摘要

近年来，网络犯罪呈现高度产业化、模块化和低门槛化的趋势。其中，钓鱼即服务（Phishing-as-a-Service, PhaaS）作为一种新型网络犯罪商业模式，显著降低了攻击者实施凭证窃取的技术壁垒。本文聚焦于2025年重新活跃的中文PhaaS平台“Haozi”（耗子系统），通过对其架构设计、功能实现、运营模式及技术特征的深入剖析，揭示其如何将传统钓鱼攻击转化为标准化、可订阅的云服务。研究结合实际样本分析、控制面板逆向逻辑推演及典型攻击流程还原，展示了Haozi在绕过多因素认证（MFA）、模拟用户交互行为、自动化部署等方面的技术能力。同时，本文探讨了此类平台对现有防御体系带来的挑战，并提出针对性的检测与缓解策略。研究表明，PhaaS平台正逐步具备企业级软件工程特征，其“产品化”程度已远超传统钓鱼工具包，亟需从技术、法律与情报共享多维度协同应对。

关键词：钓鱼即服务；凭证窃取；多因素认证绕过；网络犯罪平台；Haozi；社会工程

1 引言

钓鱼攻击作为最古老且持续有效的网络入侵手段之一，长期以来依赖攻击者的手工构造与社会工程技巧。然而，随着网络安全防护体系的完善，尤其是多因素认证（MFA）的广泛部署，传统静态钓鱼页面的成功率显著下降。在此背景下，攻击者开始寻求更高效、更具欺骗性的攻击方式。与此同时，云计算、无代码开发与加密货币支付等技术的发展，为网络犯罪提供了新的基础设施支持，催生了“即服务”（-as-a-Service）型犯罪模式。

钓鱼即服务（PhaaS）正是这一趋势下的典型产物。它将钓鱼攻击所需的前端模板、后端逻辑、数据管理、客户支持乃至广告分发整合为一个完整的商业平台，用户仅需支付订阅费用即可获得“开箱即用”的攻击能力。此类平台不仅大幅降低技术门槛，还通过标准化接口提升攻击效率，使得不具备编程能力的个体也能发起高成功率的凭证窃取活动。

2025年4月，安全公司Netcraft报告指出，中文PhaaS平台“Haozi”（耗子系统）在沉寂一段时间后重新活跃。该平台以其高度仿真的用户界面、自动化的部署流程、对MFA的动态绕过机制以及类似SaaS企业的运营模式引发广泛关注。据披露，Haozi自重启以来已吸引超过1700名新用户，其关联的USDT钱包累计收款逾28万美元，表明其商业化运作已具相当规模。

本文旨在通过对Haozi平台的系统性技术分析，厘清现代PhaaS平台的核心能力边界、技术实现路径及其对现有安全防御体系构成的实际威胁。研究不局限于现象描述，而是深入其技术栈内部，结合实际代码逻辑与攻击流程，构建一个可验证、可复现的威胁模型。全文结构如下：第二部分综述PhaaS的发展脉络与典型特征；第三部分详细解析Haozi的平台架构与关键技术；第四部分通过代码示例还原其MFA绕过与动态交互机制；第五部分讨论现有防御措施的局限性并提出改进建议；第六部分总结全文。

2 钓鱼即服务（PhaaS）的发展背景与核心特征

2.1 从钓鱼工具包到PhaaS平台

早期的钓鱼攻击主要依赖“钓鱼工具包”（Phishing Kits），即一组包含HTML、CSS、JavaScript和PHP脚本的压缩文件。攻击者需自行配置Web服务器、修改表单提交地址、处理数据存储等，对基础Web开发知识有一定要求。此类工具包通常通过暗网论坛或Telegram频道免费或低价分发，缺乏持续维护与技术支持。

随着攻击复杂度提升，尤其是目标站点引入验证码、设备指纹、行为分析等反钓鱼机制后，静态工具包逐渐失效。攻击者开始转向动态、交互式钓鱼页面，能够根据用户输入实时调整后续流程。这一需求催生了更高级的PhaaS平台。与传统工具包不同，PhaaS具备以下特征：

托管式部署：提供一键安装页面，用户仅需输入目标服务器FTP/SFTP或API密钥，平台自动完成文件上传与配置。

集中化管理：通过Web控制面板统一管理多个钓鱼站点、查看窃取数据、过滤无效流量。

动态交互逻辑：支持条件分支，如根据信用卡号前缀决定是否请求CVV或2FA码。

商业运营模式：采用订阅制（如Haozi年费2000美元），提供售后支持、模板更新、定制开发等增值服务。

生态整合：集成第三方服务，如短信网关、代理IP池、域名注册商API，形成完整攻击链条。

2.2 PhaaS的威胁升级

PhaaS的出现标志着钓鱼攻击从“手工作坊”迈向“工业化生产”。其威胁主要体现在三方面：

攻击规模化：单个PhaaS平台可同时支撑数千个钓鱼站点，攻击面急剧扩大。

欺骗性增强：模板高度还原真实网站UI/UX，甚至复刻加载动画、错误提示等细节，用户难以分辨。

防御规避能力提升：通过动态内容生成、延迟加载、流量过滤等技术，有效规避基于静态特征的检测引擎。

Haozi正是上述特征的集大成者，其设计理念明确指向“零技术门槛”与“高转化率”。

3 Haozi平台架构与功能解析

3.1 整体架构

Haozi采用典型的三层架构：

前端层：由高度仿真的HTML/CSS/JS模板构成，覆盖银行、支付平台、社交媒体、企业邮箱等主流目标。

中间层：部署于攻击者控制的服务器上的PHP后端脚本，负责接收表单数据、与控制面板通信、执行动态逻辑。

控制面板层：托管于独立服务器的Web应用（标记为“耗子系统”），提供用户注册、订阅管理、数据可视化、模板下载等功能。

用户首次使用时，访问Haozi提供的安装页面（通常为短链接或伪装域名），输入目标服务器的FTP凭据或cPanel API密钥。平台随即通过自动化脚本将选定模板及配套后端代码部署至目标服务器，并返回控制面板登录地址。

3.2 核心功能模块

3.2.1 自动化部署模块

该模块通过PHP的ftp_connect()或curl调用cPanel UAPI实现远程文件上传。示例伪代码如下：

// Haozi安装器核心逻辑（简化版）

$ftp_server = $_POST['ftp_host'];

$ftp_user = $_POST['ftp_user'];

$ftp_pass = $_POST['ftp_pass'];

$template = $_POST['template']; // 如 'bank_of_china_v3'

$conn_id = ftp_connect($ftp_server);

$login_result = ftp_login($conn_id, $ftp_user, $ftp_pass);

if (!$login_result) {

die("FTP登录失败");

}

// 上传模板文件

$local_dir = "/templates/{$template}/";

$remote_dir = "/public_html/phish/";

foreach (scandir($local_dir) as $file) {

if ($file == '.'