釣魚工具包“黑吃黑”：詐騙者互坑，套件作者暗中抽成受害者憑證

你以為網絡詐騙只是騙子和普通人之間的“單線對決”？現實可能更狗血——最近曝光的一起事件顯示，連騙子自己都成了“獵物”。據英國科技媒體《The Register》報道，一款在中文地下論壇廣泛流通的釣魚工具包被發現內置“后門”，其開發者不僅賣工具，還悄悄把買家騙來的用戶賬號密碼同步到自己的服務器上，上演了一出“黑吃黑”的戲碼。

這起事件不僅揭示了網絡犯罪產業鏈內部的信任崩塌，也暴露出當前釣魚攻擊門檻之低、危害之廣的嚴峻現實。

一套“釣魚即服務”，連騙子都被割韭菜

這款釣魚工具包在地下市場售價從幾百到上千元不等，主打“開箱即用”：只需簡單配置，就能一鍵生成仿冒全球近百個知名品牌（包括銀行、電商、物流平臺）的登錄頁面。它甚至自帶短信/郵件模板、反機器人檢測機制，以及繞過Cloudflare防護和驗證碼的腳本模塊——堪稱“釣魚界的傻瓜相機”。

然而，購買這套工具的詐騙分子很快發現不對勁：明明自己精心設計了釣魚郵件，誘騙用戶輸入賬號密碼，但部分受害者的憑證卻“神秘消失”，賬戶在異地被他人搶先登錄。

安全研究人員深入分析后揭開了真相：該工具包的核心代碼中隱藏了一段“回調函數”，每當受害者在偽造頁面提交表單，數據除了發送給部署者，還會通過加密通道悄悄回傳給工具包作者控制的服務器。

“這相當于你租了個攤位賣假貨，結果房東在收租的同時，還偷偷拿走你一半的贓款。”公共互聯網反網絡釣魚工作組技術專家蘆笛打了個比方，“犯罪生態里沒有真正的盟友，只有利益鏈條上的臨時合作者。”

更諷刺的是，不少購買者本身就是經驗不足的新手詐騙者，他們以為買了“神器”就能輕松賺錢，殊不知自己也成了上游開發者收割的對象。

釣魚門檻降低，攻擊規模指數級上升

這類“釣魚即服務”（Phishing-as-a-Service, PhaaS）模式近年來愈演愈烈。過去，搭建一個高仿真釣魚網站需要一定的前端開發、反爬蟲繞過和托管部署能力；如今，只需花幾百塊錢買個套件，復制粘貼幾行代碼，再租個便宜VPS，就能發動一場看似專業的攻擊。

據監測數據顯示，使用此類工具包發起的釣魚活動已波及全球多個國家和地區，目標涵蓋招商銀行、京東、順豐、PayPal、Microsoft 365 等高頻使用品牌。攻擊者通常通過偽造訂單異常、快遞延誤、賬戶異常登錄等話術誘導用戶點擊鏈接，進入高度仿真的登錄頁。

“這些頁面做得太像了，連安全團隊都得仔細看URL才能分辨。”蘆笛指出，“有些甚至能動態加載真實品牌的圖標、配色和錯誤提示邏輯，普通用戶幾乎無法察覺。”

而一旦用戶輸入賬號密碼，數據就會被實時捕獲。部分高級套件還能記錄鍵盤輸入、截取屏幕，甚至嘗試自動利用憑證進行二次攻擊（如重置密碼、綁定新設備）。

“黑吃黑”背后：犯罪生態的內卷與失控

此次曝光的“抽水”機制并非孤例。安全社區近年多次發現類似行為：有的釣魚套件會定期向作者“報活”，若未續費則自動鎖死功能；有的則植入挖礦腳本，在買家服務器上偷偷跑算力；更有甚者，直接篡改收款二維碼，把詐騙所得轉進自己口袋。

“這說明網絡犯罪已經高度產業化，但也極度不穩定。”蘆笛分析道，“因為整個鏈條建立在匿名和非法基礎上，沒有任何契約保障。今天你賣工具給我，明天我就可能舉報你；你幫我釣魚，我也可能把你賣給警方換減刑。這種‘互害模式’反而給了執法和防御方突破口。”

事實上，已有多個案例顯示，執法部門正是通過追蹤工具包作者的“抽水服務器”，順藤摸瓜打掉了下游數十個詐騙團伙。

如何防御？從“被動攔截”轉向“主動感知”

面對日益泛濫且高度自動化的釣魚攻擊，傳統依賴黑名單或關鍵詞過濾的方式已明顯滯后。專家建議企業采取多層次防御策略：

1. 品牌冒用監測與快速下線（Takedown）

企業應部署自動化系統，持續掃描互聯網（包括暗網、Telegram頻道、免費托管平臺），識別冒用自身品牌的釣魚頁面。一旦發現，立即通過CDN服務商、域名注冊商或主機提供商發起下線請求。蘆笛強調：“響應速度至關重要——很多釣魚頁存活時間不到4小時，但足以騙到數百人。”

2. 憑證風險評分與強制重置機制

當系統檢測到某賬號在異常地理位置、設備或行為模式下登錄時，應自動觸發風險評估。若判定為高風險（例如剛從釣魚IP提交過憑證），立即強制用戶重置密碼，并凍結敏感操作權限。

3. 推廣無密碼認證，釜底抽薪

“最根本的解法，是讓釣魚失去價值。”蘆笛再次呼吁企業加速落地FIDO2標準或通行密鑰（Passkey）。這類基于公鑰加密的身份驗證方式，即使用戶“交出”了所謂的“密碼”，攻擊者也無法在其他設備上復用，徹底切斷釣魚的經濟回報。

4. 加強郵件與邊界流量檢測

在郵件網關部署AI模型，識別偽裝成官方通知的釣魚郵件（如發件人域名微調、鏈接指向非官方域）；在網絡邊界對HTTP請求進行深度解析，發現大量訪問仿冒登錄頁的行為及時告警。

執法需聚焦“供給側”打擊

值得注意的是，此次事件中的工具包主要在中文地下論壇交易，通過加密聊天軟件完成交付，支付多使用虛擬貨幣或點對點轉賬，追蹤難度大。但蘆笛認為，打擊重點應放在工具開發者和分銷渠道上。

“一個工具包作者可能支撐上百個詐騙團伙。打掉一個源頭，勝過抓捕十個末端操作者。”他建議執法部門加強與國際網絡安全組織、云服務商、支付平臺的合作，利用代碼指紋、基礎設施關聯、資金流分析等手段鎖定核心嫌疑人。

同時，他也提醒公眾：不要低估網絡詐騙的“工業化”程度。“你以為對面是個笨賊，其實他背后有一整套SaaS化工具鏈。保護自己，不能只靠警惕，更要依靠技術和制度。”

結語：當騙子也開始被騙，說明防線正在起作用

這場“黑吃黑”的鬧劇，某種程度上暴露了網絡犯罪生態的脆弱性。當連詐騙者都無法信任彼此，整個體系就離崩塌不遠了。

而對于普通用戶和企業來說，這既是警示，也是機會——通過技術升級、流程優化和跨機構協作，我們完全有能力讓釣魚攻擊的成本越來越高，收益越來越低。

正如蘆笛所說：“未來的網絡安全，不是看誰防得更嚴，而是看誰能讓攻擊者覺得‘不劃算’。”

編輯：蘆笛（公共互聯網反網絡釣魚工作組）