合法开发平台被“调包” 信用合作社用户面临新型钓鱼威胁

网络安全再敲警钟：一个本用于快速开发和原型设计的合法编程平台——Glitch，正被黑客悄然“征用”，成为钓鱼攻击的新温床。近期，多家信用合作社的客户成为攻击目标，不法分子利用Glitch平台托管高度仿真的钓鱼页面，不仅绕过了传统安全检测，还能窃取多因素认证（MFA）信息，威胁用户账户安全。

据安全研究人员披露，此次攻击的核心手法是“借壳生事”。攻击者利用Glitch平台允许用户免费创建和托管网页的特性，将伪造的信用合作社登录页面部署在Glitch的官方子域名下（如xxx.glitch.me）。由于Glitch本身是合法且受信任的平台，其域名通常不会被企业防火墙或安全软件拦截，这使得钓鱼链接得以“畅通无阻”地抵达目标用户。

“这就像骗子租了个正规商场的柜台，卖假货。”公共互联网反网络钓鱼工作组技术专家芦笛形象地解释，“大家看到的是‘商场’的招牌（Glitch域名），以为很安全，结果点进去却是精心设计的钓鱼页面，和真正的银行登录页几乎一模一样。”

更危险的是，这些钓鱼页面并非“一锤子买卖”。它们具备动态交互能力，能够模拟真实网站的登录流程。当用户输入账号密码后，页面会进一步“诱导”用户输入短信验证码或通过身份验证App进行确认。攻击者在后台实时获取这些信息，甚至能在用户完成MFA验证的瞬间，同步登录真实账户，实现“实时劫持”。

“很多人觉得开了双重验证就万无一失，但这种‘中间人式钓鱼’恰恰是MFA的软肋。”芦笛指出，“它不是破解技术，而是利用人性和流程漏洞。你输入的每一个验证码，都通过钓鱼页面被转发给了黑客，等于你亲手把钥匙交了出去。”

此次攻击主要针对信用合作社的客户，这类机构通常服务特定社区或行业，用户对机构信任度较高，安全防范意识可能相对薄弱。攻击者通过伪装成“账户异常通知”“安全升级提醒”等邮件或短信，诱导用户点击包含Glitch链接的钓鱼网址，一旦得手，便可能造成资金损失或身份信息泄露。

面对此类新型威胁，专家建议个人和机构采取更主动的防御策略。对用户而言，务必养成“三看”习惯：一看发件人邮箱是否真实，二看链接域名是否为官方地址（注意核对拼写），三看登录页面是否有异常跳转。尤其要警惕非官方域名下的“银行登录页”，哪怕页面看起来再正规。

对于信用合作社等金融机构，芦笛建议：“不能只依赖黑名单封禁，更要建立对可疑平台流量的监控机制。”例如，可考虑在内部安全策略中，对来自Glitch、GitHub Pages、Firebase等公共托管平台的流量进行更严格的审查或提示警告。同时，应加强客户安全教育，定期发布风险提示，帮助用户识别新型钓鱼手法。

此外，推动更安全的认证方式也至关重要。专家呼吁金融机构逐步采用基于FIDO2标准的无密码登录或硬件安全密钥，这类技术能有效抵御中间人钓鱼攻击，因为它们依赖物理设备和加密协议，无法被简单复制或转发。

“Glitch被滥用，反映出一个现实：攻击者总在寻找‘合法’的漏洞。”芦笛总结道，“网络安全不仅是技术对抗，更是对信任机制的不断审视。平台方、企业和用户，都得绷紧这根弦。”

目前，安全团队已向Glitch平台报告相关恶意项目，部分链接已被下架。但专家提醒，此类攻击隐蔽性强、成本低，可能持续出现。公众如收到可疑链接，应及时通过官方渠道核实，切勿轻易输入个人信息。

编辑：芦笛（公共互联网反网络钓鱼工作组）