uniswap、MetaMask等平台用户，利用行业特性（快速迭代的协议、用户习惯连接新站点）实施欺诈。

典型攻击案例深度剖析

1. 两阶段AWS S3凭证窃取

   • 第一阶段：在S3存储桶托管看似正常的文档访问页面（如garagedoorsbelmontma路径），诱导输入邮箱；
   • 第二阶段：跳转至伪造的微软登录页（含反机器人验证），首次访问显示登录界面，后续跳转至维基百科以规避检测。
   • 破绽：非微软域名托管登录流程、次要按钮功能缺失、错误提示文本不符。

2. Calendly会议预约骗局

   • 仿冒真实企业员工的预约页面，引导至虚假谷歌登录页；
   • 关键漏洞：非Calendly官方域名、登录页辅助功能按钮失效。

3. 非凭证类诈骗：如"汽车贴膜广告"骗局，通过伪造支票骗取受害者现金。

行业启示

• 传统黑名单的局限：依赖事后上报的机制难以应对短生命周期、托管于可信平台的钓鱼攻击；
• Muninn的补充价值：通过实时自动扫描+深度分析组合填补防护空白。

行动建议

• 可尝试Muninn的Chrome扩展（测试阶段欢迎反馈）；
• 鼓励用户向Yggdrasil项目提交钓鱼样本以完善数据库。

（注：原文中的图片链接及部分技术细节因篇幅限制未完全呈现，核心数据与逻辑已保留。）

以下是评论内容的总结：

1. 对Google Safe Browsing (GSB)效果的质疑

• 观点：GSB漏报率高达84%，且测试样本过小（263个URL），缺乏代表性。

  • 引用："so it has a false positive rate of 67%? On a ridiculously small dataset?" (lich_king)
  • 引用："They have a table 'AUTOMATIC SCAN RESULTS (263 URLS)'... With a false positive rate of 66%" (hedora)

• 观点：GSB的保守策略导致高漏报率，但这是为了避免误封合法网站。

  • 引用："If GSB’s false-positive rate ticks up by even a fraction of a percent, they end up accidentally nuking legitimate small businesses" (epicprogrammer)
  • 引用："I’d rather this than accidentally block legit sites." (obblekk)

2. 对测试方法和数据的批评

• 观点：测试样本选择不科学，可能存在偏差。

  • 引用："they started with ~250 URLs; that’s a weirdly small sample" (lich_king)
  • 引用："It’s meaningless because it’s just 254 websites, given the scale of what Google Safe Browsing deals with." (caaqil)

• 观点：测试未考虑GSB的全球分发延迟问题。

  • 引用："pushing a verified block to billions of browsers worldwide is a completely different operational challenge" (pothamk)

3. 对网络钓鱼现状的讨论

• 观点：钓鱼攻击已转向合法平台（如Google Sites、SharePoint），传统拦截模型失效。

  • 引用："Once phishing moves to Google Sites and Weebly that model just doesn’t work." (7777777phil)
  • 引用："The most dangerous links recently have been from sharepoint.com, dropbox.com" (timnetworks)

• 观点：安全警告过多导致用户麻木。

  • 引用："folks are overwhelmed by all of the security warnings they get and have stopped paying attention to them." (candiddevmike)

4. 对Google自身问题的批评

• 观点：Google未能有效处理自家平台（如Gmail、广告）上的钓鱼和诈骗内容。
  • 引用："Almost all email phishing attempts we receive come from GMail." (dsr_)
  • 引用："When Google will remove scams, phishing and other nonsense from their advertising?" (varispeed)

5. 对报告的动机质疑

• 观点：报告可能是营销手段，而非客观评估。
  • 引用："a smart marketing push by a security vendor trying to sell a product" (epicprogrammer)
  • 引用："This is a marketing slop." (caaqil)

6. 其他观点

• 正面评价：GSB能拦截16%的钓鱼网站已是不错的成果。
  • 引用："How about GSB stopped 16% of phishing sites? that’s still huge." (notepad0x90)
• 技术建议：需要探索去中心化的隐私保护方案。
  • 引用："I proposed some alternative, privacy-preserving methods" (mholt)