“短信三人组”跨境扩张：19.4万域名支撑中文钓鱼短信风暴，专家呼吁全民警惕“快递通知”陷阱

原创

草竹道人

发布于 2025-11-10 09:24:01

850

文章被收录于专栏：公共互联网反网络钓鱼（APCN）公共互联网反网络钓鱼（APCN）

你是否刚收到一条“您的快递已到达，请点击链接领取”的短信？小心——这可能不是来自顺丰或菜鸟，而是一场精心策划的网络钓鱼攻击。近日，全球网络安全机构接连披露，一个被称为“Smishing Triad”（短信三人组）的跨国犯罪团伙正大规模向全球华语及东南亚用户发送伪装成快递、银行、政府通知的欺诈短信，背后竟关联高达19.4万个恶意域名，形成一套高度自动化、快速轮换的“快枪式”钓鱼生态。

据《The Hacker News》与Palo Alto Networks旗下Unit 42联合报告显示，该团伙利用灰产渠道采购Telegram机器人、虚拟短信网关等投递能力，结合中文本地化话术（如“双十一包裹异常”“医保卡停用”“银行账户风控”），在节日促销、政策调整等高敏感时段集中轰炸用户手机。一旦点击短信中的短链接，受害者将被引导至动态生成的伪造网页——页面外观与真实官网几乎无异，甚至能根据用户地理位置、设备型号自动适配界面。

更令人担忧的是，这些落地页不仅用于窃取账号密码，部分还集成仿冒支付SDK，诱导用户输入银行卡号、身份证及短信验证码，实现“一键盗刷”。更有甚者，会推送伪装成“快递查询工具”的恶意APK，一旦安装，即可在后台静默窃取通讯录、短信乃至银行App的通知内容。

“这不是传统意义上的‘垃圾短信’，而是一整套工业化、流水线式的网络诈骗基础设施。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出，“19.4万个域名听起来夸张，但对攻击者来说，注册一个域名成本不到1美元，配合自动化脚本批量生成页面，今天封一个，明天换一百个——这就是所谓的‘快枪域名’战术。”

技术揭秘：为何这些钓鱼网站“打不死”？

许多用户疑惑：为什么杀毒软件和浏览器拦截不了这些假网站？芦笛解释，关键在于攻击者采用了多重规避技术：

首先是短链跳转链。短信中的链接往往只是第一跳（如bit.ly/xxx），随后经过3-5层重定向，最终才抵达真实钓鱼页。这种设计让安全系统难以在第一时间识别最终目标。

其次是动态落地页生成。攻击者使用模板引擎，每次访问都生成唯一URL和页面内容，甚至嵌入随机参数干扰检测。同时，页面会通过JavaScript读取设备指纹（如屏幕分辨率、浏览器版本、时区），若判断为安全研究人员或爬虫，就自动返回空白页或跳转正常网站，实现“隐身”。

第三是域名快速轮换。Unit 42发现，该团伙大量使用新注册域名，平均存活时间不足48小时。一旦被举报或列入黑名单，立即弃用并启用新域名池。“这就像是打地鼠，你刚砸下一个，旁边又冒出十个。”芦笛比喻道。

谁在受害？从个人钱包到企业内网

此次攻击的影响远超个人财产损失。报告指出，已有多个东南亚企业的员工因点击“公司税务通知”类短信，导致办公邮箱凭证泄露，进而引发内部邮件钓鱼连锁反应。部分金融机构客户遭遇“二次诈骗”——骗子先盗取账户信息，再冒充客服致电用户，以“冻结资金”为由诱导其转账至“安全账户”。

“攻击者正在把短信钓鱼当作‘入口’，撬动更大的利益链条。”芦笛强调，“一旦拿到你的手机号+验证码，他们不仅能登录网银，还能尝试找回你在其他平台的密码——因为很多人习惯用同一套信息注册多个服务。”

专家支招：普通人如何守住“最后一厘米”？

面对如此狡猾的攻击，普通用户真的无能为力吗？芦笛给出了几条实用建议：

绝不点击短信中的链接。无论是快递、银行还是政府通知，一律通过官方App、官网（建议收藏）或拨打官方客服核实。真正的机构极少通过短信附带链接要求操作敏感信息。

安卓用户务必关闭“未知来源安装”。设置路径通常为：设置 > 安全 > 特殊权限 > 安装未知应用。除非绝对必要，否则不要授权任何App安装第三方软件。