“钓鱼”变“点餐”？黑产推出“即开即用”攻击套餐，专家警示防御体系需重构

曾经需要懂代码、会部署、能绕防的“技术流”网络钓鱼，如今正演变为“一键下单、即开即用”的流水线服务。最新安全报告显示，一种被称为“钓鱼即服务”（Phishing-as-a-Service, PhaaS）的地下商业模式正在暗网和部分半公开论坛快速扩张，让毫无技术背景的犯罪分子也能轻松发起高仿真、高效率的网络攻击。

这意味着，网络钓鱼不再是“黑客精英”的专属武器，而是正在走向“平民化”和“工业化”。更令人担忧的是，整个攻击链条高度自动化，从获取用户账号到实施二次登录，平均时间已缩短至几分钟内。

“钓鱼工具包”上线，黑产进入“订阅时代”

过去，发起一次像样的钓鱼攻击，攻击者至少需要掌握基础脚本编写能力、懂得配置服务器、申请域名，还要能绕过安全软件检测。整个过程耗时耗力，门槛不低。

但现在，一切都变了。

据科技媒体《BetaNews》近日报道，一批“现货”钓鱼工具包正以订阅制形式在地下市场热卖。这些工具包被称为“PhaaS”——即“钓鱼即服务”，功能齐全、界面友好，用户只需支付每月几十到上百美元的费用，就能获得一整套攻击解决方案。

“这就像点外卖。”公共互联网反网络钓鱼工作组技术专家芦笛用了一个通俗的比喻，“以前你要自己买菜、洗菜、炒菜，现在直接打开APP，选套餐、付款、等着送上门就行。唯一的区别是，他们送的是‘数字陷阱’。”

这些“套餐”通常包含以下模块：

模板生成器：内置大量银行、电商平台、企业邮箱的登录页模板，一键生成高仿页面；

品牌伪装套件：自动添加企业LOGO、配色、字体，甚至模仿官网布局；

自动证书申请：为钓鱼网站申请合法SSL证书，让浏览器显示“安全锁”标志，迷惑用户；

域名轮换系统：批量注册短生命周期域名，一个被封立即切换下一个；

反沙箱检测机制：识别安全分析环境，仅对真实用户展示恶意内容；

MFA中继组件：实时截获多因素验证码（如短信、认证器），通过“中间人”方式绕过双重验证。

攻击链条全面自动化，速度前所未有

如果说工具包降低了门槛，那么自动化技术则极大提升了攻击效率。

如今的PhaaS平台普遍集成Telegram或Discord机器人，一旦受害者在钓鱼页面输入账号密码，凭证会实时回传给攻击者；如果系统触发短信验证码，机器人还能自动转发，实现“秒级响应”。

更可怕的是，攻击者已开始利用大语言模型（LLM）优化社会工程话术。例如，AI会根据目标身份自动生成个性化称呼和紧迫语境：“张经理，财务部王总刚来电，这笔款需20分钟内完成审批，否则合同作废！”

同时，自动化截图比对技术也被用于快速克隆目标登录门户。系统只需上传一张官网截图，AI就能分析布局、提取元素，几分钟内生成几乎一模一样的钓鱼页面，连按钮位置都分毫不差。

“以前我们说‘钓鱼靠演技’，现在是‘钓鱼靠算法’。”芦笛指出，“整个攻击流程已经形成闭环：生成→投放→捕获→中继→登录，全程无需人工干预，攻击者甚至可以在睡觉时‘躺赚’。”

中小企业成重灾区，防御窗口急剧压缩

这种“工业化”攻击模式带来的最直接后果是：攻击面显著扩大。

过去，黑客更倾向于攻击大型企业或金融机构，因为“回报高”。但现在，由于成本极低、操作简单，大量攻击开始涌向防御能力较弱的中小企业、地方机构、学校乃至个体商户。

“以前我们觉得小公司没人盯，现在恰恰相反。”芦笛说，“自动化工具最喜欢‘长尾目标’——数量多、防护弱、容易得手。就像撒网捕鱼，哪怕每网只捞几条，积少成多也是一笔可观收入。”

更严峻的是，攻击响应速度远超传统防御体系的反应能力。数据显示，从钓鱼页面获取用户凭证，到攻击者尝试用该账号登录企业内网或云服务，平均时间已缩短至5分钟以内。而传统安全团队从发现异常到封禁账号，往往需要数小时甚至更久。

“等你收到告警邮件时，对方早就进去了。”一位网络安全运维人员无奈表示。

防御升级：从“堵漏洞”到“重构信任”

面对这场由“工具化+自动化”引发的安全危机，专家呼吁防御体系必须从根本上升级。

芦笛认为，传统“黑名单+关键词过滤”的被动防御模式已难以为继，未来应转向主动式、身份-centric（以身份为中心）的安全架构：

1. 推广无密码认证与硬件密钥

彻底摆脱对“密码+短信验证码”的依赖，采用FIDO2标准的硬件密钥（如U盾、安全密钥）或生物识别登录。这类认证具备抗重放、防中间人攻击的特性，即使密码泄露也无法被冒用。

2. 强化浏览器会话绑定

通过技术手段将用户登录会话与特定设备、浏览器指纹绑定，防止攻击者在异地或不同设备上复用凭证。

3. 引入行为连续认证

系统持续监测用户操作行为，如打字节奏、鼠标轨迹、访问习惯等。一旦发现异常（如深夜突然登录并批量下载文件），自动触发二次验证或强制下线。

4. 普及DMARC+BIMI，提升发件人可信度

推动企业部署DMARC（域名消息认证）协议，防止邮箱被伪造；同时启用BIMI（品牌标识消息识别），在收件箱中显示官方LOGO，帮助用户一眼识别真假邮件。

“就像我们看快递单会注意是不是‘官方电子面单’，未来用户也应养成习惯：看登录页有没有可信证书、发件人有没有蓝标。”芦笛说。

全链条治理：从技术到供应链

除了终端防御，报告还强调需加强上游治理：

监测短生命周期域名：许多钓鱼网站使用注册后几小时即废弃的域名，安全厂商应建立自动化系统，快速识别并封禁此类“快闪域名”。

提取工具指纹，共享威胁情报：通过对PhaaS平台生成的页面、脚本、流量特征进行指纹提取，形成威胁指标（IoC），在行业间共享，实现联防联控。

审查AI与云服务供应链：防止合法云平台、AI模型被滥用。例如，限制批量域名申请、监控异常API调用行为。

用户如何应对？记住这两个“铁律”

在技术防线不断升级的同时，公众的安全意识也需同步更新。

芦笛特别提醒普通用户牢记两点：

第一：任何人向你要验证码，都是高危信号！

无论是短信、语音还是认证App生成的验证码，正规机构永远不会主动索取。一旦有人以“安全验证”“账户异常”为由索要验证码，基本可判定为诈骗。

第二：登录前，先看URL和证书

不要只看页面长得像不像。点击登录前，务必检查浏览器地址栏：

域名是否正确？（如 bankofchina.com 还是 bankofchina.lol）

是否有HTTPS加密？

点击小锁图标，查看证书颁发机构是否可信。

“技术再先进，最终防线还是人。”芦笛说，“我们无法杜绝所有攻击，但可以通过技术+教育，把风险降到最低。”

目前，国内多家互联网企业已开始探索PhaaS行为特征库建设，部分安全厂商也推出了自动化钓鱼页面识别系统。在这场“攻防工业化”的对抗中，唯有技术、制度与公众意识协同进化，才能守住数字世界的信任底线。

编辑：芦笛（公共互联网反网络钓鱼工作组）