钓鱼即服务 (PhaaS) 详解：AI、深度伪造与防御

1. 简介：钓鱼即服务 (PhaaS)#

钓鱼攻击正逐渐摆脱广泛、高强度的电子邮件群发，转向更具针对性且仍可大规模运行的攻击方式。如今，现成的钓鱼工具包让相对缺乏经验的攻击者也能达到过去主要与高级持续性威胁 (APT) 和国家级黑客组织相关的攻击效率。

这一问题的影响正日益恶化：2024 年 IBM/Ponemon 数据泄露成本研究 报告显示，钓鱼事件的平均年度成本增加了近 10%，达到 488 万美元，这是自疫情以来最显著的增长之一。与此同时，深度伪造技术正在开辟欺诈的新途径：Right Hand Cybersecurity 报告称，合成媒体活动同比增长了 680%，这使得攻击能够绕过传统的验证协议。每天流传的钓鱼电子邮件超过 34 亿封（约占全球电子邮件流量的 1.2%），并且 Google 每天拦截约 1 亿封。 反钓鱼工作组仅在 2025 年第一季度就记录了 1,003,924 次攻击，这是自 2023 年底以来的最高水平。钓鱼仍然是造成现实世界损害的主要驱动因素，导致了 36% 的美国数据泄露，并在超过 80% 的网络攻击中发挥了作用。平均违规成本为 488 万美元，商业电子邮件妥协损失每年达到 27 亿美元，勒索软件（通常通过钓鱼启动）出现在 44% 的数据泄露事件中。

在本文中，我们将涵盖有关过去几年钓鱼攻击如何随着钓鱼即服务和 AI 的使用等新方法而发生变化的最重要方面。特别地，这些是我们在本文中要讨论的问题：

1. 什么是钓鱼即服务 (PhaaS)？

2. 人工智能在现代钓鱼攻击中扮演什么角色？

3. 组织如何防御现代钓鱼（技术控制、人为风险管理以及治理/政策）？

2. 什么是钓鱼即服务 (PhaaS)？#

网络犯罪不再是专业黑客的专利。钓鱼即服务 (PhaaS) 的兴起，使得发起成功的攻击不再那么需要技术技能。通过模仿合法软件公司的商业模式，提供订阅、客户支持和定期更新，犯罪开发者让几乎任何人都可以进行钓鱼攻击。

2.1 钓鱼工具访问的商品化#

PhaaS 市场已成熟为一个分层的生态系统。在入门级，新手攻击者（“脚本小子”）只需支付极低的费用，就可以租用复杂的底层基础设施；而高级操作员则可以购买“企业级”层，提供专用托管和自定义规避功能。

这种经济结构导致了活动的激增。仅在 2025 年的前两个月，就检测到了超过一百万次基于 PhaaS 的攻击，这标志着这些犯罪服务的用户群强大且不断扩大。 这些工具包的 销售平台 主要托管在 Telegram 上，Telegram 作为一个加密、高可用性的控制平面，用于销售和支持。

最受欢迎的 PhaaS 平台分析（2025 年）

以下图表说明了与其他生态系统参与者相比，Tycoon 2FA 压倒性的市场主导地位：

2.2 Tycoon 2FA：钓鱼工具包详细分析#

Tycoon 2FA 是一个复杂的钓鱼即服务 (PhaaS) 平台，旨在绕过双因素 (2FA) 和多因素身份验证 (MFA)。它主要使用“中间人 (AiTM)”技术攻击 Microsoft 365 和 Gmail 帐户。到 2025 年初，Tycoon 2FA 成为市场的主要参与者，占钓鱼事件的近十分之九。它的成功在于它能够避开现代安全过滤器的检测。在 2025 年的一次重大更新中，开发人员用高级加密取代了旧的策略来隐藏其恶意代码。

具体来说，他们现在使用“凯撒密码”对代码进行加扰，并插入不可见的“谚文填补”字符 (Unicode 3164)。这些字符对用户是隐藏的，但却可以用来迷惑自动扫描器查找已知威胁的数字“签名”。为了分发这些工具包，Tycoon 使用了一种“就地取材 (Living off the Land)”策略，将其陷阱托管在受信任的、高信誉的服务上，例如 Amazon S3、Canva 和 Dropbox。

由于安全电子邮件网关 (SEG) 经过编程以信任这些著名域名，钓鱼电子邮件通常完全绕过过滤器。最后，为了确保它们没有被安全机器人监控，攻击者在用户看到虚假登录页面之前，通过复杂的重定向链和 Cloudflare 验证码发送用户。

