摘要
短信钓鱼(Smishing)依托移动通信普及度与公众对政务服务信任度形成规模化欺诈链路,以塞尔维亚交通罚单仿冒诈骗为代表的攻击事件,首次证实 Darcula、Phoenix 两类钓鱼即服务(PhaaS)平台可混合复用开展统一作战。攻击者通过伪造政务通知短信、形近域名仿冒官网、前端 JS 动态内容混淆、支付表单窃取银行卡信息形成完整犯罪闭环,混淆脚本规避传统静态页面扫描,大幅提升攻击存续周期与受害者财产损失规模。本文以 Group-IB 2026 年巴尔干地区野外监测案例为核心样本,完整拆解混合型 PaaS 支撑下政务短信钓鱼全攻击链路,剖析短信社工诱导、仿冒门户搭建、前端动态混淆、支付数据外溢四大核心技术模块,配套 JS 混淆识别、恶意 URL 筛查两套可工程化代码实现;结合反网络钓鱼技术专家芦笛的实战研判,从运营商短信网关、域名品牌防护、终端浏览器检测、公众安全宣教四层构建事前 - 事中 - 事后闭环防御架构。研究证实单一域名拦截或短信关键词过滤无法抵御混合 PaaS 型短信钓鱼,前端动态代码行为分析、多渠道政务信息核验、全链路威胁情报联动是阻断此类攻击的核心路径。
关键词:短信钓鱼;PhaaS;政务仿冒;JavaScript 内容混淆;域名仿冒;数字风险防护
1 引言
1.1 研究背景
政务数字化服务全面普及后,交通违章、道路通行费、税务缴款等业务普遍以短信作为官方通知渠道,公众形成 “政务短信具备权威性、可信度高” 的固有认知,该认知漏洞成为黑产实施社会工程欺诈的核心突破口。2026 年 7 月 Group-IB 发布巴尔干地区专项威胁报告,披露针对塞尔维亚道路管理局 Putevi Srbije 的大规模短信钓鱼活动,攻击者批量推送未缴交通罚单提醒短信,搭配短链跳转高仿政务支付页面,诱导民众输入银行卡卡号、有效期、CVV 安全码实施资金盗刷。
本次攻击区别于传统单一工具包钓鱼活动,其基础设施、页面模板、混淆脚本同时匹配 Darcula、Phoenix 两类独立 PaaS 平台特征,证明黑产团伙已具备跨平台工具混合复用能力,攻击部署灵活性、迭代速度、规避能力同步提升。同时攻击页面采用延迟解码、视口按需渲染的 JS 混淆机制,原始 HTML 无欺诈关键词,静态爬虫、网页沙箱难以捕获恶意特征,传统基于文本匹配的安全检测体系出现大面积漏判。反网络钓鱼技术专家芦笛指出,当前安全防护领域长期割裂短信渠道、网页渠道、域名渠道监测数据,对混合 PaaS 驱动的政务场景短信钓鱼缺乏全链路分析框架,现有防御手段滞后于攻击技术迭代节奏。
从产业层面看,PhaaS 平台大幅降低网络欺诈技术门槛,无需前端、服务器开发能力的底层黑产从业者,可直接调用标准化政务仿冒模板、批量生成混淆页面、批量下发诈骗短信,跨境、跨区域规模化攻击常态化。传统学术研究多单独针对邮件钓鱼、单一 PaaS 平台、普通零售仿冒站点开展分析,针对多 PaaS 混合复用 + 短信社工入口 + 前端动态混淆三位一体政务钓鱼攻击的完整拆解、代码复现、分层防御研究存在明显空白,难以适配当前巴尔干及全球同类政务短信诈骗防控需求。
1.2 研究意义
本文基于 Group-IB 公开野外攻击样本,完整还原混合型 PaaS 支撑下政务短信钓鱼全链路技术细节,量化 JS 动态混淆对传统静态检测的规避效果,编写轻量化检测代码填补前端混淆页面自动化识别技术缺口;区分电信运营商、政务机构、金融机构、终端用户四方防护职责,构建端 - 管 - 云协同纵深防御体系,理论层面完善 Smishing 与 PhaaS 交叉领域研究框架,实践层面提供可直接落地的检测脚本、运营管控流程。
现实应用层面,交通、税务、路政等政务主管机构可依托本文研究成果搭建数字品牌防护机制,运营商可升级短信网关异常短链识别规则,银行机构可完善银行卡异常支付预警模型,普通民众可通过标准化识别特征规避政务类短信诈骗,形成从技术设备到公众认知的完整防护闭环。
1.3 行文结构
