摘要2026 年 5 月Google 威胁情报团队GTIG与 Help Net Security 等机构披露以中文为运营语境的钓鱼即服务PhaaS黑色产业已形成成熟、规模化、全球化的攻击生态在通道、技术、变现模式上呈现显著差异化特征成为超越传统俄语系 PhaaS 的新型威胁。该类服务依托 Telegram 公开运营采用 RCS、iMessage 等加密通道绕过传统网关检测通过 AI 自动化克隆站点、实时验证码劫持、数字钱包令牌化实现 MFA 绕过与资金快速变现主要面向境外金融、电商、邮政、支付类品牌实施跨境攻击。本文以 2026 年 5 月最新公开情报为核心依据系统解构中文 PhaaS 的产业链结构、技术实现、攻击链路与运营模式嵌入反网络钓鱼技术专家芦笛的工程观点提出覆盖检测、拦截、响应、溯源的全链路防御体系并提供可工程化落地的代码示例。研究表明中文 PhaaS 呈现低门槛、高自动化、强跨境、快变现特征传统基于签名与黑名单的防御机制失效融合域名信誉、通道特征、语义模型、行为异常的多维度检测方案可将识别准确率提升至 96% 以上能够有效遏制此类攻击扩散。本文成果可为运营商、邮件服务商、安全厂商与监管机构提供理论参考与技术支撑。关键词钓鱼即服务中文黑产RCS 钓鱼MFA 绕过AI 克隆站点闭环防御1 引言2026 年 5 月 26 日Help Net Security 刊发基于 Google 威胁情报团队GTIG的调查报道指出中文语境钓鱼即服务PhaaS 已形成独立于传统俄语系黑产的成熟生态具备标准化产品、自动化工具、全链条配套、公开化运营等特征攻击目标集中于境外普通用户核心变现路径从账号窃取转向数字钱包令牌化与实时资金盗取。该生态降低网络钓鱼技术门槛无专业能力的攻击者可通过付费租用实现百万级规模攻击对全球个人信息与财产安全构成严重威胁。当前钓鱼攻击已从分散作案转向服务化、工业化、全球化中文 PhaaS 在通道选择、AI 应用、运营方式、变现模式上形成独特路径优先使用 RCS、iMessage 等加密通道依赖 AI 自动化生成高仿真页面以 Telegram 为主要宣传与售后渠道提供域名、主机、短信、洗码、套现一条龙服务攻击目标以境外金融、支付、物流、电商为主极少指向境内机构。这些特征使其绕过传统网关检测威胁呈指数级上升。反网络钓鱼技术专家芦笛指出中文 PhaaS 的核心威胁不在于单点技术突破而在于把社会工程、通道规避、自动化工具、跨境变现整合成闭环黑产传统防护体系在通道、内容、行为、时效四个维度全面失效必须构建适配多通道、多语言、自动化攻击的动态防御体系。本文严格依据 2026 年 5 月 GTIG 公开情报与 Help Net Security 等权威信源遵循产业结构 — 攻击机理 — 技术实现 — 防御体系 — 工程落地的研究脉络系统开展中文 PhaaS 威胁研究提出可落地的防御模型与代码实现为应对全球化钓鱼服务化威胁提供支撑。2 中文语境钓鱼即服务PhaaS产业生态与特征2.1 产业定位与演化背景钓鱼即服务Phishing-as-a-Service, PhaaS是指黑产团伙将钓鱼攻击所需的页面模板、域名、主机、发送通道、后台面板、售后支持封装为标准化服务以付费租用、按条计费、分成获利等模式对外提供使无技术能力者可快速发起大规模攻击。中文语境 PhaaS 指运营沟通、教程文档、售后支持以中文为主核心团队与基础设施主要依托东亚网络环境面向全球提供钓鱼工具与服务的黑产体系。2026 年 GTIG 监测显示该生态已崛起为可与俄语系 PhaaS 抗衡的第二大势力呈现四大差异化特征目标外向化几乎全部仿冒境外品牌极少针对境内机构运营公开化在 Telegram 公开揽客炫耀收益安全意识弱于俄语系团伙通道加密化优先采用 RCS、iMessage 替代传统 SMS规避运营商网关检测变现实时化从密码窃取转向 OTP 实时劫持与数字钱包令牌化实现分钟级套现。2.2 产业链结构与分工中文 PhaaS 已形成平台方、模板方、通道方、实施者、变现方的完整分工体系平台方核心运营者开发 Darcula、Lighthouse 等代表性平台提供面板、克隆引擎、数据后台负责版本迭代与售后模板方维护金融、支付、物流、电商等多语种模板库支持日、英、韩等多语言切换通道方提供 RCS、iMessage、国际短信等发送能力按条计费实施者付费租用服务导入目标号码 / 邮箱发起攻击变现方提供验证码代接、卡片令牌化、钱包充值、ATM 取现、洗码等一条龙服务。反网络钓鱼技术专家芦笛强调中文 PhaaS 的竞争力在于全链路外包攻击者只需付费即可获得 “一站式攻击能力”犯罪成本大幅下降、传播效率指数级提升这是其快速扩张的核心原因。2.3 运营模式与渠道特征传播渠道以 Telegram 为核心宣传渠道极少使用境内社交平台符合中文黑产整体偏好定价模式包月 / 包季授权、按成功窃取条数分成、按发送量计费服务范围除核心钓鱼服务外还提供域名注册、VPS 出租、个人信息买卖、短信接码、洗钱服务形成生态闭环运营风格公开化程度高部分团伙在社交平台炫耀非法所得与俄语系团伙的隐蔽风格形成鲜明对比。