【OTP盜刷網釣現況大公開2】2025中國信用卡盜刷網釣即服務百家爭鳴，甚至公然在即時通訊軟體頻道打廣告與教人盜刷

關於網釣即服務（PhaaS）的態勢，我們從2016年至今，已經看到許有許多資安業者揭露這項威脅態勢，指出PhaaS的興起，降低業餘駭客的攻擊門檻，只要租賃雲端服務就可發動攻擊，同時也讓網路犯罪的網釣商業模式成形，而後續的資安研究也顯示，有更多提供犯罪的PhaaS供應商被揭露，並會持續提供進階釣魚與偵測規避的功能。

不過，多數研究報告都是由國外資安業者發布，我們很少能具體瞭解其概況，近期台灣駭客協會理事戴辰宇（GD）揭露駭客竊取OTP盜刷網釣威脅現況時，亦介紹詐欺偵測的資料科學家Strawberry Donut的多項研究成果，當中就指出PhaaS不僅降低網路犯罪的技術門檻，也助長了這類攻擊的規模更擴大。同時，他還揭露了更多關於這個網路犯罪生態系不為人知的細節，包括全套與半套的不同PhaaS型態。

信用卡網釣盜刷氾濫，在微信、Telegram上已有犯罪教學頻道，許多是鎖定亞太地區而來

大家可能沒想過，現在攻擊者要盜刷信用卡、網釣竊取OTP碼，不只能到暗網租賃現成的網路犯罪工具，還有許多犯罪組織透過微信與Telegram頻道來廣告宣傳，甚至有專門的教學頻道，目的是吸收更多成員加入。

我們面對的網釣威脅有多嚴峻？根據戴辰宇與他研究夥伴的觀察，從網釣即服務（PhaaS）的發展來看，單是在信用卡盜刷領域，黑色產業在這方面的技術與市場經濟發展，已經相當成熟。

他們發現，在微信與Telegram即時通訊平臺上，竟然就有1、2千個頻道用於中國詐欺黑色產業的交流，並有相當多是鎖定亞太地區攻擊。特別的是，當中還有專門提供CVV盜刷教學的頻道，像上課一樣介紹如何取得盜刷資料，以及搭建中國稱為魚塘（PhaaS）的攻擊環境，還有搭建盜刷環境、產品變現方法，以及其他技術面的內容。

由於這類網釣攻擊已是相當氾濫，若是我們還不知道攻擊產業鏈的樣貌與轉變，可能輕忽了問題的嚴重性。

PhaaS租賃平臺服務競爭激烈，加速網路犯罪生態體系發展

對於這類盜刷網路犯罪的網路釣魚即服務，中國稱為魚塘（PhaaS），目前有多氾濫？他們觀察到，中國網路犯罪魚塘近兩年已呈現倍增的態勢，這顯示相關網路威脅正變得越來越嚴峻。

例如，2023年初中國地下信用卡資料黑市中，約有50多個雲端代管的訂閱制釣魚網站平臺，其中大多數已具備OTP竊取功能，到了2025年初，這些PhaaS平臺數量已增長至100 個以上，且功能持續進化，不僅提供半套或全套的租賃方案，更內建多種規避資安偵測的功能。

而且他們也發現，隨著PhaaS網釣犯罪服務的普及，彼此競爭也變得激烈，會產生什麼樣的影響？由於這類型服務就是提供攻擊者使用的雲端代管訂閱制網路釣魚平臺，當這些平臺為了搶客而不斷增加新功能，或是降低費用，結果就是讓執行網釣者能夠更容易、以更低成本發動攻擊。

特別的是，過去資安業者雖然頻繁揭露PhaaS平臺的資訊，讓我們可以大致了解，攻擊者可選擇使用現成現成的網路釣魚工具包（Phishing Kit），或直接租用PhaaS犯罪平臺的服務。然而，這次揭露的內容，超越了我們既有的認知，進一步揭示了這個網路犯罪生態系中更多隱密且細緻的層面。

以信用卡盜刷的攻擊環境建置而言，分析出3種不同型態：

第一種No PhaaS，攻擊者可以全都自己架構，以自建方式搭建魚塘攻擊環境。

但如果沒技術或想省時間，可選擇租用PhaaS。

第二種是Half PhaaS，戴辰宇表示，這如同提供半套服務租賃，提供如同AppStore源碼商店的平臺環境，還會持續更新Phishing Kit。

第三種是Full PhaaS，也就是提供全套租賃服務，不只提供Phishing Kit，連網釣使用的網域、VPS虛擬主機都提供，讓租用的攻擊者直接拿到一個後臺網址，快速建立一個魚塘攻擊環境。

不僅是網路犯罪魚塘（PhaaS）數量增加，他們發現租用服務的網路犯罪者也相當多。

例如，一個名為熊貓源碼商店的網路犯罪平臺服務，主要鎖定偽冒物流服務的主題，有2,600多個訂閱者，另一個名為Magic Cat神奇貓貓，主要提供偽冒全球郵政的主題，有3,000多個訂閱者。

不過，這類黑產也會有黑吃黑的情況，像是網釣者使用PhaaS平臺所竊取的資料，PhaaS服務提供者也能掌握，能將高價值信用卡資料先一步盜刷。因此地下市場也有所謂第一手、第二手、第三手資料，或是大量無效信用卡資訊。

若是進一步觀察這些平臺上的功能，也能看出網釣攻擊技術的門檻降低與普及，將帶來更廣泛的影響。例如，這些平臺大多提供半套或全套的訂閱租賃方式，並且幾乎都已經提供OTP竊取的能力。

更要注意的是，這些犯罪服務平臺還提供所謂「Anti-Red防紅」的功能，也就是內建多種規避資安偵測的能力。

例如，攻擊者網釣目標若是鎖定日本，可設定只允許日本IP位址登入，減少被資安業者偵測的風險；還有一項特別的Entrance Key功能，其機制是透過在網址後添加？等查詢字串的參數，只有在參數值正確時，才會顯示真正的釣魚頁面，若直接存取網站，只會顯示空白頁面或無關內容，可規避資安業者的線上掃描或沙箱等偵測機制。

從上述戴辰宇的分析介紹來看，我們可以了解到網路犯罪生態系的進化，不僅攻擊工具更易於取得，連反偵測能力也日益精進。面對如此複雜且專業化的威脅，企業又該如何有效防範呢？下一篇我們將繼續介紹。
 

繼續閱讀：【面對OTP盜刷網釣威脅，支付與電商產業應對策略】強化交易身分驗證與裝置指紋機制，並建立AI/ML詐欺模型