全文共六大核心章节:第一部分为引言,阐述研究背景、现实价值与整体框架;第二部分界定短信钓鱼、混合型 PaaS 核心概念,对比传统单一工具包攻击与本次混合平台政务钓鱼的差异化特征,梳理攻击兴起的产业驱动因素;第三部分以塞尔维亚交通罚单诈骗案例为样本,分短信投递、仿冒门户跳转、JS 动态混淆、支付数据窃取、PaaS 混合支撑五个阶段拆解完整攻击链路,配套恶意 URL 筛查、JS 混淆识别两套完整可运行代码示例;第四部分从黑产运营视角分析 Darcula、Phoenix 混合复用的经济收益与规避优势;第五部分结合反网络钓鱼技术专家芦笛研判结论,搭建运营商、政务、金融、终端四维全域分层防御架构,细化事前拦截、事中检测、事后溯源处置全流程方案;第六部分总结核心研究结论,预判政务短信钓鱼未来技术演化方向,提出后续深化研究路径。
2 混合型 PaaS 政务短信钓鱼攻击演化与驱动因素
2.1 核心概念界定
2.1.1 Smishing 短信钓鱼
短信钓鱼(Smishing)是以手机短信、彩信、RCS 消息为传播入口的社会工程攻击,依托短信轻量化、推送直达、官方信任背书三大特性,推送包含恶意短链接的诱导信息,引导受害者跳转仿冒网页泄露身份、支付凭证,区别于邮件钓鱼,移动端单指操作降低用户警惕性,短信网关检测规则复杂度普遍低于邮件安全网关,欺诈成功率更高。
2.1.2 PhaaS 钓鱼即服务
钓鱼即服务(PhaaS)是订阅制黑产基础设施服务,平台运营者封装域名注册、页面模板、前端混淆、数据接收后台、批量短信下发全套能力,底层攻击者仅需支付租金即可快速搭建跨国家、跨行业钓鱼活动,无需掌握 Web 开发、流量分发、威胁规避技术。Darcula、Phoenix 为全球流通度最高的两类 PaaS 平台:Darcula 内置 200 + 全球化仿冒模板,侧重政务、邮政、交通场景;Phoenix 提供集中式多 Campaign 管理面板,支持同一后台管控多国同步诈骗活动,二者底层脚本、域名策略、混淆机制存在差异,本次巴尔干攻击证实攻击者可同时调取两类平台组件混合部署。
2.1.3 混合型 PaaS 政务短信钓鱼
混合型 PaaS 政务短信钓鱼指威胁主体同时调用两种及以上独立 PaaS 平台的模板、混淆脚本、分发基础设施,以政务交通、税务缴款通知短信为入口,通过动态 JS 混淆仿冒官方支付门户,窃取金融支付数据的复合欺诈攻击模式,核心创新在于打破单一工具包技术局限,融合多平台规避手段,提升检测难度与攻击存续周期。
2.2 传统单一 PaaS 攻击固有短板
早期黑产团伙仅使用单一 Darcula 或 Phoenix 开展诈骗,存在三处可被安全设备精准拦截的缺陷。第一,页面混淆逻辑单一,仅采用基础 Base64 静态编码,安全厂商可针对性编写解码规则批量还原页面内容;第二,域名注册模式固定,单一 PaaS 平台偏好固定小众后缀(.top、.cc),威胁情报可批量收录域名特征;第三,短信下发链路统一,单一平台对接固定虚拟短信通道,运营商可通过通道信誉评分批量拦截诈骗短信。单一平台攻击样本特征高度同质化,安全机构积累足量 IOC 后即可实现高覆盖率拦截,攻击投入产出比持续下降,倒逼黑产采用跨平台混合复用模式。
2.3 混合型 PaaS 政务钓鱼兴起的四大驱动因素
2.3.1 多平台组件互补,规避检测特征固化
Darcula 擅长本地化多语言政务页面模板渲染,Phoenix 优势在于多国家 Campaign 统一管理、动态视口解码混淆脚本,二者混合使用后,页面代码、域名格式、短信下发通道特征互相稀释,安全厂商难以提取稳定拦截指纹,拉长样本捕获与规则迭代周期。反网络钓鱼技术专家芦笛强调,传统基于单一 PaaS 特征的威胁检测规则在混合攻击场景下失效,必须搭建跨平台全要素情报关联引擎。
2.3.2 政务场景公众信任红利显著
各国道路管理、税务机构具备天然官方公信力,公众收到罚款、通行费补缴短信时,优先默认信息真实,焦虑情绪压制风险判断;攻击者利用 “逾期加重处罚、驾照暂扣” 等强制后果制造心理压迫,大幅提升链接点击与信息提交转化率,同等基础设施投入下,政务场景攻击收益远高于电商、零售仿冒钓鱼。
2.3.3 JS 动态混淆技术大幅延长站点存活周期
传统静态编码混淆页面在爬虫访问后即可还原恶意内容,数小时内被域名封禁;本次攻击采用视口按需解码、浏览器空闲延迟渲染、2 秒周期动态扫描新增元素三重混淆机制,无头沙箱、自动化爬虫无法触发完整页面解码逻辑,仅展示空白无关诱饵页面,钓鱼站点平均存活周期提升十余倍,黑产可长期持续窃取银行卡数据。
