一條釣魚短信的全球生意：中國黑產如何承包你的收件箱

4月27日，安全研究員在整理一批可疑域名時，發現了一個奇怪的模式——這些偽裝成銀行、郵政、交管局的釣魚網站，后臺居然共用同一套管理面板。更意外的是，它們的"使用說明書"全是中文。

這不是孤例。urlscan.io的最新追蹤顯示，一批中文釣魚服務平臺正在以驚人的效率向全球輸出犯罪能力。它們不靠技術漏洞，而是把"怎么騙"做成了標準化產品。

釣魚即服務：犯罪門檻的崩塌

傳統釣魚需要自建網站、寫代碼、租服務器。現在，犯罪分子只需按月付費，就能獲得完整工具包：仿冒頁面模板、受害者數據面板、甚至7×24小時技術支持。

這種模式被稱為"釣魚即服務"（網絡釣魚即服務）。中文平臺在這個賽道跑出了獨特的速度優勢——它們的服務對象不限于中文用戶，而是面向全球多國同時發起攻擊。

一個后臺可以同時加載幾十個模板：美國的銀行登錄頁、英國的郵政追蹤頁、日本的ETC繳費頁、澳大利亞的政府退稅頁。操作者用同一套基礎設施，在同一時間窗口內向四個國家的受害者發送定制化釣魚鏈接。

跨境攻擊的切換成本幾乎為零。模板替換只需要幾分鐘，語言本地化有現成庫，支付接口對接的是加密貨幣。這讓"全球撒網"從高端技術活變成了入門級操作。

APWG和Microsoft的數據都指向同一個趨勢：與這些框架相關的域名注冊量、釣魚工具包部署量、整體掃描量，全部在快速攀升。Group-IB、Resecurity、GSMA等機構的研究也記錄了這類生態系統的擴張速度。

短信通道的隱秘升級

這些服務的發送渠道也在進化。除了傳統的短信釣魚（短信釣魚），它們大規模接入了蘋果iMessage和富媒體通信服務（富通信服務）這類"過頂"消息平臺。

OTT消息的優勢在于信任度。iMessage顯示藍色氣泡，RCS帶運營商認證標識，用戶潛意識里認為這是"官方渠道"。更關鍵的是，這些通道繞過了傳統短信網關的過濾機制，攔截難度遠高于普通短信。

背后的硬件支撐是SIM盒設備——一種能插入多張實體SIM卡、通過網絡遠程控制的硬件。單臺設備可同時管理數百個號碼，配合自動化腳本實現高頻發送。這種基礎設施的投入是一次性的，但產出可以無限復制。

合法通信渠道的"借殼"讓攻擊成功率顯著提升。安全團隊很難在運營商層面封鎖iMessage或RCS，而終端用戶看到熟悉的界面風格，警惕性自然下降。

商業模式的正規化悖論

這些平臺的運營方式呈現出詭異的"專業化"特征。它們采用與正規軟件公司類似的聯盟分銷模式：平臺方提供基礎設施和工具包，下游"代理商"負責具體投放和變現，按效果分成。

這種模式降低了參與門檻，也加速了市場擴張。技術能力不再是硬門檻，有渠道資源、懂本地話術的人就能入行。平臺方坐收訂閱費和分成，風險由下游承擔。

更值得關注的是競爭格局的形成。隨著金融回報持續放大，更多威脅團伙開始自建或改造類似框架，地下市場出現了產品迭代和差異化競爭。有的平臺主打"高轉化率模板庫"，有的強調"抗檢測基礎設施"，還有的提供"多語言客服支持"。

這種"內卷"推高了整個行業的服務水平，也加速了攻擊技術的擴散。一個平臺被打擊，其代碼和運營模式很快會被競爭對手吸收復制。

為什么這次不一樣

中文釣魚服務平臺的特殊性在于規模與效率的組合。過往的地域性釣魚團伙往往受限于語言、支付渠道、本地知識；而這些平臺通過模塊化設計，把"本地化"也做成了可租賃的資源。

全球短信釣魚活動中，相當大比例可直接或間接追溯到這類中文平臺。它們不是唯一的威脅源，但很可能是當前增長最快的變量。

對25-40歲的科技從業者來說，這意味著兩件事：第一，你收到的釣魚短信可能來自半個地球外的自動化流水線，話術經過A/B測試優化，界面像素級復刻官方應用；第二，防御方的傳統優勢——語言壁壘、地域隔離、技術門檻——正在被系統性地瓦解。

當犯罪基礎設施變得像云計算一樣按需可用，對抗的焦點就從"抓壞人"轉向了"打斷供應鏈"。而這條供應鏈的自動化程度，可能遠超大多數人的想象。