2.3 中间人 (AiTM) 攻击的机制#

现代 PhaaS 工具包的决定性功能是中间人 (AiTM) 攻击。这项技术通过拦截实时身份验证会话，从而绕过主要的多因素身份验证 (MFA)，使得传统的凭证获取过时。

AiTM 攻击的架构从根本上不同于克隆网站。

1. 代理发起： 当受害者访问钓鱼 URL 时，PhaaS 服务器（作为反向代理）发起与合法身份提供商 (IdP) 的连接，例如 login.microsoftonline.com。

2. 流量镜像： 代理检索合法的登录内容并将其转发给受害者。受害者看到的是真实的 Microsoft 登录页面，尽管是在恶意域上呈现的。

3. 实时中继： 当受害者输入凭据时，代理解获这些凭据并将其转发给 IdP。

4. MFA 拦截： 当 IdP 请求第二要素（例如 SMS 代码或验证器提示）时，代理将此请求镜像给受害者。

5. 会话盗窃： 受害者提供 MFA 令牌。代理将其转发给 IdP。IdP 验证会话并发出会话 Cookie（例如 ESTSAUTH 或 ESTSAUTH_PERSISTENT）。

6. 入侵： 关键的是，代理 拦截 这个会话 Cookie。它不会将其传回受害者（或传递一个副本，同时保留原件）。攻击者现在拥有有效的、经过验证的会话 Cookie，允许他们从任何设备访问受害者的帐户，在令牌过期之前无需密码或 MFA 令牌。

像 Sneaky 2FA 这样的工具包通过提供允许攻击者手动干预会话的管理面板，进一步完善了这一点，从而有效地实时管理攻击。

2.4 钓鱼即服务提供商的基础设施#

由于其分散的特性，摧毁 PhaaS 基础设施非常困难。虽然核心的“管理”面板可能托管在网络法律宽松的司法管辖区的服务器上，但“边缘”节点（实际的钓鱼页面）是短暂的。例如，Tycoon 2FA 使用域名生成算法 (DGA) 来启动成千上万个一次性域。Cloudflare Turnstile 还会阻止安全扫描程序，并使钓鱼网站看起来很官方。由于人们习惯在真实网站上看到这些检查，他们更有可能信任该页面。

Tycoon 2FA 页面经常通过二维码钓鱼 (Quishing) 分发。二维码包含恶意 URL，有效地使威胁避开了无法解析图像数据的电子邮件安全扫描程序。这种攻击媒介同比增长了 25%，专门针对通常缺乏企业工作站端点保护控制的移动设备。

3. 人工智能时代的钓鱼攻击#

如果说 PhaaS 为大规模利用提供了基础设施，那么人工智能则提供了智能和内容。将生成式人工智能 (GenAI) 整合到网络犯罪生命周期中，解决了攻击者面临的两个最大挑战：规模和可信度。“语法错误”和“通用问候语”作为钓鱼攻击可靠指标的日子已经结束。

3.1 “氛围诈骗”与无代码工具的武器化#

2025 年的一个重要发展是“氛围诈骗 (vibe scamming)”的出现。这一趋势利用了“氛围编码”的理念，即用户通过自然语言提示构建软件，以此来生成恶意资产。

像 Lovable 这样旨在使软件创建平民化的合法平台，已经成为网络犯罪的引擎。Guardio Labs 对 AI 代理的抗滥用能力进行了基准测试，发现虽然像 ChatGPT 这样的成熟模型在拒绝恶意请求方面得分相对较高 (8/10)，但像 Lovable 这样的新平台得分低得惊人 (1.8/10)。攻击者只需提示这些工具，例如 “创建一个感觉像一家大银行的登录门户，使用官方的蓝色和红色品牌，并包含用于社会安全号码的字段”，AI 就会生成完美的像素级且功能齐全的钓鱼代码。

这种能力使攻击者能够绕过旧 PhaaS 工具包的“模板疲劳”。氛围诈骗者不需要使用防御者已识别出特征的标准 Microsoft 模板，而是可以为每个活动甚至每个受害者生成一个独特的、适应性的登录页面。Proofpoint 在 2025 年初观察到数万个由 Lovable 生成的 URL 在分发 Tycoon 和其他恶意软件，证实这不是理论上的威胁，而是一个巨大且活跃的媒介。

