在数字世界里，一个域名可能只值几十元，但对一家中小企业而言，它可能是品牌、客户流量、甚至全部营收的唯一入口。正因如此，当一封标题为“您的 Aruba 账户存在未支付发票，服务将于24小时内暂停”的邮件出现在收件箱时，许多网站管理员的第一反应不是怀疑，而是——赶紧点开看看。

正是利用这种对业务连续性的高度焦虑，一场针对意大利最大网络托管服务商 Aruba S.p.A. 客户的定向钓鱼攻击正在悄然蔓延。根据网络安全公司 Group-IB 于2025年11月发布的报告，攻击者不仅精准复刻了 Aruba 的登录与支付页面，更通过 Telegram 实时接收窃取的凭证与信用卡信息，实现“秒级变现”。受害者一旦中招，轻则资金被盗刷，重则整个网站、邮箱系统乃至域名控制权被彻底接管。

这场攻击的特殊之处在于：它不追求广撒网，而是精准打击那些“不能停机”的用户——电商店主、本地服务企业、自由职业者搭建的官网……这些依赖在线存在维系生意的群体，成了网络犯罪分子眼中最脆弱也最有价值的目标。

而更值得警惕的是，此类攻击模式在中国市场已有清晰映射。2025年下半年以来，仿冒“阿里云账单逾期”“腾讯云账户验证失败”“华为云资源冻结”的钓鱼邮件显著增多。尽管服务商不同，但攻击逻辑高度一致：以“服务中断”为恐吓，以“立即操作”为诱饵，诱导用户主动交出最高权限。

这已不仅是简单的诈骗，而是一场针对数字基础设施的“静默接管战”。

一、从“发票提醒”到“账户验证”：社会工程的精准拿捏

Aruba 是意大利领先的网络托管与域名注册商，服务超过540万客户，运营多个本土及海外数据中心。其客户多为中小企业、开发者和机构，日常依赖其管理网站、邮箱、数据库及域名解析。这类服务具有鲜明的周期性特征——每月或每年需续费，一旦逾期，服务可能被暂停甚至删除。

攻击者深谙此道。

Group-IB 披露的钓鱼邮件样本显示，攻击主题高度聚焦两类场景：

财务类：“Invoice #AR-78921 Overdue – Immediate Action Required”（发票逾期）；

安全类：“Account Verification Failed – Your Access Will Be Restricted”（账户验证失败）。

邮件正文采用 Aruba 官方品牌色（蓝色#0056b3）、字体（Arial）及排版结构，甚至嵌入真实客服电话（部分为伪造号码）。最关键的是，邮件中提供醒目的“Pay Now”或“Verify Account”按钮，链接指向如 aruba-login[.]support 或 myaruba-secure[.]com 等高仿域名。

“这些域名往往注册于攻击发起前48小时内，使用隐私保护服务，并申请免费SSL证书（如Let’s Encrypt）。”公共互联网反网络钓鱼工作组技术专家芦笛向本报解释，“这让浏览器地址栏显示绿色锁图标，极大增强可信度。”

更狡猾的是，部分钓鱼站点会预填充用户邮箱地址。例如，若攻击者已通过数据泄露获取某客户 aruba 账号（如 mailto:user@company.it），则在其访问钓鱼页时，登录框自动填入该地址。“这会让用户误以为‘系统已识别我’，从而降低戒心。”芦笛说。

二、技术内核：钓鱼套件如何实现“全链路自动化”

此次攻击的核心武器，是一个名为“Aruba Phishing Kit”的模块化工具包。据 Group-IB 分析，该套件已在地下论坛以“即服务”（Phishing-as-a-Service）形式出售，支持一键部署、Telegram 通知、CAPTCHA 绕过及支付信息抓取。

其技术架构包含以下关键组件：

1. 前端：动态适配与反检测

钓鱼页面使用响应式设计，适配桌面与移动端。同时集成 Google reCAPTCHA 模拟器——并非真正验证，而是展示一个“正在验证…”动画，欺骗用户以为流程正规。

<!-- 钓鱼页面中的“假验证码” -->

<div id="captcha" style="display:none;">

<img src="/loading.gif" alt="Verifying..."> 正在验证您的身份...