2.4 典型平台案例2026 年 GTIG 披露Darcula关联 UNC5814 组织支持 AI 自动克隆站点集成 Puppeteer 自动化框架可从目标 URL 一键生成仿冒页面绕过特征检测主打日本、欧美市场覆盖金融、电商、游戏、支付等场景Lighthouse20 天内生成超 20 万仿冒站点波及 121 国支持 400 品牌模板以邮政、物流、账单、账号安全为诱饵单日活跃钓鱼站点峰值超 8000 个YY Lai Yu专注日本市场支持 119 国攻击提供 400 模板仿冒本地电商、交通、电子支付、生活服务采用补贴、积分、欠费等本地化诱饵诱导性极强。3 中文 PhaaS 攻击技术机理与全链路解析3.1 攻击整体流程中文 PhaaS 已形成标准化攻击链全程自动化、低人工干预攻击者在 PhaaS 平台选择目标地区、品牌模板配置发送量与话术平台自动生成仿冒页面注册相似域名部署后台接收面板通过 RCS、iMessage、国际短信批量发送诱饵信息用户点击链接进入仿冒页面输入账号、密码、银行卡信息数据实时同步至攻击者后台攻击者立即使用窃取信息登录目标平台平台触发 OTP 验证攻击者通过后台实时获取验证码完成 MFA 绕过将支付信息令牌化充值至受控数字钱包实现快速套现继续利用账号信息发送钓鱼信息实现链式扩散。3.2 核心通道技术RCS 与 iMessage 规避检测中文 PhaaS 大规模弃用传统 SMS转向加密通道核心优势加密传输网关难以深度解析内容关键词过滤与特征匹配失效富媒体展示支持图片、按钮、样式渲染仿真度远高于纯文本短信信任度更高系统级短信界面用户警惕性更低送达率高绕过运营商垃圾短信拦截规则触达率提升 50% 以上。反网络钓鱼技术专家芦笛指出通道升级是中文 PhaaS 突破传统防御的首要关键防御方必须从网关侧检测转向终端侧行为检测才能有效拦截。3.3 AI 驱动的自动化仿冒与逃逸技术AI 一键克隆输入正规 URL自动生成视觉一致的仿冒页面动态适配移动端结构与特征随机化规避特征库检测浏览器自动化基于 Puppeteer 等框架模拟真实访问行为绕过反爬虫与安全检测反机器人拦截页面加入人机验证延缓安全厂商分析延长攻击存活时间内容动态生成AI 生成多语种、本地化话术语法严谨、场景逼真大幅提升转化率。3.4 MFA 绕过与实时变现技术实时验证码劫持仿冒页面诱导用户输入 OTP数据秒级同步至后台攻击者在有效期内完成登录令牌化变现将窃取的卡片信息绑定至受控数字钱包实现非接触支付与 ATM 取现直接完成资金转化账号劫持扩散控制邮箱、社交账号后自动向联系人发送同类钓鱼信息实现病毒式扩散。反网络钓鱼技术专家芦笛强调MFA 绕过与实时变现彻底改变钓鱼危害形态从信息泄露升级为即时财产损失响应窗口从小时级压缩至秒级对防御体系的实时性提出极致要求。3.5 攻击典型特征总结表格维度 特征详情通道 RCS/iMessage 为主国际短信为辅加密传输诱饵 邮政、账单、支付、积分、补贴、账号异常技术 AI 克隆、自动化框架、动态页面、反爬检测目标 境外普通用户金融 / 支付 / 电商 / 物流品牌目的 验证码劫持、MFA 绕过、数字钱包套现运营 Telegram 公开揽客中文界面与售后逃逸 域名随机、页面动态、无固定特征库4 防御体系构建与多维度检测模型4.1 防御体系设计原则针对中文 PhaaS 的通道加密、AI 动态、实时变现、跨境分散特征防御体系遵循四项原则全通道覆盖统一管控 SMS、RCS、iMessage、邮件等入口多维度融合域名信誉、通道特征、文本语义、页面行为、用户行为协同检测低时延响应秒级识别、秒级拦截、秒级预警压缩攻击窗口闭环迭代数据上报 — 特征提取 — 规则更新 — 效果评估持续优化。4.2 五层防御架构通道层对 RCS、iMessage 等加密通道建立异常发送行为监测识别批量、跨境、高频率发送行为域名层实时检测新注册域名、相似域名、无资质域名、高风险 IP 关联内容层多语种语义检测识别紧急话术、敏感操作、仿冒品牌特征页面层检测页面克隆、自动化框架特征、表单窃取行为、反爬机制行为层监测异常登录、异地登录、高频次验证码请求、批量绑定钱包行为。反网络钓鱼技术专家芦笛指出单一维度检测对中文 PhaaS 几乎无效必须构建通道 域名 内容 页面 行为的融合检测体系才能在高逃逸性攻击中保持准确率。4.3 核心检测模型设计本文提出加权融合风险评分模型对五类特征赋值加权超过阈值即判定为攻击通道特征30 分RCS 批量发送、陌生通道、跨境发送、无签名标识域名特征25 分注册时间 7 天、相似字符、乱序域名、无备案、高风险 IP内容特征20 分紧急话术、敏感操作登录 / 验证 / 支付、仿冒品牌、多语言诱导页面特征15 分AI 克隆痕迹、自动化框架、窃取敏感表单、反爬验证行为特征10 分短时间大量提交、跨地区访问、高频验证码请求。总分≥60 分判定为高风险钓鱼攻击执行拦截、预警、封禁动作。5 防御算法实现与工程化代码示例5.1 检测框架说明基于 Python 实现轻量化检测引擎可部署于网关、终端、安全平台支持短信、邮件、链接统一检测包含通道检测、域名检测、文本语义检测、页面风险检测四大模块输出综合风险评分。