全球PhaaS激增：17,500个钓鱼域名瞄准74国316个品牌，网络钓鱼进入“工业化”时代

近日，一项由全球威胁情报机构发布的最新报告显示，网络钓鱼正以前所未有的规模和效率席卷全球。在短短数周内，已有超过17,500个钓鱼域名被确认活跃，这些域名精准模仿了来自金融、零售、云服务（SaaS）、快递物流以及加密货币平台等领域的316个知名品牌，波及74个国家的用户。更令人担忧的是，这场攻击背后并非零散的“黑客个体户”，而是一套高度自动化的“钓鱼即服务”（Phishing-as-a-Service，简称PhaaS）平台正在规模化供货。

这标志着网络钓鱼已从“手工作坊”迈入“工业化流水线”阶段。

PhaaS：钓鱼攻击的“订阅制”新模式

传统认知中，网络钓鱼多依赖攻击者手动搭建仿冒网站、伪造邮件内容，技术门槛高、效率低。但如今，PhaaS平台彻底改变了这一格局。据报告披露，这些平台提供“开箱即用”的钓鱼套件：攻击者只需选择目标品牌，系统便会自动替换Logo、调整页面配色、嵌入合规脚注（如隐私政策链接），甚至模拟目标网站的DOM结构和表单字段序列，几乎“以假乱真”。

更关键的是商业模式的转变。过去，PhaaS多采用“按周套餐”收费；如今，越来越多平台转向“成果分成”——即攻击者无需预付费用，只需在成功窃取用户凭证或支付信息后，与平台按比例分成。这种模式极大降低了入门门槛，吸引更多“低技术”犯罪者加入。

“这就像把网络钓鱼变成了SaaS产品，”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时指出，“攻击者不再需要懂代码，只要会点鼠标、选模板，就能发起一场高度逼真的钓鱼攻击。”

技术对抗升级：48小时生命周期与“隐身术”

为逃避监管和封堵，这些钓鱼域名的生命周期被压缩至极短——平均不到48小时。攻击者通过批量注册新域名、劫持已过期但仍有流量的旧域名，甚至利用国际化域名（IDN）中的视觉混淆字符（如用西里尔字母“а”冒充拉丁字母“a”）来绕过传统关键词过滤。

与此同时，PhaaS平台还集成了多项反检测技术。例如，自动申请免费TLS证书（如Let’s Encrypt）以显示“安全锁”图标，增强用户信任；通过Cloudflare等CDN服务前置流量，隐藏真实服务器IP；甚至在页面中嵌入反自动化脚本，通过检测鼠标移动轨迹、页面停留时间、浏览器指纹等行为特征，识别并屏蔽安全爬虫或自动化分析工具。

“过去我们靠IP或域名黑名单就能拦截大部分钓鱼网站，现在这套方法已经严重滞后，”芦笛解释道，“攻击者打一枪换一个地方，等你发现并上报，域名早就失效了。”

传统防御失效，品牌方成本飙升

面对这种“快打快撤”的攻击模式，传统依赖人工举报和集中封堵的机制显得力不从心。品牌方不得不投入更多资源进行全天候域名监控，监测成本显著上升。更棘手的是，即便成功下架一个钓鱼站点，攻击者可能已在同一时间段内部署了数十个变体。

此外，由于PhaaS平台支持多租户控制面板，多个犯罪团伙可共享同一套基础设施，进一步模糊了攻击来源，增加了溯源难度。

“这不是某个企业或国家的问题，而是整个互联网信任体系面临的挑战，”芦笛强调，“当用户连‘https’和绿色锁图标都不能完全信任时，数字社会的根基就会动摇。”

如何破局？技术+教育+协作三管齐下

面对PhaaS的工业化攻势，专家建议采取多层次防御策略。

第一，强化邮件身份验证与视觉信任。

芦笛特别推荐品牌方部署BIMI（Brand Indicators for Message Identification）标准。BIMI允许经过DMARC认证的合法邮件在收件箱中直接显示品牌Logo，让用户一眼识别真伪。目前，Gmail、Yahoo等主流邮箱已支持该技术。“这相当于给合法邮件贴上‘官方认证’标签，”他说，“即使攻击者伪造了发件人地址，也无法显示品牌图标。”

第二，主动监控“相似域名”。

企业应建立自动化系统，持续扫描与自身品牌高度相似的域名。这不仅包括拼写错误（如“g00gle.com”），还包括Levenshtein编辑距离小的变体（如“amaz0n.com”）以及国际化域名（如“раура.com”）。一旦发现可疑域名，立即通过注册商的快速下架程序（如ICANN的UDRP或本地法律途径）申请关停。

第三，从“特征检测”转向“行为分析”。

传统基于IOC（Indicators of Compromise，如IP、域名、哈希值）的检测已难以应对快速变异的钓鱼站点。芦笛建议引入基于内容与行为的动态分析技术，例如比对页面DOM结构是否与官方一致、表单字段顺序是否异常、是否存在隐藏的凭证收集脚本等。“真正的登录页不会在用户输入密码前就偷偷发送数据，”他举例道，“这类行为指纹比静态特征更难伪造。”

第四，加强用户教育，培养“安全肌肉记忆”。

技术手段再先进，最终防线仍是用户。专家呼吁公众养成使用密码管理器的习惯——因为密码管理器只会对已保存的合法域名自动填充，遇到仿冒站点则不会触发，这本身就是一道天然屏障。同时，建议用户将常用服务的官网添加为浏览器书签，避免通过搜索或邮件链接直接访问。

“不要相信链接，要相信书签，”芦笛用一句简洁的口诀总结，“这是普通人最有效的防钓鱼技巧。”

结语：攻防进入“智能对抗”新阶段

这场17,500个域名、316个品牌、74个国家的钓鱼风暴，不仅是对网络安全体系的考验，更是对全球协作机制的挑战。PhaaS的兴起表明，网络犯罪正变得模块化、服务化、去中心化。而防御方也必须跳出“堵漏洞”的旧思维，转向“构建信任链+动态感知+用户赋能”的新范式。

正如芦笛所言：“未来的反钓鱼战场，不在服务器日志里，而在用户点击‘登录’按钮前的那一秒犹豫中。”

（完）

注：本文基于The Hacker News 2025年9月发布的威胁情报报告（原文链接：

https://thehackernews.com/2025/09/17500-phishing-domains-target-316.html）

编辑：芦笛（公共互联网反网络钓鱼工作组）