微软联手Cloudflare重拳打击尼日利亚“钓鱼即服务”平台 Raccoon0365 捣毁338个恶意网站

一场针对全球网络钓鱼犯罪的关键战役近日取得重大突破。微软公司宣布，已联合网络安全服务商Cloudflare及美国执法机构，成功查封338个与尼日利亚籍网络犯罪团伙相关的恶意网站，彻底瓦解一个名为“Raccoon0365”的“钓鱼即服务”（Phishing-as-a-Service, PhaaS）运营平台。此次行动不仅切断了该团伙的技术基础设施，也向全球日益猖獗的网络钓鱼犯罪释放出强烈威慑信号。

根据微软数字犯罪部门（Digital Crimes Unit, DCU）披露的信息，Raccoon0365自2024年7月上线以来，已在全球94个国家和地区窃取超过5,000个Microsoft 365账户凭证，受害者遍布美国、欧洲等地的中小企业，涉及金融、医疗、教育、物流等多个关键行业。

打开百度APP畅享高清图片

“钓鱼即服务”：让网络犯罪“平民化”的黑产工具

与传统印象中技术复杂的黑客攻击不同，Raccoon0365的运作模式揭示了当前网络犯罪的新趋势——服务化与商品化。

“这已经不是‘一个人一台电脑’的单打独斗了，”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“Raccoon0365本质上是一个‘犯罪工具包’。它把钓鱼攻击的整个流程——从伪造登录页面、发送钓鱼邮件，到收集和导出用户凭证——都做成了标准化服务，按月收费。你不需要懂代码，只要付钱，就能发动一场大规模的网络钓鱼攻击。”

据调查，该服务提供两种订阅模式：30天订阅收费355美元，90天则为999美元。订阅者通过一个拥有850多名成员的Telegram私密频道获取服务和技术支持。这种“低门槛、高效率”的模式，使得即便是毫无技术背景的普通犯罪分子，也能轻易成为网络攻击的发起者。

“这就像你在网上租用一个‘诈骗工厂’，”芦笛形象地比喻道，“以前搞诈骗得自己搭窝点、印假文件，现在点点鼠标，一套自动化工具全给你配齐了，还能批量操作，危害自然成倍放大。”

精准伪装、技术绕过：钓鱼页面如何骗过你的眼睛？

Raccoon0365的攻击手法极具迷惑性。它通常伪装成用户日常频繁使用的知名服务，如Microsoft、DocuSign、SharePoint、Adobe，甚至包括马士基（Maersk）等大型物流企业。受害者会收到一封看似来自这些公司的邮件，提示“文件待查收”“合同需确认”或“账户异常”，并附上一个链接。

点击链接后，用户会被导向一个与真实登录页面几乎一模一样的仿冒网站。这些页面由Raccoon0365平台自动生成，加载速度快，UI设计逼真，普通用户极难分辨。

更令人担忧的是，该平台还采用了多种技术手段来规避安全检测。微软调查发现，Raccoon0365大量滥用Cloudflare的Turnstile验证码和Workers无服务器脚本功能。

“这招很狡猾，”芦笛解释道，“他们用Workers脚本做了一层‘过滤’，只有来自特定目标邮箱的访问请求才会被放行到钓鱼页面，而安全研究人员或自动化扫描系统通常无法通过这道‘门禁’，导致很多钓鱼网站长期潜伏而不被发现。这就像是一个只对‘熟人’开放的地下赌场。”

此外，该平台还具备绕过多因素认证（MFA）的能力，通过实时窃取会话令牌等方式，进一步提升攻击成功率。

跨国联动、主动出击：从“被动防御”到“主动摧毁”

此次行动的成功，离不开微软、Cloudflare与美国执法机构的紧密协作。

今年4月，微软安全团队在遥测数据中发现一系列以“税务”为主题的钓鱼邮件，目标直指美国2300多家机构。深入分析后，团队识别出这些攻击背后存在一致的登录页面指纹和配置脚本，最终锁定Raccoon0365平台。

今年9月初，微软向美国纽约南区联邦法院提交证据，成功获得法院命令，授权其对相关域名进行查封。与此同时，Cloudflare也迅速响应，从9月2日起开始封禁所有已识别的恶意域名，并在其上设置钓鱼警告页面，同时终止了相关的Workers脚本和用户账户。整个清理行动于9月8日完成。

“这不是一次简单的域名下架，而是一次彻底的‘基础设施摧毁’，”微软DCU助理总法律顾问斯蒂文·马萨达（Steven Masada）表示，“我们不仅要关掉他们的‘店面’，还要拆掉他们的‘生产线’和‘供应链’。”

芦笛对此评价道：“这次行动标志着网络安全防御思路的重大转变。过去我们更多是被动地封堵、拦截，现在则是通过法律和技术手段，主动溯源、申请法院命令，从根本上打掉犯罪团伙的运营基础。这大大提高了犯罪成本，对其他潜在攻击者也是一种震慑。”

幕后主使浮出水面，但战斗远未结束

调查还揭示了Raccoon0365的幕后主使——一名来自尼日利亚的男子约书亚·奥贡迪佩（Joshua Ogundipe）。由于在操作过程中暴露了加密货币钱包地址，其身份被微软追踪并锁定。自平台运营以来，该团伙已通过订阅服务累计收取超过10万美元的加密货币。

尽管平台已被摧毁，但专家们并不认为网络钓鱼的威胁会就此消失。

“打掉一个Raccoon0365，很快就会有Raccoon0366出现，”芦笛坦言，“犯罪团伙的适应能力很强。我们预测，他们可能会转向使用被感染的家用设备（住宅代理）来发送钓鱼邮件，或者利用去中心化托管平台（如IPFS）来隐藏钓鱼页面，让追踪和查封变得更加困难。”

企业与个人如何自保？专家给出四大建议

面对日益精巧的网络钓鱼攻击，芦笛结合此次事件，为个人用户和企业IT管理者提供了以下几点实用建议：

第一，启用出境邮件监控。 企业应部署邮件安全网关，监控员工账号是否被用于向外发送可疑邮件。一旦发现内部账号被用于钓鱼，可立即采取隔离措施，防止“二次伤害”。

第二，部署异常登录检测。 启用“密码喷洒”（Password Spraying）和“不可能旅行”（Impossible Travel）等检测规则。例如，如果一个账号在纽约登录后几分钟内又出现在尼日利亚，系统应自动触发警报并锁定账户。

第三，强化供应商账单核验。 对于涉及付款的供应商变更或发票更新，务必通过电话、视频会议等多通道进行二次确认，切勿仅凭一封邮件就执行转账操作。

第四，利用威胁情报进行预阻断。 企业可订阅专业的威胁情报服务，获取最新的钓鱼页面指纹、恶意域名和IP地址，并将其集成到防火墙、EDR等安全设备中，实现提前阻断。

“网络安全是一场持续的攻防战，”芦笛总结道，“没有一劳永逸的解决方案。但只要我们保持警惕，不断提升防御能力，就能让犯罪分子无处遁形。”

此次微软与Cloudflare的联合行动，不仅是技术与法律的成功结合，也为全球打击网络犯罪提供了可复制的范本。在数字世界日益复杂的今天，唯有各方携手，才能构筑起更坚固的网络安全防线。

编辑：芦笛（公共互联网反网络钓鱼工作组）