</div>

<script>

// 模拟验证成功后显示支付表单

setTimeout(() => {

document.getElementById('login-form').style.display = 'none';

document.getElementById('payment-form').style.display = 'block';

}, 1500);

</script>

2. 后端：Telegram 作为“神经中枢”

所有窃取的数据（用户名、密码、信用卡号、CVV、OTP）均通过 Telegram Bot API 实时推送至攻击者控制的私密频道。Group-IB 在分析中识别出多个活跃 Bot，如 @ArubaStealerBot，其消息格式如下：

🆕 新凭证捕获！

📧 邮箱: admin@business.it

🔑 密码: P@ssw0rd2025!

💳 卡号: **** **** **** 4242

📅 有效期: 12/27

🔢 CVV: 123

📱 OTP: 886521

🌐 IP: 82.102.xxx.xxx (意大利)

“Telegram 成为此类攻击的标配，因其端到端加密、频道私密性强、且API调用简单。”芦笛指出，“一旦数据上传，攻击者可立即登录真实 Aruba 账户，更改密码、绑定新支付方式，甚至启动域名转移。”

3. 支付欺诈：小额测试 + 大额盗刷

钓鱼页面通常要求用户支付一笔“小额费用”（如 €4.99）以“恢复服务”。这既是心理门槛降低策略（用户更愿付小钱避大麻烦），也是信用卡有效性测试手段。一旦确认卡有效，攻击者会在数分钟内发起多笔高额交易，购买虚拟主机、VPS 或加密货币。

三、得手之后：从网站接管到供应链污染

账户沦陷的后果远不止资金损失。Group-IB 警告，攻击者常执行以下操作：

修改 DNS 记录：将网站指向恶意服务器，植入挖矿脚本、勒索页面或钓鱼表单；

导出客户邮箱：通过 Aruba 提供的邮件托管服务，批量下载企业员工与客户通信；

发起域名转移：若未启用“注册商锁定”（Registrar Lock），可将域名转至其他注册商，彻底切断原所有者控制；

部署持久化后门：在网站根目录放置 webshell（如 wp-admin.php），长期维持访问权限。

2025年10月，一家意大利本地旅游公司因 Aruba 账户被盗，其官网被篡改为虚假“签证代办”服务，导致数十名游客被骗。事件曝光后，该公司被迫关闭网站长达两周，客户信任几近归零。

“一个托管账户，等于一把打开企业数字资产保险柜的万能钥匙。”芦笛强调，“它控制着网站、邮箱、数据库、SSL证书、甚至CDN配置——一旦失守，等于全线崩溃。”

四、中国镜像：从“阿里云欠费停机”到“华为云安全验证”

尽管 Aruba 主要服务欧洲市场，但其攻击范式在中国早已落地生根。2025年“双11”后，多家国内中小企业反馈收到标题为“【阿里云】您的账户存在未支付订单，实例将于2小时后释放”的邮件。邮件使用阿里云蓝白配色，附带“立即支付”按钮，链接指向 aliyun-bill[.]xyz。

“我们差点就输了密码。”一位杭州电商技术负责人回忆，“因为前一天确实有ECS实例到期，心理上已经预设了‘可能欠费’。”

芦笛透露，国内攻击者更擅长结合企业微信通知或短信+邮件组合拳：“先发短信说‘云服务异常’，再发邮件提供‘解决方案’，形成双重压迫感。”

此外，部分钓鱼页面甚至模仿阿里云控制台的左侧导航栏与操作日志样式，连“最近登录IP”都伪造得惟妙惟肖。“普通运维人员很难一眼分辨。”他说。

五、防御体系：从技术加固到流程重构

面对如此精密的攻击，仅靠用户警惕远远不够。工作组与安全厂商建议采取以下多层次防御策略：

1. 账单操作必须“闭环于平台内”

