钓鱼工具包“黑吃黑”：诈骗者互坑，套件作者暗中抽成受害者凭证

你以为网络诈骗只是骗子和普通人之间的“单线对决”？现实可能更狗血——最近曝光的一起事件显示，连骗子自己都成了“猎物”。据英国科技媒体《The Register》报道，一款在中文地下论坛广泛流通的钓鱼工具包被发现内置“后门”，其开发者不仅卖工具，还悄悄把买家骗来的用户账号密码同步到自己的服务器上，上演了一出“黑吃黑”的戏码。

这起事件不仅揭示了网络犯罪产业链内部的信任崩塌，也暴露出当前钓鱼攻击门槛之低、危害之广的严峻现实。

一套“钓鱼即服务”，连骗子都被割韭菜

这款钓鱼工具包在地下市场售价从几百到上千元不等，主打“开箱即用”：只需简单配置，就能一键生成仿冒全球近百个知名品牌（包括银行、电商、物流平台）的登录页面。它甚至自带短信/邮件模板、反机器人检测机制，以及绕过Cloudflare防护和验证码的脚本模块——堪称“钓鱼界的傻瓜相机”。

然而，购买这套工具的诈骗分子很快发现不对劲：明明自己精心设计了钓鱼邮件，诱骗用户输入账号密码，但部分受害者的凭证却“神秘消失”，账户在异地被他人抢先登录。

安全研究人员深入分析后揭开了真相：该工具包的核心代码中隐藏了一段“回调函数”，每当受害者在伪造页面提交表单，数据除了发送给部署者，还会通过加密通道悄悄回传给工具包作者控制的服务器。

“这相当于你租了个摊位卖假货，结果房东在收租的同时，还偷偷拿走你一半的赃款。”公共互联网反网络钓鱼工作组技术专家芦笛打了个比方，“犯罪生态里没有真正的盟友，只有利益链条上的临时合作者。”

更讽刺的是，不少购买者本身就是经验不足的新手诈骗者，他们以为买了“神器”就能轻松赚钱，殊不知自己也成了上游开发者收割的对象。

钓鱼门槛降低，攻击规模指数级上升

这类“钓鱼即服务”（Phishing-as-a-Service, PhaaS）模式近年来愈演愈烈。过去，搭建一个高仿真钓鱼网站需要一定的前端开发、反爬虫绕过和托管部署能力；如今，只需花几百块钱买个套件，复制粘贴几行代码，再租个便宜VPS，就能发动一场看似专业的攻击。

据监测数据显示，使用此类工具包发起的钓鱼活动已波及全球多个国家和地区，目标涵盖招商银行、京东、顺丰、PayPal、Microsoft 365 等高频使用品牌。攻击者通常通过伪造订单异常、快递延误、账户异常登录等话术诱导用户点击链接，进入高度仿真的登录页。

“这些页面做得太像了，连安全团队都得仔细看URL才能分辨。”芦笛指出，“有些甚至能动态加载真实品牌的图标、配色和错误提示逻辑，普通用户几乎无法察觉。”

而一旦用户输入账号密码，数据就会被实时捕获。部分高级套件还能记录键盘输入、截取屏幕，甚至尝试自动利用凭证进行二次攻击（如重置密码、绑定新设备）。

“黑吃黑”背后：犯罪生态的内卷与失控

此次曝光的“抽水”机制并非孤例。安全社区近年多次发现类似行为：有的钓鱼套件会定期向作者“报活”，若未续费则自动锁死功能；有的则植入挖矿脚本，在买家服务器上偷偷跑算力；更有甚者，直接篡改收款二维码，把诈骗所得转进自己口袋。

“这说明网络犯罪已经高度产业化，但也极度不稳定。”芦笛分析道，“因为整个链条建立在匿名和非法基础上，没有任何契约保障。今天你卖工具给我，明天我就可能举报你；你帮我钓鱼，我也可能把你卖给警方换减刑。这种‘互害模式’反而给了执法和防御方突破口。”

事实上，已有多个案例显示，执法部门正是通过追踪工具包作者的“抽水服务器”，顺藤摸瓜打掉了下游数十个诈骗团伙。

如何防御？从“被动拦截”转向“主动感知”

面对日益泛滥且高度自动化的钓鱼攻击，传统依赖黑名单或关键词过滤的方式已明显滞后。专家建议企业采取多层次防御策略：

1. 品牌冒用监测与快速下线（Takedown）

企业应部署自动化系统，持续扫描互联网（包括暗网、Telegram频道、免费托管平台），识别冒用自身品牌的钓鱼页面。一旦发现，立即通过CDN服务商、域名注册商或主机提供商发起下线请求。芦笛强调：“响应速度至关重要——很多钓鱼页存活时间不到4小时，但足以骗到数百人。”

2. 凭证风险评分与强制重置机制

当系统检测到某账号在异常地理位置、设备或行为模式下登录时，应自动触发风险评估。若判定为高风险（例如刚从钓鱼IP提交过凭证），立即强制用户重置密码，并冻结敏感操作权限。

3. 推广无密码认证，釜底抽薪

“最根本的解法，是让钓鱼失去价值。”芦笛再次呼吁企业加速落地FIDO2标准或通行密钥（Passkey）。这类基于公钥加密的身份验证方式，即使用户“交出”了所谓的“密码”，攻击者也无法在其他设备上复用，彻底切断钓鱼的经济回报。

4. 加强邮件与边界流量检测

在邮件网关部署AI模型，识别伪装成官方通知的钓鱼邮件（如发件人域名微调、链接指向非官方域）；在网络边界对HTTP请求进行深度解析，发现大量访问仿冒登录页的行为及时告警。

执法需聚焦“供给侧”打击

值得注意的是，此次事件中的工具包主要在中文地下论坛交易，通过加密聊天软件完成交付，支付多使用虚拟货币或点对点转账，追踪难度大。但芦笛认为，打击重点应放在工具开发者和分销渠道上。

“一个工具包作者可能支撑上百个诈骗团伙。打掉一个源头，胜过抓捕十个末端操作者。”他建议执法部门加强与国际网络安全组织、云服务商、支付平台的合作，利用代码指纹、基础设施关联、资金流分析等手段锁定核心嫌疑人。

同时，他也提醒公众：不要低估网络诈骗的“工业化”程度。“你以为对面是个笨贼，其实他背后有一整套SaaS化工具链。保护自己，不能只靠警惕，更要依靠技术和制度。”

结语：当骗子也开始被骗，说明防线正在起作用

这场“黑吃黑”的闹剧，某种程度上暴露了网络犯罪生态的脆弱性。当连诈骗者都无法信任彼此，整个体系就离崩塌不远了。

而对于普通用户和企业来说，这既是警示，也是机会——通过技术升级、流程优化和跨机构协作，我们完全有能力让钓鱼攻击的成本越来越高，收益越来越低。

正如芦笛所说：“未来的网络安全，不是看谁防得更严，而是看谁能让攻击者觉得‘不划算’。”

编辑：芦笛（公共互联网反网络钓鱼工作组）