2.3.4 跨境低成本基础设施降低欺诈门槛
两类 PaaS 均支持境外一次性域名、Cloudflare CDN 流量代理、免费 Telegram 数据外溢通道,攻击者无需自建服务器、短信通道、数据存储后台,订阅极低费用即可搭建跨国政务诈骗活动,边际欺诈成本趋近于零,推动混合 PaaS 短信钓鱼快速向全球各地区扩散。
3 混合型 PaaS 交通罚单短信钓鱼完整攻击链路与技术拆解
本节以 Group-IB 披露塞尔维亚 Putevi Srbije 仿冒诈骗为完整样本,按攻击时序分为五大阶段,逐一拆解社工短信、仿冒门户、JS 动态混淆、支付数据窃取、混合 PaaS 支撑核心技术,配套恶意 URL 检测、前端混淆代码识别两套可工程化完整代码示例,还原攻击底层实现逻辑。
3.1 阶段一:政务权威型社工短信批量投递
3.1.1 短信文本社会工程诱导逻辑
攻击者通过虚拟号段、改号通道下发本地化语言诈骗短信,核心诱导手段分为两层。第一层依托政务权威性,标注 “警方通知、道路管理局罚单”,附带精确罚款金额、逾期截止日期;第二层制造紧急惩罚压力,明确逾期将收取 35% 附加费用、暂扣驾驶证,利用民众对行政处罚的恐惧心理,诱导不经验证直接点击短链接。短信内置 lihi.cc、putevi-homes.rs 等形近仿冒短域名,域名字符仅与官方 putevi.rs 存在细微差异,普通用户快速浏览时无法识别伪造痕迹。
短信内容规避明显语法错误,依托 PaaS 内置本地化文案模板生成,无传统诈骗短信生硬翻译痕迹,短信发送号码混杂 9421 短号、+381 塞尔维亚境外虚拟号,进一步模糊来源辨识度。正规塞尔维亚路政通知仅通过官方 APP、线下网点推送缴款渠道,不会通过陌生短信下发外部支付链接,该底层差异是人工识别核心切入点。
3.1.2 短信载体技术缺陷
短信通道无完整页面预览能力,用户点击链接前无法核验站点全貌;短链自动跳转机制隐藏完整恶意域名,移动端浏览器地址栏默认折叠完整 URL,仅展示主域名简写,放大域名仿冒欺骗效果。运营商传统防护仅拦截包含 “银行卡、转账” 等关键词短信,此类罚单通知无高危关键词,极易穿透短信网关过滤规则。
3.2 阶段二:形近域名仿冒政务支付门户跳转
用户点击短信短链后,经 Cloudflare CDN 代理分流至 Darcula 模板生成的高仿路政网站,页面完整复刻官方 logo、蓝白配色、通行费、电子缴费业务板块,自动填充伪造罚单编号、缴费截止时间、车辆用户 ID,构建完整虚假业务场景。页面分层展示信息确认、缴款信息、银行卡录入三步表单,流程与官方业务操作逻辑完全对齐,消除用户操作违和感。
域名仿冒采用两种主流形近伪造手段:一是字符替换,将官方 putevi.rs 中字母 i 替换为数字 1、增减连接符;二是小众后缀拼接,搭配.homes、.top、.cc 等廉价一次性域名,规避政务机构域名品牌监控范围。站点托管于境外弹性主机,IP 每日动态切换,配合 CDN 隐藏源站真实地址,溯源与关停难度大幅提升。
3.3 阶段三:JavaScript 动态内容混淆规避静态检测
该环节是本次混合 PaaS 攻击核心技术创新,由 Phoenix 平台提供动态解码脚本,Darcula 提供政务页面静态框架,二者混合部署。原始 HTML 源码不包含任何罚单、缴款、银行卡输入等欺诈文本,所有展示内容存储在自定义 z-span、z-strong 标签 data-preload 属性中,以 Base64 编码加密存储,满足多重延迟解码触发条件才会渲染至页面,自动化安全爬虫无法触发完整解码流程,抓取页面仅展示服装、鞋履无关诱饵页面,实现规避封禁。
3.3.1 混淆脚本完整运行逻辑
空闲延迟执行:调用 requestIdleCallback 接口,仅在浏览器主线程空闲时启动解码函数,爬虫高速加载页面无空闲窗口,无法触发解码;
视口按需渲染:IntersectionObserver 观测页面区块,仅当用户滚动至缴款表单可视区域时,才解码对应欺诈文本;
周期动态扫描:每 2 秒执行一次 DOM 遍历,识别页面新增加密元素并完成解码,应对动态加载的表单模块;
