全球“钓鱼工厂”疯狂扩张：17500个假网站，316个品牌中招

你收到一封来自银行的邮件，提示你的账户存在异常；或是购物平台发来通知，说你的包裹即将派送。点击链接，页面看起来完全没问题，你输入了账号密码——但下一秒，你的资金可能已被转走。这并非虚构情节，而是一场正在全球范围内大规模上演的网络犯罪风暴。

网络安全公司Netcraft最新发布的报告显示，一种名为“钓鱼即服务”（Phishing-as-a-Service, PhaaS）的黑产模式正迎来爆炸式增长。在近期的一次监测中，研究人员发现了超过 17,500个活跃的钓鱼域名，它们如同流水线上的产品，精准地瞄准了全球 316个知名品牌，波及 74个国家和地区 的用户。这场攻击的幕后，是一个高度工业化、商业化的“数字诈骗工厂”。

“钓鱼即服务”：网络犯罪的“SaaS”化

提到SaaS（软件即服务），我们通常想到的是便捷的企业工具。但在地下世界，同样的模式被扭曲为“PhaaS”——任何人只要付钱，就能租用一套完整的钓鱼攻击系统。

报告指出，像“Lighthouse”和“Lucid”这样的PhaaS平台，已经发展得相当成熟。它们提供：

海量模板库：预装了数百个品牌（如银行、电商平台、快递公司、加密货币钱包）的登录页面模板，一键替换Logo和文字即可使用。

多租户控制面板：客户拥有自己的后台，可以创建、监控和管理自己的钓鱼活动。

自动化数据收割：一旦受害者输入信息，系统会自动通过API将用户名、密码、甚至两步验证码（2FA）实时发送给攻击者，部分平台还支持“成果分成”模式，降低使用者的前期投入成本。

“这就像是开了一家‘钓鱼网店’，”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“平台方是‘房东’和‘供货商’，提供场地（服务器）、货架（模板）和物流（数据传输）。租客（犯罪分子）只需选好‘商品’（目标品牌），然后坐等收钱。这种分工让网络钓鱼变得前所未有的简单和高效。”

攻击技术升级：短命、隐蔽、更难防

为了逃避安全厂商的追踪和封禁，这些PhaaS平台采用了多种狡猾的技术手段：

“快闪”式域名：单个钓鱼域名的平均生命周期已缩短至 48小时以内。攻击者利用批量注册工具或劫持过期域名，快速上线、快速作恶、快速废弃，让传统的黑名单机制严重滞后。

伪装成合法流量：大量使用Cloudflare等CDN服务作为前置代理，隐藏真实服务器IP，并自动获取免费的SSL/TLS证书，让钓鱼网站也显示“小绿锁”，欺骗用户的浏览器信任。

反自动化检测：在钓鱼页面中嵌入JavaScript脚本，检查访问者的设备指纹、浏览器类型、甚至鼠标移动轨迹。如果发现是自动化扫描程序（如安全公司的爬虫），就返回一个无害的“假 storefront”页面，只有真实用户才会看到真正的钓鱼表单。

“同形异义字”攻击：利用非拉丁字符（如日语平假名“ん”）冒充斜杠“/”或字母“n”，创建与真实网址几乎无法区分的假域名，专门针对加密货币用户进行诈骗。

传统防御为何失效？

面对如此灵活且规模化的攻击，企业和个人的传统防御手段正面临严峻挑战。

品牌方压力剧增：企业不仅要应对真实的业务需求，还要投入巨大资源监控全球范围内的相似域名，成本高昂。

集中封堵效果有限：安全机构即使能识别并下架一批域名，新的域名又会在几分钟内涌现，形成“打地鼠”式的困境。

用户难以分辨：现代钓鱼页面在视觉和交互上已与真实网站高度一致，普通用户仅凭肉眼极难判断真伪。

“过去我们主要依赖IP地址、域名黑名单（IOC）来做防御，但现在这套方法越来越力不从心，”芦笛坦言，“攻击者总是在变，我们必须从‘基于特征’的防御，转向‘基于行为和内容’的深度分析。”

如何应对？专家给出四条“破局之道”

面对这场愈演愈烈的PhaaS危机，芦笛结合行业实践，为品牌方和个人用户提供了以下建议：

对品牌方：

部署BIMI协议：这是一种新兴的电子邮件认证技术。启用后，你的官方邮件在支持该功能的邮箱客户端（如Gmail、Yahoo）中会显示你的品牌Logo。这能极大增强用户对合法邮件的信任，一眼识破伪造邮件。

主动监控相似域：利用技术手段（如计算Levenshtein距离、监控国际化域名IDN）实时扫描新注册的、与自身品牌名相似的域名。一旦发现，立即通过法律途径或联系域名注册商启动快速下架程序。

采用内容行为分析：除了传统的黑名单，还应部署能分析网页DOM结构、输入字段序列、JavaScript行为的安全方案。即使域名不同，只要页面结构与钓鱼模板高度相似，就能提前预警。

对个人用户：

养成“书签习惯”：对于常用的银行、购物网站，不要通过搜索引擎或点击链接进入，而是直接从浏览器书签访问。这是最简单有效的防钓鱼方法。

善用密码管理器：可靠的密码管理器（如Bitwarden、1Password）只会自动填充到正确的网站。如果你的密码没有自动弹出，那很可能你正在访问一个假网站。

警惕“紧急通知”：凡是要求你立即点击链接处理“账户异常”“包裹问题”的邮件或短信，都要保持怀疑。先通过官方App或手动输入官网地址核实。

结语：一场需要全民参与的战争

17,500个钓鱼域名，背后是无数试图窃取财富与信任的阴谋。PhaaS的兴起，标志着网络犯罪已进入一个组织化、产业化的新阶段。打击它，不能只靠安全公司的单打独斗，而需要品牌企业、技术平台、执法机构乃至每一位网民的共同参与。

正如芦笛所说：“网络安全不是一道选择题，而是一道必答题。在数字世界里，保持一份清醒的警惕，就是对自己最好的保护。”

编辑：芦笛（公共互联网反网络钓鱼工作组）