2026年网络犯罪造成的欺诈和盗窃金额接近210亿美元。这个数字里,有2000万美元来自一个叫W3LL的钓鱼工具包——上周,FBI和印尼警方联手把它端了。
这不是普通的钓鱼软件。花500美元,一个完全不懂技术的人就能买到全套服务:伪造登录页面、窃取账号密码、绕过双因素认证(2FA),还有24小时客服和教学视频。Group-IB在2023年首次记录这个工具时,把它称为"一体化钓鱼解决方案"。
从发垃圾邮件到"黑产SaaS"
W3LL的开发者公开代号G.L,至少从2017年就开始混迹网络黑产。早期他做过两款批量邮件工具PunnySender和W3LL Sender,后来升级思路——不卖单次服务,卖"平台"。
2019年,W3LL商店上线。买家不仅能拿到钓鱼工具包,还能获得邮件列表、被入侵的服务器权限,甚至定制化开发。商店运营到2023年关闭,但G.L没停手,转而在加密通讯平台上继续交易。
FBI亚特兰大特别探员Marlo Graham在声明里说:「这不仅仅是钓鱼,这是一个全服务的网络犯罪平台。」
平台化到什么程度?买家有票务系统和网页聊天支持。技术小白能看视频学做假网站。老带新有10%佣金,第三方分销商拿70%利润分成。这套商业模式,放在硅谷能拿融资。
2.5万个账号,17万次入侵
W3LL主攻微软365账号,但技术上可以针对任何服务。攻击逻辑很直接:克隆目标网站的登录页,诱导用户输入凭证,同时窃取会话数据——这样即使开了双因素认证,攻击者也能直接"借用"用户的登录状态。
FBI统计,W3LL商店在2023年前囤积了超过2.5万个已入侵账号,2023至2024年间又用工具包额外攻陷1.7万个账号。总涉案金额约2000万美元。
双因素认证曾被视为安全底线。W3LL的流行说明,这条线已经被批量跨过。它不靠破解验证码,而是绕过整个认证流程——偷你的"钥匙"还不够,直接复制你的"进门状态"。
关了商店,代码还在
主工具包被拿下,但W3LL的代码没有消失。欧洲网络安全公司Sekoia IO发现,一款叫Sneaky 2FA的工具正在使用W3LL的部分源代码。破解版W3LL也在网上流传多年。
这像是打地鼠。封掉一个域名,开发者换个加密聊天群继续卖;抓了一个G.L,代码开源后任何人都能 fork。钓鱼工具包的边际成本趋近于零,这是平台化黑产最难缠的地方。
Group-IB和FBI都没有回应进一步置评请求。目前被拘留的嫌疑人是否就是G.L本人,官方尚未确认。
一个值得注意的细节:W3LL主要靠口碑传播,没有大规模广告投放。这意味着它的用户群体相对封闭,也更容易重建——熟人网络比公开平台更难监控,但重建起来也更快。
当500美元就能买到绕过企业级安全认证的工具,且附带客服和教学视频,防御方的成本结构是不是已经失衡了?
热门跟贴