全局解码挂载:decodeObfuscatedContent 函数全局挂载,页面加载完成自动扫描顶层 body 容器全部加密标签。
3.3.2 JS 混淆页面自动化识别检测代码示例
基于 Node.js 实现页面静态代码扫描,识别自定义加密标签、空闲回调、视口观测三大混淆特征,输出页面风险等级,适用于运营商网页沙箱、政务品牌防护平台批量检测钓鱼站点:
// JS动态混淆钓鱼页面静态特征检测工具
const jsdom = require("jsdom");
const { JSDOM } = jsdom;
/**
* 检测页面是否存在PaaS动态混淆特征
* @param htmlText 钓鱼页面原始HTML源码
* @returns 检测结果对象
*/
function detectObfuscatePhishPage(htmlText) {
const dom = new JSDOM(htmlText);
const document = dom.window.document;
let riskScore = 0;
const riskFeature = [];
// 特征1:存在自定义加密标签 z-span z-strong 携带data-preload
const encryptTags = document.querySelectorAll('z-span[data-preload], z-strong[data-preload]');
if (encryptTags.length > 0) {
riskScore += 40;
riskFeature.push("存在PaaS自定义加密文本标签");
}
// 特征2:全局挂载decodeObfuscatedContent解码函数
const scriptList = document.querySelectorAll("script");
let scriptContent = "";
scriptList.forEach(script => {
scriptContent += script.textContent;
});
if (scriptContent.includes("decodeObfuscatedContent")) {
riskScore += 30;
riskFeature.push("检测到Phoenix标准页面解码函数");
}
// 特征3:使用IntersectionObserver视口延迟渲染
if (scriptContent.includes("IntersectionObserver")) {
riskScore += 15;
riskFeature.push("视口按需解码混淆逻辑");
}
// 特征4:requestIdleCallback空闲延迟执行
if (scriptContent.includes("requestIdleCallback")) {
riskScore += 15;
riskFeature.push("浏览器空闲延迟解码规避爬虫");
}
// 风险等级判定
let riskLevel;
if (riskScore >= 80) riskLevel = "极高危:混合型PaaS混淆钓鱼页面";
else if (riskScore >= 40) riskLevel = "高危:疑似动态混淆欺诈站点";
else riskLevel = "低危:无典型PaaS混淆特征";
return {
totalScore: riskScore,
featureList: riskFeature,
riskLevel: riskLevel
};
}
// 调用测试示例
const mockPhishHtml = `
<script>
window.decodeObfuscatedContent = function(rootElement){};
const decodeObserver = new IntersectionObserver(()=>{});
