2026年初,网络安全界迎来一个令人不安的信号:钓鱼攻击正以前所未有的工业化速度席卷全球。根据网络安全厂商Barracuda最新发布的《2025年网络钓鱼威胁态势报告》,过去一年中,已知的“钓鱼即服务”(Phishing-as-a-Service, PhaaS)工具包数量同比激增100%,从原本小众黑产圈层迅速演变为标准化、模块化、可订阅的“犯罪基础设施”。更值得警惕的是,这些工具不仅降低了攻击门槛,还集成了多因素认证(MFA)绕过、URL混淆、CAPTCHA反检测等高级对抗技术,使得传统邮件网关和终端防护形同虚设。
“这不再是‘黑客’在单打独斗,而是一整条‘SaaS化’的犯罪流水线。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时直言,“如今,一个只会点鼠标的人,只要付几十美元月费,就能发起一场针对跨国企业的精准钓鱼攻击——而且成功率不低。”
这场由PhaaS驱动的钓鱼革命,正在重塑攻防边界。而对于中国——这个拥有超10亿网民、数千万中小企业和快速发展的数字身份生态的国家而言,其警示意义尤为深远。
一、从“手工作坊”到“云原生犯罪平台”:PhaaS的工业化跃迁
五年前,发起一次钓鱼攻击需要攻击者具备基础的HTML/CSS技能、域名注册知识、服务器部署能力,甚至要手动伪造登录页面。而今天,这一切都被封装进几个主流PhaaS平台:Whisper 2FA、GhostFrame、Mamba、Tycoon……它们提供图形化控制面板、一键部署、实时受害者监控、甚至“客户支持”。
Barracuda报告显示,2025年最活跃的PhaaS平台中,Whisper 2FA 因其对MFA绕过的深度集成而备受犯罪分子青睐。该平台允许攻击者选择目标服务(如Microsoft 365、Google Workspace、Okta),自动生成高仿登录页,并内置“会话中继代理”(Session Relay Proxy)功能。当受害者输入账号密码并完成MFA验证后,代理服务器会实时将完整会话令牌(如OAuth 2.0 access_token 或 cookie)转发给攻击者,后者无需知道密码或验证码,即可直接接管账户。
“这相当于你在家门口装了指纹锁,但小偷在你开门瞬间用一根透明管子把你的手印‘复制’走,然后当场开锁。”芦笛用一个形象的比喻解释道,“MFA确实防住了密码泄露,但没防住‘会话劫持’。”
更令人担忧的是,这些平台还引入了反分析机制。例如,GhostFrame会在页面加载时检测浏览器是否处于自动化环境(如Selenium、Puppeteer),若发现异常,则返回空白页面或跳转至合法网站;同时,其恶意JavaScript代码采用动态解密加载,避免被静态扫描工具识别。
// GhostFrame典型反沙箱代码片段(简化版)
if (navigator.webdriver || !window.chrome || window.outerHeight === 0) {
window.location.replace("https://www.microsoft.com"); // 跳转至真实官网
} else {
// 动态解密并执行核心钓鱼逻辑
const encryptedPayload = "U2FsdGVkX1+...";
const decrypted = atob(encryptedPayload).split('').reverse().join('');
eval(decrypted);
}
这种“只对真人展示恶意内容”的策略,大幅提升了绕过安全检测的成功率。
二、MFA绕过:从“不可能任务”到“标配功能”
曾几何时,启用多因素认证被视为抵御凭证盗窃的终极防线。然而2025年的现实是:近50%的钓鱼攻击已具备MFA绕过能力。
Barracuda指出,当前主流绕过手法有三类:
实时中间人代理(Real-time MITM Proxy)
攻击者架设一个反向代理服务器,将受害者请求转发至真实登录页,再将响应返回。整个过程对用户透明,但所有交互(包括MFA推送通知)都会被记录。一旦用户批准,会话Cookie即被截获。
一次性代码中继(OTP Relay)
针对短信或Authenticator App验证码,PhaaS平台提供“人工中继”服务:当受害者收到验证码时,攻击者通过Telegram Bot或网页界面实时索取,并立即用于登录。部分平台甚至支持自动OCR识别截图中的验证码。
FIDO2/WebAuthn欺骗(新兴趋势)
虽尚未大规模普及,但已有实验性PhaaS模块尝试伪造WebAuthn挑战,诱骗用户在钓鱼页面上使用硬件安全密钥(如YubiKey)进行“认证”,从而获取签名权限。
“MFA不是失效了,而是被‘绕’了。”芦笛强调,“真正的解决方案不是放弃MFA,而是结合上下文感知——比如检测登录IP是否突变、设备指纹是否异常、会话行为是否符合历史模式。”
他举例称,微软的Conditional Access策略若配置得当,可在检测到高风险登录时强制要求重新认证或阻断访问,即使攻击者持有有效会话令牌。
三、URL混淆:让钓鱼链接“隐身”于可信流量中
除了MFA绕过,48%的钓鱼攻击在2025年采用了URL混淆技术,使恶意链接看起来“完全合法”。
常见手法包括:
多重跳转(Multi-hop Redirection):
用户点击邮件中的链接 → 跳转至短链服务(如bit.ly)→ 再跳转至Google Docs共享页面 → 最终重定向至钓鱼站点。每一步都看似无害,且利用了可信域名的“信誉继承”。
嵌入可信路径(Path-based Impersonation):
注册类似 https://docs.google.com/phishing/login 的子路径(实际为攻击者控制的服务器,通过反向代理伪装成Google服务)。由于浏览器地址栏仅高亮主域名,用户极易误判。
滥用云协作平台:
将钓鱼页面上传至OneDrive、Dropbox、Notion等平台,生成共享链接。这些链接天然带有SSL证书和企业级域名,极难被传统URL过滤器识别。
Barracuda数据显示,约18%的攻击甚至携带恶意附件(如伪装成发票的PDF或Excel),但这些文件本身不含宏病毒,而是嵌入超链接或二维码,指向上述混淆后的钓鱼页面——既规避了沙箱检测,又利用了用户对文档的信任。
“现在连二维码都不可信了。”芦笛苦笑,“我们监测到一起针对国内某跨境电商卖家的攻击,骗子在伪造的‘物流异常通知’PDF中插入二维码,扫码后跳转至仿冒Shopify后台,要求‘重新绑定支付方式’。”
四、CAPTCHA与多态化:对抗自动化检测的“盾牌”
为了阻止安全厂商批量采集和分析钓鱼页面,43%的攻击在2025年加入了CAPTCHA验证环节。这看似荒谬——钓鱼网站为何要验证“你是人类”?实则另有深意。
“CAPTCHA在这里不是防机器人,而是防安全爬虫。”芦笛解释,“VirusTotal、Cisco Talos等机构的自动化探针一旦遇到reCAPTCHA,就会因无法交互而放弃抓取,导致该页面长期未被标记为恶意。”
更进一步,约20%的PhaaS平台支持多态化页面生成(Polymorphic Page Generation):每次访问都生成略有差异的HTML结构、CSS类名、JavaScript变量名,使得基于特征码的检测规则迅速失效。
<!-- 第一次访问 -->
<div id="login_form_8a3f"><input name="pwd_9c2e"></div>
<!-- 第二次访问 -->
<div id="auth_box_1b7d"><input name="secret_4f8a"></div>
