微软揭露网络钓鱼即服务运营方BulletProofLink的运营内幕

微软安全研究揭开了大规模网络钓鱼即服务 (PHaaS) 的大门，该恶意攻击平台的运营涉及销售网络钓鱼工具包、电子邮件模板以及低成本提供托管和自动化服务，从而使网络攻击者能够购买网络钓鱼活动并以最低成本部署和传播这些钓鱼邮件。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，BulletProofLink是目前影响最广的网络钓鱼即服务 (PHaaS) 恶意平台的运营方，拥有 100 多个模仿已知品牌和服务的可用网络钓鱼模板，BulletProofLink（其运营方在各种网站、广告和其他宣传材料中也称为 BulletProftLink 或 Anthrax）被多个黑客团体以一次性或按月订阅的付费模式使用，为其创造了稳定的收入来源。

网络钓鱼即服务与传统网络钓鱼工具包的不同之处在于，后者作为一次性付款出售以访问包含即用型电子邮件网络钓鱼模板的打包文件，它们基于订阅并遵循软件即服务模型，同时还扩展了功能，包括内置站点托管、电子邮件传递和凭据窃取。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，网络钓鱼即服务至少自 2018 年以来一直活跃，BulletProofLink 运营一个在线门户网站，以每月高达 800 美元的价格宣传他们的工具集，并允许网络犯罪团伙注册并支付服务费用。如果客户选择订阅他们的时事通讯，他们还可以享受 10% 的折扣，更不用说支付 80 到 100 美元的密码网络钓鱼模板，允许他们通过点击电子邮件中的恶意 URL 来窃取不知情的受害者输入的登录信息信息。

令人不安的是，窃取的密码不仅会发送给攻击者，还会使用一种称为“双重盗窃”的技术发送给 BulletProofLink 运营商，该技术的作案手法反映了勒索软件团伙采用的双重勒索攻击。

对于网络钓鱼工具包，运营商将密码发送到一个辅助位置并希望网络钓鱼工具包的购买者不要更改代码以将其删除是微不足道的。对于 BulletProofLink 网络钓鱼工具包来说也是如此，如果使用该服务的攻击者在一周结束时收到凭据和日志，而不是自己进行活动，PhaaS 运营商会保持对他们转售的所有凭据的控制。