const runWhenIdle = window.requestIdleCallback || function(cb) { setTimeout(cb, 1); };
setInterval(observeContainers, 2000);
</script>
<z-span data-preload="dXRpZXZpIHN0cmF2Y25pY2EgY2F6bmE="></z-span>
`;
console.log(detectObfuscatePhishPage(mockPhishHtml));
3.3.3 代码技术说明
脚本依托 jsdom 模拟浏览器 DOM 环境,无需真实浏览器即可静态扫描页面全部 JS 代码与自定义 HTML 标签,精准捕获两类 PaaS 混合混淆标志性特征,按特征权重累加风险评分输出分级告警。反网络钓鱼技术专家芦笛指出,该轻量化检测方案可嵌入网页安全沙箱前置流程,弥补传统纯文本关键词扫描无法识别加密隐藏欺诈内容的短板,大幅提升政务仿冒钓鱼页面捕获率。
3.4 阶段四:银行卡支付数据窃取与加密外溢
页面完成解码渲染后展示银行卡录入表单,要求用户填写持卡人姓名、卡号、有效期、CVV 安全码,表单提交按钮触发 AJAX 请求,将明文支付数据上传至攻击者控制的后台接口。混合型 PaaS 平台提供两种数据存储渠道:一是 Phoenix 集中式管理后台数据库;二是 Darcula 内置 Telegram 机器人加密通道,窃取数据自动推送至攻击者私有频道,Telegram 端到端加密流量无法被企业、运营商流量审计系统解析,规避数据外传溯源检测。
受害者提交信息后页面短暂显示 “缴费成功” 虚假提示,无实际资金划转操作,受害者直至银行推送异常盗刷交易短信时才察觉受骗,此时银行卡数据已流入黑产交易市场,可用于跨境线上消费、身份冒用、二次精准诈骗。
3.5 阶段五:Darcula 与 Phoenix 混合 PaaS 协同支撑架构
本次攻击完整复用两类平台核心模块,形成分工协同欺诈体系:Darcula 负责本地化政务页面模板、多语言文案、一次性恶意域名注册;Phoenix 提供动态 JS 混淆解码脚本、多国家 Campaign 统一管理面板、Telegram 数据外溢接口;攻击者在单一操作后台同步调用两套平台能力,无需分别部署两套独立站点基础设施。
混合架构带来两大攻击优势:其一,特征碎片化,安全厂商无法通过单一 PaaS 指纹完整归类样本,威胁情报匹配成功率下降 60% 以上;其二,灵活迭代,可单独更新混淆脚本或政务模板,无需重构整套钓鱼站点,攻击变种生成速度大幅提升。
3.6 恶意短链接域名自动化筛查代码示例
针对短信内仿冒政务短链、形近域名开发 URL 特征检测脚本,识别小众风险后缀、字符仿冒、短链转发三大高危特征,适配运营商短信网关实时过滤、政务机构域名监控场景:
// 短信恶意URL域名仿冒检测工具
// 1. 可信政务域名白名单(塞尔维亚路政官方)
const officialGovDomains = ["putevi.rs"];
// 2. 钓鱼高发风险小众域名后缀
const riskTLD = [".cc", ".top", ".icu", ".homes", ".xyz", ".link"];
// 3. 短链转发服务黑名单
const shortBlackList = ["lihi.cc", "bit.ly", "tinyurl.com"];
// 4. 形近字符替换映射
const similarCharMap = {"1":"i","0":"o","rn":"m","l":"I"};
/**
* 标准化域名,消除字符仿冒干扰
* @param domain 待检测域名
* @returns 格式化后域名
*/
function formatDomain(domain) {
let fmt = domain.toLowerCase().trim();
for(let fake in similarCharMap){
fmt = fmt.replaceAll(fake, similarCharMap[fake]);
}
return fmt;
}
/**
* 提取URL根域名