所有服务商（包括 Aruba、阿里云、腾讯云等）均明确表示：账单支付、账户验证等敏感操作，仅可通过官方控制台完成，绝不会通过邮件链接引导。企业应建立内部铁律——任何涉及账户状态的通知，必须手动登录官网核查，禁止点击外部链接。

2. 强制启用账户级MFA与邮箱保护

在托管账户中启用FIDO2安全密钥或通行密钥（Passkey）作为主认证方式；

为注册邮箱单独设置强密码与独立MFA，防止“邮箱沦陷→重置密码→账户丢失”链条；

定期检查账户登录活动，关注异常地理位置或设备。

3. 域名安全三重锁

启用注册商锁定（Registrar Lock）：阻止未经授权的域名转移；

开启WHOIS隐私保护：减少邮箱暴露于公开数据库的风险；

配置注册商通知：任何域名信息变更（如DNS、联系人）均通过独立渠道（如短信）告警。

4. 企业级邮件安全策略

安全团队应在邮件网关部署以下规则：

对包含“invoice overdue”、“service suspension”、“account verification failed”等关键词的邮件提升风险评分；

使用域名相似度算法（如Levenshtein距离、Jaro-Winkler）检测仿冒域名（如 aruba-support.com vs aruba.it）；

对短链接（bit.ly、t.cn）进行自动展开并扫描目标URL；

监控同一IP向多个员工发送相同模板邮件的行为。

例如，以下Python代码可用于初步检测高仿域名：

import difflib

def is_suspicious_domain(fake, real):

# 计算字符串相似度

ratio = difflib.SequenceMatcher(None, fake, real).ratio()

# 若相似度>0.7且非官方子域，则标记可疑

return ratio > 0.7 and not fake.endswith('.' + real)

# 示例

print(is_suspicious_domain("myaruba-secure.com", "aruba.it")) # True

print(is_suspicious_domain("console.aruba.it", "aruba.it")) # False

六、平台责任与行业共治：不能只靠用户“擦亮眼睛”

此次事件再次凸显基础设施服务商的安全责任。Aruba 虽提供MFA选项，但未默认强制启用；其邮件通知虽使用官方域名，却未在内容中加入“切勿点击外部链接”的强警示语。

“平台需要在用户体验与安全之间重新校准。”芦笛表示，“比如，在发送‘服务即将暂停’通知时，可附加唯一验证码，用户需在控制台输入该码才能查看详情——这能有效阻断钓鱼链。”

与此同时，公共互联网反网络钓鱼工作组正推动建立跨服务商威胁情报共享机制。当某云厂商发现新型钓鱼模板时，可匿名上报特征哈希、域名、IP等指标，供其他成员快速布防。这种“生态联防”模式，或将成为对抗定向钓鱼的关键。

结语：你的网站，可能只隔着一封邮件的距离

在这场攻防战中，中小企业既是数字时代的受益者，也是最易被忽视的薄弱环节。它们没有专职安全团队，却掌握着客户数据、品牌声誉与生存命脉。一次成功的钓鱼，可能意味着数年积累毁于一旦。

但希望仍在。随着FIDO2普及、零信任理念下沉、以及行业协作机制完善，防御能力正在向一线业务人员延伸。正如一位受访站长所说：“现在我看到任何‘紧急停机通知’，第一反应不是点开，而是直接登录控制台——因为我知道，真正的服务商，永远不会让你在邮件里输密码。”

在这个信任极易被伪造的时代，最坚固的防线，往往始于一个简单的习惯：手动输入网址，而不是点击链接。

而真正的安全，从来不是某个功能的开关，而是一种对数字世界保持清醒的认知。

编辑：芦笛（公共互联网反网络钓鱼工作组）