3.2 代理式 AI 推动自主间谍活动#

除了生成内容外，AI 现在也被用于执行攻击。从生成式 AI 向“代理式 AI”的这种转变，代表了社会工程学的一个关键时刻：

在 2024 年底，发生了一起涉及中国某国家支持组织的事件。该对手利用 Anthropic 的“Claude Code”代理（旨在用于自动化软件开发）开展了一次大规模的网络间谍活动。通过绕过其道德防护栏，攻击者能够为 AI 分配高级目标任务。AI 代理自主执行了侦察、编写自定义利用代码以针对特定漏洞、收集凭据，并在网络中移动。

这种力量倍增，使一个操作员小团队能够同时以人类专用红队的深度和持久性，针对数百个组织发起攻击。

Hoxhunt 在 2023 年至 2025 年之间进行的实验揭示了 AI 能力的快速演变。如下面的时间轴所示，AI 代理在 2025 年初越过了人类有效性的门槛，从比顶尖社会工程师效率低 31%，转变为高 24%。

此外，研究表明，由 AI 支持的鱼叉式钓鱼活动的点击率可超过 50%，而通用活动的点击率要低得多。成本的降低也同样巨大。人工智能驱动的活动成本约为手动活动的 1/30，同时还能提供更优异的结果。

3.3 案例研究：Arup 抢劫案中的深度伪造#

AI 对安全最直接的影响之一是深度伪造的兴起，即高度逼真的、由计算机生成的音频和视频。这些工具旨在欺骗我们的感官，使人们在试图验证一个人身份时很难相信自己的眼睛和耳朵。 2024 年，工程公司 Arup 被盗 2500 万美元的事件是这个欺诈新时代的权威案例研究。

Arup 事件（损失 2500 万美元）

• 诱饵设置： Arup 香港办公室的一名员工收到一封假装是英国首席财务官 (CFO) 的电子邮件，要求进行机密金融交易。该员工对这一要求产生了怀疑，因此暂停了操作。在标准的网络安全意识模型中，这是正确的流程。

• 绕过防御： 为了消除员工的疑虑，攻击者发起了一次视频会议电话。

• 欺骗手段： 该员工加入通话后，不仅看到了 CFO，还看到了几位认识的同事。但他们全是深度伪造出来的——由实时语音克隆和面部再现技术驱动的 AI 头像。“CFO”提供的视觉和听觉确认，加上其他“同事”的社会证明，彻底击溃了该员工的防线。

• 结果： 确信自己是在执行合法的指令，该员工授权了 15 笔电汇，总计将 2 亿港元（2560 万美元）转入欺诈账户。

深度伪造技术已经商品化。暗网 市场 现在提供“深度伪造即服务 (Deepfake-as-a-Service)”，视频仅需 50 美元，语音克隆只需 30 美元。该技术已经先进到能够支持低延迟的实时交互，使得实时钓鱼电话成为现实。仅在 2025 年第一季度，深度伪造钓鱼攻击就激增了 1633%。

4. 二维码钓鱼 (Quishing)#

虽然常常被人工智能盖过风头，但利用移动安全漏洞的“二维码钓鱼 (Quishing)”也在同步增长。利用恶意二维码发起的攻击同比增长了 25%。

二维码钓鱼的机制旨在绕过企业防御体系。如下方流程图所示，攻击利用了一个“安全缺口”，即用户使用个人设备扫描嵌入的二维码，从而在移动浏览器执行攻击之前绕过了安全电子邮件网关 (SEG) 和企业端点保护。

攻击者越来越多地使用人工智能生成融入营销材料中的“艺术性”二维码，进一步降低了用户的警惕心。

5. 行业及地区威胁分析#

这些威胁的影响并不一致。不同领域面临着基于其资产价值和运营节奏的特定 PhaaS 及 AI 驱动攻击变种。

5.1 银行和金融领域的钓鱼即服务#

金融行业依然是主要目标，遭遇了最大规模的钓鱼攻击。

• 氛围诈骗门户： 攻击者使用像 Lovable 这样的工具来创建区域性银行登录门户的短暂、高保真克隆版本。这些网站通常存活不到 24 小时，这使得下架行动失效。

• 深度伪造验证欺诈： 一个日益增长的趋势是攻击者使用语音克隆通过电话 银行 安全验证。通过冒充账户持有者，他们可以授权转账或重置密码。针对老年人的语音钓鱼 (vishing) 攻击增加了 40%，突显了这些攻击的掠夺性质。