* @param url 完整链接
* @returns 根域名字符串
*/
function extractRootDomain(url) {
try {
const urlObj = new URL(url);
return urlObj.hostname;
} catch (e) {
return "invalid_domain";
}
}
/**
* 单条URL风险检测
* @param url 短信内完整链接
* @returns 检测结果
*/
function checkSmishUrl(url) {
const rootDomain = extractRootDomain(url);
const fmtDomain = formatDomain(rootDomain);
let riskScore = 0;
let riskTips = [];
// 判定1:属于短链黑名单
if(shortBlackList.some(short => rootDomain.includes(short))){
riskScore += 50;
riskTips.push("使用诈骗高频短链转发服务");
}
// 判定2:域名后缀为风险小众TLD
if(riskTLD.some(tld => rootDomain.endsWith(tld))){
riskScore += 30;
riskTips.push("使用钓鱼高发小众域名后缀");
}
// 判定3:格式化后与官方政务域名匹配,原始字符存在仿冒
const officialFmt = officialGovDomains.map(d => formatDomain(d));
if(officialFmt.includes(fmtDomain) && !officialGovDomains.includes(rootDomain)){
riskScore += 40;
riskTips.push("形近字符仿冒官方政务域名");
}
// 风险分级
let riskLevel;
if(riskScore >= 70) riskLevel = "极高危政务仿冒短链";
else if(riskScore >= 30) riskLevel = "高危可疑短信链接";
else riskLevel = "正常可信域名";
return {
originalUrl: url,
rootDomain: rootDomain,
riskScore: riskScore,
riskTips: riskTips,
riskLevel: riskLevel
};
}
// 批量短信链接检测示例
const testSmsUrls = [
"https://putevi.rs",
"https://putev1-homes.rs",
"https://lihi.cc/fine114",
"https://putevi.xyz"
];
testSmsUrls.forEach(url => console.log(checkSmishUrl(url)));
代码可集成运营商短信实时解析接口,用户接收短信时自动提取内置链接批量筛查,高危链接短信直接标记风险告警,从短信入口提前拦截跳转行为,降低民众误点击概率。
4 混合型 PaaS 短信钓鱼攻击运营经济学分析
黑产团伙混合使用 Darcula、Phoenix 两类 PaaS 平台开展政务短信诈骗,核心驱动力为运营成本下降、攻击收益提升、站点存活周期延长三重正向收益叠加,本节结合野外监测数据量化分析底层经济逻辑。
4.1 基础设施边际成本持续压缩
单一 PaaS 订阅需支付全套模板、混淆、数据后台服务费,混合复用模式下,攻击者按需调取两类平台免费模块:Darcula 免费政务模板搭配 Phoenix 开源混淆脚本,仅需支付一次性域名、短信通道费用;同时 Telegram 免费通道替代自建 C2 服务器,省去服务器租赁、备案、维护成本,单批次交通罚单诈骗基础设施成本下降 65% 以上。
4.2 跨平台特征稀释延长站点存续窗口
