一条钓鱼短信的全球生意：中国黑产如何承包你的收件箱

4月27日，安全研究员在整理一批可疑域名时，发现了一个奇怪的模式——这些伪装成银行、邮政、交管局的钓鱼网站，后台居然共用同一套管理面板。更意外的是，它们的"使用说明书"全是中文。

这不是孤例。urlscan.io的最新追踪显示，一批中文钓鱼服务平台正在以惊人的效率向全球输出犯罪能力。它们不靠技术漏洞，而是把"怎么骗"做成了标准化产品。

钓鱼即服务：犯罪门槛的崩塌

传统钓鱼需要自建网站、写代码、租服务器。现在，犯罪分子只需按月付费，就能获得完整工具包：仿冒页面模板、受害者数据面板、甚至7×24小时技术支持。

这种模式被称为"钓鱼即服务"（网络钓鱼即服务）。中文平台在这个赛道跑出了独特的速度优势——它们的服务对象不限于中文用户，而是面向全球多国同时发起攻击。

一个后台可以同时加载几十个模板：美国的银行登录页、英国的邮政追踪页、日本的ETC缴费页、澳大利亚的政府退税页。操作者用同一套基础设施，在同一时间窗口内向四个国家的受害者发送定制化钓鱼链接。

跨境攻击的切换成本几乎为零。模板替换只需要几分钟，语言本地化有现成库，支付接口对接的是加密货币。这让"全球撒网"从高端技术活变成了入门级操作。

APWG和Microsoft的数据都指向同一个趋势：与这些框架相关的域名注册量、钓鱼工具包部署量、整体扫描量，全部在快速攀升。Group-IB、Resecurity、GSMA等机构的研究也记录了这类生态系统的扩张速度。

短信通道的隐秘升级

这些服务的发送渠道也在进化。除了传统的短信钓鱼（短信钓鱼），它们大规模接入了苹果iMessage和富媒体通信服务（富通信服务）这类"过顶"消息平台。

OTT消息的优势在于信任度。iMessage显示蓝色气泡，RCS带运营商认证标识，用户潜意识里认为这是"官方渠道"。更关键的是，这些通道绕过了传统短信网关的过滤机制，拦截难度远高于普通短信。

背后的硬件支撑是SIM盒设备——一种能插入多张实体SIM卡、通过网络远程控制的硬件。单台设备可同时管理数百个号码，配合自动化脚本实现高频发送。这种基础设施的投入是一次性的，但产出可以无限复制。

合法通信渠道的"借壳"让攻击成功率显著提升。安全团队很难在运营商层面封锁iMessage或RCS，而终端用户看到熟悉的界面风格，警惕性自然下降。

商业模式的正规化悖论

这些平台的运营方式呈现出诡异的"专业化"特征。它们采用与正规软件公司类似的联盟分销模式：平台方提供基础设施和工具包，下游"代理商"负责具体投放和变现，按效果分成。

这种模式降低了参与门槛，也加速了市场扩张。技术能力不再是硬门槛，有渠道资源、懂本地话术的人就能入行。平台方坐收订阅费和分成，风险由下游承担。

更值得关注的是竞争格局的形成。随着金融回报持续放大，更多威胁团伙开始自建或改造类似框架，地下市场出现了产品迭代和差异化竞争。有的平台主打"高转化率模板库"，有的强调"抗检测基础设施"，还有的提供"多语言客服支持"。

这种"内卷"推高了整个行业的服务水平，也加速了攻击技术的扩散。一个平台被打击，其代码和运营模式很快会被竞争对手吸收复制。

为什么这次不一样

中文钓鱼服务平台的特殊性在于规模与效率的组合。过往的地域性钓鱼团伙往往受限于语言、支付渠道、本地知识；而这些平台通过模块化设计，把"本地化"也做成了可租赁的资源。

全球短信钓鱼活动中，相当大比例可直接或间接追溯到这类中文平台。它们不是唯一的威胁源，但很可能是当前增长最快的变量。

对25-40岁的科技从业者来说，这意味着两件事：第一，你收到的钓鱼短信可能来自半个地球外的自动化流水线，话术经过A/B测试优化，界面像素级复刻官方应用；第二，防御方的传统优势——语言壁垒、地域隔离、技术门槛——正在被系统性地瓦解。

当犯罪基础设施变得像云计算一样按需可用，对抗的焦点就从"抓坏人"转向了"打断供应链"。而这条供应链的自动化程度，可能远超大多数人的想象。