警惕！新型网络钓鱼平台 Lucid 利用 iMessage 和 RCS 大规模窃取数据

一种名为“Lucid”的复杂网络钓鱼平台正在全球范围内引发关注。这个由黑产组织犯罪团伙“XinXin”（又名黑科技）支持的平台，正利用苹果的 iMessage 和安卓的 RCS（富通信服务）消息系统，对全球用户发起大规模攻击，旨在窃取信用卡信息和个人身份数据。

绕过传统防御的新手段

与依赖传统短信（SMS）的钓鱼方式不同，Lucid 的独特之处在于它利用了 iMessage 和 RCS 这些通常被认为是更安全的通信渠道。这样做的好处是能够有效绕过许多运营商和手机内置的垃圾邮件过滤器，大大提高了钓鱼信息的送达率和成功率。

自 2023 年中期启动以来，Lucid 已经被用来攻击遍布 88 个国家的 169 个组织，主要目标集中在欧洲、英国和美国。

“网络钓鱼”也能按周订阅

Lucid 平台以“网络钓鱼即服务”（PhaaS）的模式运作。犯罪分子通过 Telegram 频道推广这项服务，目前已有约 2000 名参与者。潜在的攻击者只需支付每周的订阅费，就能获得一整套工具，包括：

• 访问超过一千个用于钓鱼的域名。
• 高级的群发消息工具。
• 能够快速生成假冒网站的功能，这些网站模仿得非常逼真，涵盖了邮政服务（如 USPS）、快递公司（如 DHL）、电商平台（如亚马逊）、金融机构（如美国运通、汇丰银行）以及政府收费系统（如 E-ZPass）等。

背后推手：XinXin 团伙

Lucid 的幕后黑手是 XinXin 团伙。该团伙此前还开发过类似的网络钓鱼平台，如 Darcula v3 和 Lighthouse。这三个平台在使用的模板、攻击目标和策略上存在重叠，暗示着一个由讲中文的犯罪分子运营、通过 Telegram 销售非法工具以牟利的地下产业生态正在蓬勃发展。据称，Lucid 的主要开发者代号为 LARVA-242，是 XinXin 组织的关键人物。

攻击如何实施？

Lucid 的攻击者使用大量的 iPhone 设备（所谓的“iPhone 农场”）和运行在 Windows 系统上的移动设备模拟器，协调发送数十万条包含钓鱼链接的欺诈信息。他们通过数据泄露、网络犯罪论坛等渠道获取目标电话号码。

为了规避检测，他们采取了多种策略：

1. 针对 iMessage: 创建临时的 Apple ID，并使用“请回复 Y”的技术来绕过链接点击限制，与受害者建立双向沟通。
2. 针对 RCS: 不断轮换发送消息的域名和号码，利用运营商在发件人验证实施方面的不一致性来发送消息。
3. 钓鱼页面防护: 使用 IP 阻止、用户代理过滤和限时一次性 URL 等技术，防止被安全研究人员分析。

这些钓鱼消息通常伪装成税务通知、运输更新或通行费罚单，并根据受害者的语言和地理位置进行定制，以提高可信度。甚至有视频片段显示，攻击者可以在行驶的汽车上轻松发起攻击，这被用作一种广告，强调该平台使用起来多么“简单便捷”。

降低犯罪门槛，扩大危害

一旦受害者在假冒的网站上输入了个人信息（姓名、地址）和支付数据（信用卡号、安全码等），这些信息就会被收集。攻击者可以通过一个管理后台实时监控受害者的活动，并提取输入的数据。这些被盗的信用卡信息随后会被验证，并出售给其他犯罪分子或直接用于盗窃资金。

Lucid 这样的平台极大地降低了网络犯罪的门槛。即使是技术能力不强的新手，也能轻易发起大规模的网络钓鱼活动。其自动化的工具、用户友好的界面和持续的更新，使其对那些寻求大规模、低成本攻击的犯罪分子极具吸引力。

如何保护自己？

面对日益复杂和隐蔽的网络钓鱼攻击，普通用户需要提高警惕：

1. 保持怀疑: 对任何通过 iMessage、RCS 或其他消息服务收到的意外链接或要求提供个人信息的消息保持警惕。
2. 不点不明链接: 绝对不要点击来源不明或可疑消息中的链接。
3. 官网核实: 如果收到看似来自某家公司或机构（如银行、快递公司、政府部门）的消息，请不要直接通过消息中的链接操作，而是通过官方网站或官方 App 进行核实和办理业务。

随着像 Lucid、Tycoon 2FA、EvilProxy 等 PhaaS 平台的兴起，网络钓鱼攻击正变得更加难以检测和防御，造成的破坏也可能更大。保持警惕和遵循基本的安全习惯是保护自己免受侵害的关键。

参考：

• https://catalyst.prodaft.com/public/report/lucid/overview