单一 PaaS 站点平均 36 小时被安全厂商捕获并申请域名关停,混合混淆页面因爬虫无法获取完整欺诈内容,样本捕获周期拉长至 11 天,钓鱼站点可长期持续接收短信点击流量,同等域名投入下,有效受害者访问量提升 3 倍,单套基础设施获利周期大幅拓宽。
4.3 政务场景转化率显著高于通用钓鱼
公众对路政、税务官方通知信任度远高于电商、零售仿冒页面,叠加逾期处罚心理施压,混合型 PaaS 交通罚单钓鱼页面银行卡信息提交转化率达 19.3%,传统广撒网邮件钓鱼转化率仅 4.2%;单条短信流量可同时窃取完整银行卡四要素,窃取数据在暗网交易单价高于普通账号密码,单位流量经济收益提升 4-6 倍。
4.4 模块化迭代降低变种开发人力成本
两类 PaaS 平台模块化拆分,攻击者可单独替换短信文案、域名后缀、混淆脚本生成全新攻击变种,无需重构整套站点,单日可批量生成数十套差异化钓鱼活动,应对安全厂商域名黑名单、拦截规则迭代,持续维持攻击覆盖范围,形成低成本、高周转黑产运营闭环。
5 面向混合型 PaaS 政务短信钓鱼全域分层防御体系
反网络钓鱼技术专家芦笛强调,此类复合攻击覆盖短信传输、域名访问、前端页面、终端操作多环节,单一主体、单一技术无法完成完整阻断,必须搭建运营商短信网关、政务机构数字防护、金融支付预警、终端用户识别四层协同防御架构,覆盖事前源头拦截、事中实时检测、事后溯源处置完整攻击生命周期。
5.1 第一层:运营商短信网关源头前置防控
运营商是阻断 Smishing 攻击第一道防线,管控目标为拦截、标记包含恶意短链的政务仿冒短信,从传播渠道压缩攻击触达范围。
5.1.1 短信内容与链接实时筛查
部署上文 URL 域名检测脚本至短信网关解析节点,实时提取短信内全部超链接,识别短链转发、形近政务域名、风险小众后缀三类高危特征,极高危短信直接拦截,高危短信前置醒目风险提示后送达用户;建立境外虚拟号段、批量群发 SIMBOX 设备信誉库,短时间内向海量用户推送同类罚单短信的号段直接封禁。
5.1.2 短信发送主体信誉管控
区分官方政务专用短号与境外虚拟长号,所有陌生长号推送政务缴款、罚单类短信强制附加红色风险标签;对接本地路政、税务机构官方短信通道白名单,仅白名单号段可无标记推送缴款通知,非白名单渠道同类短信全部标记可疑。
5.1.3 异常群发行为识别
搭建短信发送行为分析模型,识别短时间内万级批量下发同质化罚单短信的异常流量,自动切断短信下发通道并留存号码、短链 IOC 同步至全国反诈情报库。
5.2 第二层:政务机构数字品牌防护体系
交通、路政、税务等政务主管机构负责域名监控、公众宣教、官方渠道规范,压缩域名仿冒生存空间,统一公众正规业务核验路径。
5.2.1 全量域名仿冒监测
部署数字风险防护平台,持续扫描与官方域名形近的一次性小众后缀域名,自动提交域名关停申请;定期检索 Darcula、Phoenix 等 PaaS 平台新增政务模板,提前捕获仿冒站点,实现站点上线即关停。
5.2.2 官方通知渠道标准化管控
统一规定所有交通罚款、通行费补缴通知仅通过官方 APP、线下办事窗口、政务小程序推送,明文公示不会通过陌生短信下发外部支付链接;官网、线下网点、政务 APP 首页持续公示反诈提示,列明短信钓鱼典型特征与官方核验电话。
5.2.3 常态化公众安全宣教
以本地语言发布仿冒罚单短信真实案例,拆解域名仿冒、紧急施压两大核心欺骗手段,重点告知用户收到缴款短信后,手动输入官方域名核验,禁止直接点击短信内短链;线下办事大厅张贴诈骗短信样本海报,覆盖驾驶员高频活动场景。
5.3 第三层:金融机构支付异常事中拦截
银行、支付机构作为资金损失最后一道技术屏障,搭建银行卡异常提交、盗刷交易双层预警机制,即便用户泄露卡片信息,也可阻断资金被盗刷链路。
5.3.1 陌生渠道卡片录入行为监测
建立设备、渠道行为基线,识别从未在移动端陌生网页提交银行卡的异常操作,触发实时短信核验,二次确认持卡人操作意愿;拦截境外陌生 IP 发起的线上支付申请,强制人工复核。
5.3.2 被骗用户应急处置标准化流程
开设反诈快速服务通道,用户察觉填写钓鱼页面后,可一键申请银行卡临时冻结、更换 CVV 安全码;针对近期访问仿冒政务站点的用户主动推送风险提醒,提前干预潜在盗刷交易。
5.3.3 跨机构威胁情报联动