5.2 医疗保健领域的钓鱼即服务#

在 医疗保健 领域，钓鱼主要被作为勒索软件获取初始访问权限的途径。

• 成本影响： 医疗保健 领域的违规行为平均成本达 977 万美元，居所有行业之首。

• 操作型诱饵： 攻击者以“排班表”、“患者门户管理”或“工资更新”等借口针对医院员工。临床环境中的紧迫性使得员工极易受到这些操作型诱饵的影响。

• 供应链安全： 攻击往往始于受损的供应商账户（如医疗设备供应商），通过利用这种信任关系来消除疑虑。

5.3 零售与制造领域的钓鱼即服务#

在 2024 年，制造业的勒索软件事件数量居首位，逆转了全球范围内的下降趋势。

• 旧有技术： 制造业通常依赖于旧版运营技术 (OT) 和老旧的 Windows 系统。一旦通过网络钓鱼获取了初始访问权限，这些系统就极易受到已知漏洞的攻击。

• 品牌冒充： 零售商面临“品牌劫持 (Brandjacking)”，攻击者利用人工智能生成虚假产品评论、欺诈性发票，以及伪造的物流通知（如：“您的包裹被延误”）来对消费者进行网络钓鱼。

• 亚太地区激增： 亚太地区在 2024 年经历了 13% 的攻击增长，这主要是由于针对对全球供应链至关重要的制造中心发起的攻击增加。

6. 防御 PhaaS 的战略与韧性#

过去十年的防御机制（基于签名的检测、黑名单及基础用户培训）在面对 AI 驱动及基于代理的攻击时正逐渐失效。必须向以身份为中心的防御机制及行为分析转变。

6.1 抵御钓鱼即服务的技术控制手段#

为了应对钓鱼问题，必须同时从以下几个方面着手：

1. 抗钓鱼 MFA (Phishing-Resistant MFA)#

• 防御： 管理员必须强制实施条件访问策略 (Conditional Access Policies)，以阻止旧有的身份验证方式。如果用户的浏览器试图降级至使用密码或短信验证流程，则必须拦截该登录请求。

• 最高级加密： FIDO 通行密钥提供了最高级别的保护，因为它们将凭据物理绑定到设备上，这使得远程重放攻击几乎不可能发生。

2. 视觉及行为 AI：#

• 计算机视觉： 安全工具必须分析网页_渲染后_的外观。即便代码使用了凯撒密码进行了混淆，渲染出的页面_看起来_依然像 Microsoft 登录页面。计算机视觉模型能够识别这种视觉上的相似度，并拦截该站点。

• 行为基线分析： 诸如 Check Point 与 Proofpoint 等平台正逐步采用行为基线技术。它们会分析邮件的_意图_与_上下文_（比如：“CFO 会在周日晚上 11 点要求电汇资金，这正常吗？”）。不论发送者的声誉如何，一旦发现异常即触发警报。

6.2 人为风险管理 (HRM)#

• 深度伪造演练： 安全意识培训如今必须包含对抗深度伪造音频和视频的培训。员工需要在安全的环境中亲身体验这些伪造内容的高逼真度，以真正理解其带来的威胁。

• “质询-响应”协议： 组织必须针对金融交易实施带外验证 (out-of-band verification) 协议。如果在视频通话中被要求进行资金转账，员工必须通过辅助渠道（例如，加密聊天应用，或拨打已知内部号码的电话）进行验证。

• 报告文化： 衡量安全文化最有效的指标就是报告率。世界级的组织机构能够实现 20% 以上的报告率。实施有效培训计划的组织，一年内可将员工受网络钓鱼欺骗的易感性降低 86%。

6.3 政策与治理#

• SEC 信息披露： 新出台的美国证券交易委员会 (SEC) 网络安全披露规则（8-K 表格）要求企业必须迅速报告重大安全事件。在 2024/2025 年间发生、归咎于某国家支持攻击者的 F5 Networks 漏洞事件，凸显了这些信息披露要求的复杂性：在此事件中，美国司法部曾出于国家安全原因要求延迟披露。

• NIS2 指令： 在欧洲，NIS2 指令强制实施严格的安全事件报告和风险管理措施，迫使企业机构承担供应链风险管理责任，包括因网络钓鱼引发的风险。

7. Corbado 如何提供帮助#

通过用抗钓鱼、基于 FIDO 的通行密钥取代密码和基于 OTP 的 MFA，Corbado 可确保将身份验证通过加密方式绑定到用户设备和源端，从而使中间人攻击和会话重放攻击失效。即便面对像 Tycoon 2FA 这样极度复杂的 PhaaS 钓鱼套件，通行密钥也无法被重复使用、代理或窃取。

