網釣套件租用服務Lucid、Lighthouse橫跨74國攻擊316品牌

資安公司Netcraft發現兩個以訂閱制形式的網釣套件租用服務（Phishing-as-a-Service，PhaaS）平臺Lucid與Lighthouse，近期快速擴張，研究期間已偵測超過17,500個釣魚網域，鎖定74國共316個品牌。

PhaaS將釣魚樣板、發布流程與反監控機制打包成服務，以訂閱或租用方式提供。這類商品化惡意工具能讓沒有專業技術背景的攻擊者快速建立仿冒網站，近年類似套件數量增加，Netcraft從2023年開始追蹤Darcula後，觀察到同類平臺持續出現，2025年6月更出現單月高峰，當月由PhaaS所驅動的釣魚主機名占偵測總數13.5％。

Lucid為高流量PhaaS之一，其樣板涵蓋金融、政府、郵務與道路收費等產業，樣板以主題名稱管理，例如針對金融業者Kuda的樣板標記為kuda295。為避免被資安研究或攔截系統發現，Lucid通常以三項條件保護釣魚內容，除了必須帶有指定路徑如/servicios之外，還要是來自特定代理國家，而且以行動裝置User-Agent存取，三者任一不符通常會回應一個看似正常的假電商頁面，以混淆偵測。Netcraft報告指出，Lucid目前已被用於攻擊63國164個品牌。

Lighthouse由開發者WangDuoYu維護，具有頻繁更新與可客製化樣板，報告指出可透過模板蒐集雙因素憑證，其訂閱價格從每周88美元到每年1,588美元不等。研究人員研判，一系列採用高度HTML混淆的攻擊行動與Lighthouse相關，判斷依據包括攻擊所用模板與官方示範素材的一致性，以及在示範影片常見的測試網域test-24.top上確實觀測到部署跡象。

該平臺的反監控頁面採用與Lucid相同的「LOAFING OUT LOUD」假電商模板，僅HTML細節有所不同。Lighthouse相關URL被偵測用於攻擊50國204個品牌，而研究也發現與Haozi群體在Telegram上的成員關聯，提示工具鏈或使用者群存在交叉。

技術上，這兩套PhaaS共享的戰術是以模板化流程大量複製仿冒頁，並以地理位置、路徑參數與行動裝置User-Agent等條件式篩選，來隱蔽真實釣魚內容，增加一般掃描器與自動化探測的難度。對防禦方而言，要是僅以靜態擷取或單一User-Agent進行偵測，容易被引導至假電商落地頁而錯失證據。

Netcraft已透過基礎設施關聯分析、樣板比對與自動化流程來縮小偵測盲點，但同時強調，PhaaS的商業化特性與快速迭代能力，使得攻擊規模與複雜度同步上升。