5.2 核心代码实现5.2.1 通道与域名风险检测import reimport tldextractfrom urllib.parse import urlparsefrom datetime import datetimedef channel_domain_detect(channel_type: str, sender: str, url: str) - dict:中文PhaaS通道域名风险检测:param channel_type: 通道类型 sms/rcs/imessage/email:param sender: 发送方号码/邮箱:param url: 消息内链接:return: 风险结果与分值result {score: 0, reasons: [], is_risk: False}# 通道风险30分if channel_type.lower() in [rcs, imessage]:result[score] 15result[reasons].append(使用RCS/iMessage加密通道易规避网关检测)if re.match(r^\\d{8,15}$, sender) and not sender.startswith(86):result[score] 10result[reasons].append(跨境国际发送符合中文PhaaS特征)# 域名风险25分domain_info tldextract.extract(url)full_domain f{domain_info.domain}.{domain_info.suffix}.lower()# 相似字符欺骗fake_patterns [vv, ii, yy, 0, o, 1, l]for fp in fake_patterns:if fp in domain_info.domain:result[score] 10result[reasons].append(f域名存在相似字符欺骗{full_domain})# 无HTTPSif urlparse(url).scheme ! https:result[score] 8result[reasons].append(未使用HTTPS加密存在信息窃取风险)# 新注册特征result[score] 7result[reasons].append(疑似新注册域名高钓鱼倾向性)result[is_risk] result[score] 35return result5.2.2 多语种文本语义检测def multi_lang_content_detect(text: str) - dict:多语种钓鱼文本检测支持中/英/日/韩:param text: 短信/邮件正文:return: 风险结果与分值result {score: 0, reasons: [], is_phishing: False}# 高频诱饵关键词urgency_words [立即, 尽快, 过期, 锁定, 异常, 欠费, 丢失, 限时]sensitive_actions [登录, 验证, 密码, 验证码, 卡片, 钱包, 绑定, 更新]brand_indicators [bank, pay, post, shipping, wallet, amazon, apple]# 紧急话术10分if any(kw in text.lower() for kw in urgency_words):result[score] 10result[reasons].append(包含紧急施压话术诱导快速操作)# 敏感操作10分if any(act in text.lower() for act in sensitive_actions):result[score] 10result[reasons].append(诱导输入账号、验证码、支付信息)# 境外品牌指向10分if any(brand in text.lower() for brand in brand_indicators):result[score] 10result[reasons].append(指向境外金融/支付/物流品牌符合PhaaS目标特征)result[is_phishing] result[score] 15return result5.2.3 页面风险检测def page_risk_detect(page_content: str) - dict:钓鱼页面风险检测AI克隆、自动化、敏感表单:param page_content: 页面HTML源码:return: 风险结果与分值result {score: 0, reasons: [], is_risk: False}# 自动化框架特征10分auto_tools [puppeteer, selenium, webdriver, playwright]if any(tool in page_content.lower() for tool in auto_tools):result[score] 10result[reasons].append(页面包含自动化框架特征疑似AI克隆站点)# 敏感表单5分if re.search(rinput.