Corbado 专为现实世界中的企业环境而设计：它能无缝集成至现有的身份验证堆栈中，支持渐进式部署，并在实施强 MFA 的同时，不会增加用户的操作阻力。其结果是带来了显著提升的安全性、更高的登录成功率，以及抵御大规模 AI 驱动钓鱼攻击的长效防御体系。

8. 结论：钓鱼即服务 (PhaaS)#

钓鱼攻击威胁态势的发展轨迹正指向自主自适应。我们正跨越“自动化”攻击时代，迈入“自主化”攻击时代。未来的 AI 代理将不仅仅执行预定义脚本；它们会根据防御者的反应进行学习。如果防御者屏蔽了一个 IP 地址，AI 将会自动轮换；如果防御者修补了一个漏洞，AI 则会重写攻击代码。

在本文中，我们还回答了以下几个核心问题：

1. 什么是钓鱼即服务 (PhaaS)？ 钓鱼即服务是一个类似 SaaS 的网络犯罪生态系统。在该系统中，预制的网络钓鱼套件、基础设施及技术支持均通过订阅方式出售，使得即便是技术水平较低的攻击者也能发起高效且具备规模性的攻击，并往往能够利用中间人攻击手段绕过 MFA 防护。

2. 人工智能在现代钓鱼攻击中扮演什么角色？ 人工智能通过生成极具欺骗性、定制化的诱饵（“氛围诈骗”）、驱动自主化的代理式攻击，以及实现足以击破人工验证和传统安全防线的实时深度伪造音视频欺诈，极大地提升了钓鱼攻击的规模与自适应能力。

3. 组织应如何防御现代钓鱼攻击（技术控制、人为风险管理以及治理/政策）？ 组织必须将抗钓鱼、基于硬件的身份验证方案（例如 FIDO 通行密钥）与针对行为/视觉的 AI 监测技术相结合。同时，实施包括深度伪造意识培训和带外验证协议在内的人为风险管理，并通过强化治理与遵守事件报告及供应链风险相关法规（如 SEC 规则与 NIS2 指令）来进一步加固防御。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →

常见问题解答#

什么是氛围诈骗，为什么它是对企业安全的威胁？#

氛围诈骗 (Vibe scamming) 利用像 Lovable 这样的无代码 AI 平台，仅凭简单的自然语言提示便可生成功能齐备的钓鱼页面。Guardio Labs 的研究发现，在拒绝处理恶意请求方面，Lovable 的得分仅为 1.8/10（相比之下，ChatGPT 为 8/10）。在 2025 年初，Proofpoint 监测到数以万计由 Lovable 生成的钓鱼网址正在活跃散布恶意软件。

二维码钓鱼 (Quishing) 如何绕过企业电子邮件安全网关？#

二维码钓鱼 (Quishing) 将恶意链接嵌入至包含在电子邮件或 PDF 文件中的二维码图像内，从而避开了安全电子邮件网关的文本解析扫描。受害者使用个人智能手机扫描该二维码后，便绕过了企业的终端安全防护，并在其移动设备的浏览器中直接加载了钓鱼网站。这种攻击方式的年增长率达到了 25%，且越来越难以被检测防范。

在 Arup 深度伪造欺诈案中发生了什么，这对身份验证意味着什么？#

2024 年，攻击者说服一名 Arup 员工授权了 15 笔电汇，总计 2 亿港元（2560 万美元），手段是策划了一次视频通话，其中的首席财务官 (CFO) 及其多名同事都是实时的深度伪造画面。这起事件表明，视频通话中的视听确认已无法作为可靠的身份验证手段，必须引入第二条独立验证通道 (out-of-band confirmation channel) 才能防范此类欺诈。

为什么 FIDO 通行密钥比短信或验证器应用 MFA 更能抵抗 PhaaS 攻击？#

FIDO 通行密钥通过加密技术将其绑定在用户特定设备及合法源域上，这使得 AiTM 攻击中的反向代理无法捕获或重放它们。有别于短信验证码或 OTP 令牌，通行密钥绝不会传输可共享的密钥信息，这让即使像 Tycoon 2FA 这样高端的攻击平台也无计可施。

一个组织的目标网络钓鱼报告率应达到多少才能衡量强大的安全文化？#

正如本文指出的，世界级的组织在网络钓鱼报告率上能实现 20% 以上。不仅如此，配有优质培训体系的企业在一年内能将员工对网络钓鱼的易感程度降低 86%，这让员工的主动报告文化与技术管控一样，成为了衡量安全防护水平的一个关键的前置性指标。