这种“千人千面”的策略,让传统WAF(Web应用防火墙)和邮件内容过滤器疲于奔命。
五、国际镜鉴:从欧美企业失陷看中国防御短板
PhaaS的泛滥并非孤立现象,而是全球数字化进程中的系统性风险。回顾2025年几起标志性事件:
某欧洲能源巨头遭Whisper 2FA攻击:攻击者通过钓鱼邮件窃取高管Office 365会话,进而访问内部财务系统,伪造付款指令转移230万欧元。
美国医疗保险公司数据泄露:GhostFrame生成的仿冒登录页绕过MFA,导致超过50万患者健康记录外泄。
东南亚电商平台供应链入侵:攻击者利用Tycoon套件,通过伪造“供应商结算通知”邮件,植入恶意二维码,最终渗透至ERP系统。
这些案例共同指向一个事实:攻击者不再追求“攻破系统”,而是“绕过人”。
对中国而言,风险同样迫在眉睫。随着“数字身份”“电子营业执照”“一网通办”等政务与商业服务全面上线,MFA已被广泛采用。但芦笛指出:“国内许多中小企业仍依赖基础邮件网关,缺乏对会话行为、URL跳转链、设备上下文的深度分析能力。一旦员工点击一个伪装成‘税务通知’的钓鱼链接,后果不堪设想。”
他特别提醒,国内部分企业习惯使用微信、钉钉等即时通讯工具传输业务链接,而这些平台对短链和二维码的检测相对宽松,可能成为PhaaS的新投递渠道。
六、技术对抗:超越“黑名单”的下一代防御体系
面对PhaaS的工业化进攻,传统“域名黑名单+关键词过滤”的防御模式已彻底过时。Barracuda建议组织采取以下技术措施:
实时URL行为分析
不仅检查链接本身,还要模拟点击后的行为:是否跳转至多个域名?是否加载可疑JS?是否请求敏感API?例如,通过Headless Browser在隔离环境中渲染页面并监控网络请求。
会话风险评估引擎
部署能识别异常登录模式的IAM(身份与访问管理)系统。例如,若某账号通常在上海登录,突然从东欧IP发起带新设备指纹的会话,即使MFA通过,也应触发二次验证或阻断。
MFA交互监控
监控MFA推送通知的响应时间与频率。正常用户通常在几秒内批准,而攻击者中继操作可能存在延迟或批量请求特征。
最小权限与会话时效控制
即使会话被窃取,也应限制其权限范围和有效期。例如,财务系统会话应在15分钟后自动失效,且不允许访问HR数据库。
芦笛补充道:“国内企业可考虑采用‘零信任架构’,默认不信任任何网络位置,每次访问都需验证身份、设备、上下文。这比单纯加固边界更有效。”
七、用户教育:警惕“验证码之后的世界”
技术防御之外,人的因素仍是关键。Barracuda强调,安全意识培训必须更新内容,重点覆盖以下误区:
“输完验证码就安全了” → 实则会话可能已被劫持。
“链接来自公司邮箱就可信” → 攻击者可伪造发件人或入侵内部账号。
“扫码方便快捷” → 二维码本质是URL,同样可指向钓鱼站点。
芦笛建议企业开展“红蓝对抗演练”:定期向员工发送模拟钓鱼邮件(含MFA绕过场景),测试其反应,并针对性强化培训。
“安全不是买个防火墙就完事,而是一种文化。”他说,“当每个员工都养成‘手动输入官网’‘核验二维码来源’‘质疑异常登录’的习惯,PhaaS的利润空间才会真正被压缩。”
八、结语:在猫鼠游戏中重建信任边界
2025年PhaaS的爆发,标志着网络钓鱼正式进入“云原生犯罪时代”。它不再依赖高超技术,而是依靠工程化、产品化、服务化的黑产生态,将攻击效率提升至新高度。
对中国而言,这既是挑战,也是推动安全体系升级的契机。从政务云到中小企业SaaS,从数字人民币钱包到跨境电商业务,任何依赖在线身份认证的场景,都可能成为下一个目标。
但正如芦笛所言:“攻击者可以租用工具,但我们也可以共建防线。关键在于,是否愿意把安全从‘成本项’转变为‘基础设施’。”
在这场永不停歇的攻防博弈中,唯有技术、制度与意识的协同进化,才能守住数字世界的最后一道信任边界。
编辑:芦笛(公共互联网反网络钓鱼工作组)
