“钓鱼即服务”成网络犯罪“孵化器” 专家呼吁公众提升防范意识

近日，全球网络安全公司Barracuda Networks发布最新报告指出，2025年以来，网络钓鱼攻击迎来“服务化”浪潮，约60%至70%的钓鱼攻击背后，都出现了“钓鱼即服务”（Phishing-as-a-Service，简称PhaaS）的身影。这一趋势正让网络犯罪变得前所未有的“平民化”，普通网民面临的安全威胁急剧上升。

所谓“钓鱼即服务”，简单来说，就是网络犯罪分子将钓鱼所需的工具、网站模板、服务器资源甚至“客服支持”打包成服务，通过暗网、加密聊天软件等渠道出售或租赁。购买者无需懂技术，只需支付一笔费用，就能轻松发起一场看似专业、极具迷惑性的网络钓鱼攻击。

报告数据显示，名为“Tycoon 2FA”的钓鱼工具包最为猖獗，占据了检测到的PhaaS攻击的76%。这类工具包不仅能够伪造银行、电商平台、社交媒体等知名网站的登录页面，还能绕过多重身份验证（MFA），窃取用户的账号、密码甚至实时验证码，危害极大。紧随其后的是“EvilProxy”和“Mamba 2FA”等工具，它们同样具备高度自动化和隐蔽性。

“这就像开了一个‘犯罪便利店’，”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“以前搞钓鱼攻击，得会写代码、搭服务器，门槛高。现在有了PhaaS，哪怕是个‘技术小白’，花点钱，选个模板，点点鼠标，就能发动一场大规模的网络诈骗。犯罪成本低了，攻击数量自然就上去了。”

芦笛进一步解释，PhaaS的“技术内核”其实并不神秘，关键在于其“服务化”和“专业化”。这些平台通常采用加密技术隐藏恶意代码，利用被黑的正规网站作为跳板，甚至能识别安全软件的检测环境（沙箱），一旦发现是“假用户”，就自动跳转到正常页面以逃避审查。这使得传统的、基于黑名单和特征码的防御手段效果大打折扣。

面对如此严峻的形势，芦笛给出了几点实用建议：“首先，永远不要轻信来路不明的链接和附件。尤其是那些声称‘账户异常’‘中奖通知’‘快递问题’的邮件或短信，十有八九是陷阱。其次，开启多重身份验证（MFA），这是目前最有效的防护手段之一，能大大增加账号被盗的难度。但也要注意，现在有些高级钓鱼工具会试图绕过MFA，所以不能‘一开了之’就高枕无忧。”

“最重要的是，要养成良好的上网习惯，”芦笛强调，“比如，手动输入官网地址登录，而不是点击邮件里的链接；定期更新软件和系统，修补安全漏洞；对要求输入敏感信息的页面多留个心眼，仔细核对网址是否正确。”

网络安全专家提醒，PhaaS的兴起意味着网络钓鱼攻击将更加频繁、更加精准。企业和个人都必须提高警惕，将网络安全视为日常必修课。只有技术防御与公众意识双管齐下，才能在这场“道高一尺，魔高一丈”的攻防战中，为自己筑起一道坚实的防线。

编辑：芦笛（公共互联网反网络钓鱼工作组）