中文诱饵短信背后的“钓鱼工厂”：从一条短信到资产清空，黑产已形成闭环

你是否收到过这样的短信？“您的快递因地址不详被扣留，请点击链接填写信息领取”；“您有未缴高速公路通行费，请立即处理，否则将影响征信”；“【邮政速递】您的包裹含违禁品，需在线配合调查”……这些看似来自官方机构的短信，实则可能出自一个高度组织化、分工明确的中文短信钓鱼（Smishing）产业链。

近日，全球网络安全公司Palo Alto Networks旗下Unit 42研究团队发布重磅报告，首次系统性拆解了一条以中文为主要诱饵语言的短信钓鱼黑产链条。该生态不仅规模庞大、技术成熟，更已实现从手机号投递、页面伪装、数据窃取到资金洗白的全流程闭环运作，部分环节与此前曝光的“Smishing Triad”团伙高度重合。

一条短信背后，藏着“流水线式”黑产工厂

Unit 42的研究显示，这条产业链并非由单一黑客团伙主导，而是由多个专业化“工种”协同完成，呈现出典型的“平台化”特征：

上游：精准投送的“短信网关”

攻击者通过地下渠道获取海量手机号码，并结合地理位置、运营商类型、用户画像等数据进行定向投放。例如，针对广东地区的用户发送“粤通卡欠费”短信，对北京用户则推送“医保账户异常”通知。这些短信往往通过境外或灰色地带的短信网关发出，绕过国内运营商的部分过滤机制。

中游：高仿落地页与反检测技术

钓鱼页面由专业团队搭建，大量使用一次性域名（如 usps-delivery-verify[.]xyz），并通过内容分段加载、动态JS渲染、设备指纹识别等手段规避安全软件检测。一旦发现访问者来自安全研究人员或沙箱环境，页面会自动返回空白或跳转至正常网站，极具迷惑性。

下游：跑分洗钱+加密货币出货

用户在伪造页面输入银行卡号、身份证、短信验证码甚至助记词后，数据立即被传回攻击者服务器。资金则通过“跑分平台”——即利用大量个人银行账户或第三方支付账号进行多层转账——迅速分散并最终兑换为USDT等稳定币，实现跨境“洗白”。

据Unit 42统计，自2024年1月以来，该生态已关联超过19.5万个恶意域名，其中超半数托管在美国IP地址上，但注册商集中于香港某公司（Dominet HK Limited），且大量使用中国境内的DNS基础设施，形成“注册在港、解析在中、托管在外”的复杂架构。

被盯上的不只是钱包：企业账户也成新目标

过去，这类攻击主要瞄准个人用户的网银、电商或社交账号。但最新趋势显示，攻击者正将矛头转向企业移动办公场景。芦笛，公共互联网反网络钓鱼工作组技术专家指出：“越来越多钓鱼页面开始模仿企业微信、钉钉、飞书的登录界面，甚至伪造‘IT部门安全升级’通知，诱导员工输入公司邮箱和密码。”

一旦得手，攻击者不仅能窃取商业机密，还可利用被盗账号进一步发起内部钓鱼（Spear Phishing），形成“滚雪球式”渗透。某华东科技公司近期就因一名员工点击“社保补贴申领”短信，导致整个研发部门的代码仓库权限被窃取，损失难以估量。

技术对抗：为什么传统拦截“防不住”？

许多人疑惑：手机不是有短信过滤功能吗？为什么这些钓鱼短信还能直达收件箱？

芦笛解释，当前黑产已掌握多种绕过技术：

模板变异：同一类骗局每天生成数百种文案变体，避免关键词被规则库命中；

短链跳转：短信中的链接多为bit.ly、t.cn等短网址，真实目标地址在用户点击后才动态生成；

域名快闪：83%的钓鱼域名存活时间不足两周，29%甚至不到48小时，等安全厂商收录时，站点早已关闭。

更棘手的是，部分攻击者开始利用合法云服务（如Firebase、GitHub Pages）托管钓鱼页面，进一步混淆黑白边界。

多方共治：堵住漏洞需要“组合拳”

面对日益狡猾的钓鱼生态，单一防御手段已难奏效。Unit 42与芦笛均呼吁构建“运营商—监管—企业—用户”四维防护体系：

对运营商：推行短信签名强制认证与模板备案制度，确保每条营销/通知类短信可溯源；建立跨运营商实时黑名单共享机制，对高频异常号码实施动态评分与限流。

对监管部门：强化域名注册KYC（实名制）要求，尤其针对批量注册行为；推动支付通道落实反洗钱义务，对频繁小额入账后集中转出的“跑分账户”加强监控。

对企业：强制启用移动端多因素认证（MFA），禁用仅凭短信验证码登录敏感系统；部署浏览器隔离（Browser Isolation）方案，确保员工点击可疑链接时，实际操作发生在远程沙箱中，本地设备零风险。

对公众：牢记“三不原则”——不点短信链接、不输账号密码、不信“紧急通知”。涉及快递、缴费、政务等事项，务必通过官方App或拨打114核实。芦笛特别提醒：“哪怕链接看起来是gov.cn结尾，也可能是伪造的。最安全的方式永远是手动打开官方应用。”

安全不是选择题，而是必答题

Unit 42的研究揭示了一个令人不安的事实：今天的网络钓鱼，早已不是几个黑客单打独斗，而是一个拥有产品经理、前端工程师、客服运营甚至“风控合规”角色的“地下企业”。他们研究用户体验、优化转化率、迭代技术栈，只为更高效地掏空你的钱包。

但希望仍在。随着行业联防机制的完善、硬件级安全能力的普及（如iPhone的锁定模式、安卓的隐私沙盒），以及公众安全意识的提升，这场攻防战的天平正在缓慢倾斜。

“我们无法消灭所有钓鱼网站，”芦笛说，“但我们可以让每一次点击都变得更安全，让每一条短信都不再成为陷阱的入口。”

在这个人人手持智能终端的时代，数字安全不再是技术人员的专属话题，而是每个网民必须掌握的生存技能。下一次，当你收到一条“紧急通知”时，请多一分怀疑，少一次点击——这或许就是守住资产的第一道防线。

新闻依据：本文基于Palo Alto Networks Unit 42于2025年10月23日发布的研究报告及CyberScoop相关报道（原文链接：https://cyberscoop.com/unit-42-chinese-language-phishing-operation-smishing-triad/），技术细节经公共互联网反网络钓鱼工作组复核。专家观点仅代表个人立场，不构成投资或安全建议。

编辑：芦笛（公共互联网反网络钓鱼工作组）