定期汇总仿冒政务支付页面域名、短链、Telegram 外溢通道 IOC,同步至运营商、政务机构、反诈中心,全域更新拦截黑名单,形成情报闭环迭代。
5.4 第四层:终端用户人工识别与基础防护
面向普通驾驶员、民众提供轻量化可落地识别规则,弥补技术设备无法覆盖全部场景的短板,将用户作为分布式风险感知节点。
5.4.1 政务短信三层核验标准
渠道核验:陌生手机号、境外虚拟号推送罚单短信直接判定可疑,仅信任官方政务短号;
链接核验:不点击短信内置任何短链接,手动在浏览器输入官方完整域名 putevi.rs 查询缴款记录;
压力话术核验:包含 “逾期暂扣证件、高额附加罚款” 强制催促内容,一律通过官方电话核实真伪。
5.4.2 移动端基础安全配置
手机开启陌生短信过滤功能,关闭未知来源网页自动跳转权限;不向任何网页表单完整提交银行卡卡号、有效期、CVV 三要素,正规政务平台仅需身份核验,不会索要完整支付卡片信息。
5.4.3 可疑短信上报机制
运营商短信 APP 内置可疑短信一键上报按钮,用户提交诈骗短信样本后,安全团队快速提取 IOC 更新全域拦截规则,实现人机协同风险感知。
5.5 全链路威胁情报联动闭环
四层防御主体建立实时情报共享通道,运营商拦截的恶意短链、政务机构监测的仿冒域名、银行捕获的异常支付 IP、用户上报诈骗短信统一汇总至反诈情报中台,自动同步至各层防护设备更新规则;针对 Darcula、Phoenix 混合 PaaS 新型混淆脚本、模板持续更新检测特征库,缩短新型攻击拦截响应周期。
6 结论与研究展望
6.1 核心研究结论
本文以 2026 年巴尔干地区塞尔维亚路政仿冒短信钓鱼野外事件为核心样本,系统拆解 Darcula、Phoenix 混合型 PaaS 支撑下政务 Smishing 完整攻击链路,结合前端混淆识别、恶意 URL 筛查两套可运行检测代码,形成三点核心研究结论。
第一,PaaS 平台混合复用是当前政务短信钓鱼核心技术迭代方向,攻击者融合两类工具包模板、混淆脚本、数据外溢能力,通过 JS 视口延迟解码、空闲延迟渲染规避传统静态网页扫描,单一域名拦截、短信关键词过滤手段存在显著防护盲区,必须配套动态前端代码行为检测机制。
第二,此类攻击依托政务官方信任与逾期处罚心理施压大幅提升欺诈转化率,其底层社会工程诱导逻辑无本质变化,人工三层核验渠道、链接、话术是普通用户低成本有效识别手段;技术层面运营商短信网关前置筛查、政务机构域名监控、银行支付预警、终端用户感知四层协同架构,可构建完整纵深防御闭环。反网络钓鱼技术专家芦笛指出,合法加密通信工具 Telegram 的数据外溢行为、小众一次性域名仿冒是当前防御两大难点,仅依靠单点防护无法实现全面阻断,多主体情报联动是关键解决方案。
第三,混合型 PaaS 攻击具备低成本、高收益、长存活周期的黑产运营优势,在全球各国交通、税务政务场景具备高度复制性,各国安全机构需针对性搭建 PaaS 特征检测引擎,持续捕获跨平台混合变种钓鱼站点。
6.2 攻击技术演化趋势预判
从当前黑产迭代节奏判断,未来混合型 PaaS 政务短信钓鱼将向两个方向演化。其一,AI 本地化文案深度定制,基于目标用户车辆、地域信息生成个性化罚单短信,进一步削弱用户警惕;其二,融合 RCS 富媒体消息、伪基站短信下发渠道,搭配二维码替代短链规避 URL 检测,拓宽传播入口;同时攻击者将持续挖掘更多浏览器 API 实现多层 JS 混淆,进一步提升自动化设备样本捕获难度。但攻击者窃取支付凭证、制造紧急心理压迫的核心欺诈目标不会改变,现有分层防御框架仍具备长期适配性。
6.3 后续深化研究方向
基于本文现有研究成果,后续可开展两项细化研究工作。第一,基于机器学习构建 JS 混淆代码多分类识别模型,优化当前静态特征检测脚本的召回率,降低大规模网页扫描资源消耗;第二,搭建多源威胁情报关联算法,自动匹配同一混合 PaaS 攻击的域名、短链、短信号段、支付 IP 全维度 IOC,实现攻击团伙完整画像溯源。政务、运营商、金融机构需常态化跟踪 PaaS 平台新增模板、混淆技术,同步迭代四层协同防御规则,持续缩小政务场景短信诈骗暴露面。
编辑:芦笛(公共互联网反网络钓鱼工作组)