4月27日,安全研究员在整理一批可疑域名时,发现了一个奇怪的模式——这些伪装成银行、邮政、交管局的钓鱼网站,后台居然共用同一套管理面板。更意外的是,它们的"使用说明书"全是中文。
这不是孤例。urlscan.io的最新追踪显示,一批中文钓鱼服务平台正在以惊人的效率向全球输出犯罪能力。它们不靠技术漏洞,而是把"怎么骗"做成了标准化产品。
钓鱼即服务:犯罪门槛的崩塌
传统钓鱼需要自建网站、写代码、租服务器。现在,犯罪分子只需按月付费,就能获得完整工具包:仿冒页面模板、受害者数据面板、甚至7×24小时技术支持。
这种模式被称为"钓鱼即服务"(网络钓鱼即服务)。中文平台在这个赛道跑出了独特的速度优势——它们的服务对象不限于中文用户,而是面向全球多国同时发起攻击。
一个后台可以同时加载几十个模板:美国的银行登录页、英国的邮政追踪页、日本的ETC缴费页、澳大利亚的政府退税页。操作者用同一套基础设施,在同一时间窗口内向四个国家的受害者发送定制化钓鱼链接。
跨境攻击的切换成本几乎为零。模板替换只需要几分钟,语言本地化有现成库,支付接口对接的是加密货币。这让"全球撒网"从高端技术活变成了入门级操作。
APWG和Microsoft的数据都指向同一个趋势:与这些框架相关的域名注册量、钓鱼工具包部署量、整体扫描量,全部在快速攀升。Group-IB、Resecurity、GSMA等机构的研究也记录了这类生态系统的扩张速度。
短信通道的隐秘升级
这些服务的发送渠道也在进化。除了传统的短信钓鱼(短信钓鱼),它们大规模接入了苹果iMessage和富媒体通信服务(富通信服务)这类"过顶"消息平台。
OTT消息的优势在于信任度。iMessage显示蓝色气泡,RCS带运营商认证标识,用户潜意识里认为这是"官方渠道"。更关键的是,这些通道绕过了传统短信网关的过滤机制,拦截难度远高于普通短信。
背后的硬件支撑是SIM盒设备——一种能插入多张实体SIM卡、通过网络远程控制的硬件。单台设备可同时管理数百个号码,配合自动化脚本实现高频发送。这种基础设施的投入是一次性的,但产出可以无限复制。
合法通信渠道的"借壳"让攻击成功率显著提升。安全团队很难在运营商层面封锁iMessage或RCS,而终端用户看到熟悉的界面风格,警惕性自然下降。
商业模式的正规化悖论
这些平台的运营方式呈现出诡异的"专业化"特征。它们采用与正规软件公司类似的联盟分销模式:平台方提供基础设施和工具包,下游"代理商"负责具体投放和变现,按效果分成。
这种模式降低了参与门槛,也加速了市场扩张。技术能力不再是硬门槛,有渠道资源、懂本地话术的人就能入行。平台方坐收订阅费和分成,风险由下游承担。
更值得关注的是竞争格局的形成。随着金融回报持续放大,更多威胁团伙开始自建或改造类似框架,地下市场出现了产品迭代和差异化竞争。有的平台主打"高转化率模板库",有的强调"抗检测基础设施",还有的提供"多语言客服支持"。
这种"内卷"推高了整个行业的服务水平,也加速了攻击技术的扩散。一个平台被打击,其代码和运营模式很快会被竞争对手吸收复制。
为什么这次不一样
中文钓鱼服务平台的特殊性在于规模与效率的组合。过往的地域性钓鱼团伙往往受限于语言、支付渠道、本地知识;而这些平台通过模块化设计,把"本地化"也做成了可租赁的资源。
全球短信钓鱼活动中,相当大比例可直接或间接追溯到这类中文平台。它们不是唯一的威胁源,但很可能是当前增长最快的变量。
对25-40岁的科技从业者来说,这意味着两件事:第一,你收到的钓鱼短信可能来自半个地球外的自动化流水线,话术经过A/B测试优化,界面像素级复刻官方应用;第二,防御方的传统优势——语言壁垒、地域隔离、技术门槛——正在被系统性地瓦解。
当犯罪基础设施变得像云计算一样按需可用,对抗的焦点就从"抓坏人"转向了"打断供应链"。而这条供应链的自动化程度,可能远超大多数人的想象。
热门跟贴