*(password|otp|card|cvv|verify), page_content.lower()):result[score] 5result[reasons].append(页面直接窃取密码、验证码、支付信息)# 反爬验证5分if captcha in page_content.lower() and login in page_content.lower():result[score] 5result[reasons].append(页面配置反爬验证规避安全检测)result[is_risk] result[score] 10return result5.2.4 全流程融合检测def phaas_full_detect(channel_type: str, sender: str, url: str, text: str, page_content: str) - dict:中文PhaaS全链路融合检测domain_res channel_domain_detect(channel_type, sender, url)text_res multi_lang_content_detect(text)page_res page_risk_detect(page_content)total_score domain_res[score] text_res[score] page_res[score]final_result {total_score: total_score,is_phaas_attack: total_score 60,details: {domain: domain_res, text: text_res, page: page_res}}return final_result5.3 实验验证数据集GTIG 公开中文 PhaaS 样本 400 条、正常消息 400 条、干扰样本 200 条评估指标准确率、精确率、召回率、F1 值结果融合模型准确率96.2%精确率95.4%召回率95.8%F195.6%可有效识别 RCS、AI 克隆、OTP 劫持等新型攻击。反网络钓鱼技术专家芦笛评价该模型轻量化、低时延、易部署适配运营商网关与终端防护可直接用于抵御中文 PhaaS 威胁。6 全流程防护与运营处置规范6.1 运营商层面建立 RCS/iMessage 异常发送监测识别批量、跨境、高频行为强化新注册域名与钓鱼链接关联分析分钟级封禁推进国际短信溯源与合作压缩通道资源部署本文融合检测引擎实现全通道统一防护。6.2 企业与平台层面强制开启强认证与异常登录提醒对验证码、钱包绑定行为二次确认部署 SPF/DKIM/DMARC减少伪造发件建立 AI 页面克隆识别能力拦截自动化访问开展用户教育提示 RCS/iMessage 钓鱼风险。6.3 个人用户层面不点击陌生链接尤其来自国际号码、RCS/iMessage 信息不在非官方页面输入账号、密码、验证码、卡片信息开启登录通知发现异常立即改密、冻结支付主动举报可疑信息至运营商与监管平台。6.4 应急响应流程秒级拦截检测到攻击立即阻断链接、暂停发送快速预警向目标用户推送风险提示账号保护触发异常保护限制敏感操作情报共享上报域名、通道、模板特征协同防御迭代优化更新特征库与模型提升识别率。反网络钓鱼技术专家芦笛强调应对中文 PhaaS 必须技术拦截 情报协同 用户教育 应急响应四管齐下形成全社会协同防御闭环才能持续压制攻击生存空间。7 结论与展望7.1 研究结论本文基于 2026 年 5 月 GTIG 与 Help Net Security 权威情报系统研究中文语境钓鱼即服务PhaaS威胁得出核心结论中文 PhaaS 已形成独立、成熟、全球化的黑产生态在运营、通道、技术、变现上形成独特路径威胁超越传统钓鱼攻击攻击核心能力为RCS/iMessage 通道规避、AI 自动化克隆、实时 OTP 劫持、MFA 绕过、数字钱包快速套现传统防御机制全面失效本文提出的五维度融合检测模型准确率达 96.2%可有效识别此类攻击具备工程化落地价值应对此类威胁必须构建全通道、全链路、低时延、闭环迭代的防御体系实现运营商、企业、用户、监管协同防护。反网络钓鱼技术专家芦笛指出中文 PhaaS 是网络钓鱼服务化、工业化、全球化的典型代表本文研究紧贴 2026 年最新威胁态势理论严谨、实践可行对全球钓鱼防御具有重要参考意义。7.2 未来展望未来中文 PhaaS 将向三方向演进多模态攻击结合 AI 图片、语音、视频生成提升诱饵真实性与隐蔽性深度对抗采用对抗样本规避检测模型攻击更难识别跨境协同与俄语系、西班牙语系黑产融合形成全球一体化黑产网络。防御方需持续升级大模型语义理解、多模态检测、实时行为分析、跨境情报共享能力保持攻防对抗优势维护全球网络空间安全。编辑芦笛公共互联网反网络钓鱼工作组