FBI端掉一個(gè)"黑產(chǎn)全家桶"：500美元入門，卷走2000萬(wàn)美元

2026年網(wǎng)絡(luò)犯罪造成的欺詐和盜竊金額接近210億美元。這個(gè)數(shù)字里，有2000萬(wàn)美元來(lái)自一個(gè)叫W3LL的釣魚工具包——上周，F(xiàn)BI和印尼警方聯(lián)手把它端了。

這不是普通的釣魚軟件。花500美元，一個(gè)完全不懂技術(shù)的人就能買到全套服務(wù)：偽造登錄頁(yè)面、竊取賬號(hào)密碼、繞過(guò)雙因素認(rèn)證（2FA），還有24小時(shí)客服和教學(xué)視頻。Group-IB在2023年首次記錄這個(gè)工具時(shí)，把它稱為"一體化釣魚解決方案"。

從發(fā)垃圾郵件到"黑產(chǎn)SaaS"

W3LL的開發(fā)者公開代號(hào)G.L，至少?gòu)?017年就開始混跡網(wǎng)絡(luò)黑產(chǎn)。早期他做過(guò)兩款批量郵件工具PunnySender和W3LL Sender，后來(lái)升級(jí)思路——不賣單次服務(wù)，賣"平臺(tái)"。

2019年，W3LL商店上線。買家不僅能拿到釣魚工具包，還能獲得郵件列表、被入侵的服務(wù)器權(quán)限，甚至定制化開發(fā)。商店運(yùn)營(yíng)到2023年關(guān)閉，但G.L沒(méi)停手，轉(zhuǎn)而在加密通訊平臺(tái)上繼續(xù)交易。

FBI亞特蘭大特別探員Marlo Graham在聲明里說(shuō)：「這不僅僅是釣魚，這是一個(gè)全服務(wù)的網(wǎng)絡(luò)犯罪平臺(tái)。」

平臺(tái)化到什么程度？買家有票務(wù)系統(tǒng)和網(wǎng)頁(yè)聊天支持。技術(shù)小白能看視頻學(xué)做假網(wǎng)站。老帶新有10%傭金，第三方分銷商拿70%利潤(rùn)分成。這套商業(yè)模式，放在硅谷能拿融資。

2.5萬(wàn)個(gè)賬號(hào)，17萬(wàn)次入侵

W3LL主攻微軟365賬號(hào)，但技術(shù)上可以針對(duì)任何服務(wù)。攻擊邏輯很直接：克隆目標(biāo)網(wǎng)站的登錄頁(yè)，誘導(dǎo)用戶輸入憑證，同時(shí)竊取會(huì)話數(shù)據(jù)——這樣即使開了雙因素認(rèn)證，攻擊者也能直接"借用"用戶的登錄狀態(tài)。

FBI統(tǒng)計(jì)，W3LL商店在2023年前囤積了超過(guò)2.5萬(wàn)個(gè)已入侵賬號(hào)，2023至2024年間又用工具包額外攻陷1.7萬(wàn)個(gè)賬號(hào)。總涉案金額約2000萬(wàn)美元。

雙因素認(rèn)證曾被視為安全底線。W3LL的流行說(shuō)明，這條線已經(jīng)被批量跨過(guò)。它不靠破解驗(yàn)證碼，而是繞過(guò)整個(gè)認(rèn)證流程——偷你的"鑰匙"還不夠，直接復(fù)制你的"進(jìn)門狀態(tài)"。

關(guān)了商店，代碼還在

主工具包被拿下，但W3LL的代碼沒(méi)有消失。歐洲網(wǎng)絡(luò)安全公司Sekoia IO發(fā)現(xiàn)，一款叫Sneaky 2FA的工具正在使用W3LL的部分源代碼。破解版W3LL也在網(wǎng)上流傳多年。

這像是打地鼠。封掉一個(gè)域名，開發(fā)者換個(gè)加密聊天群繼續(xù)賣；抓了一個(gè)G.L，代碼開源后任何人都能 fork。釣魚工具包的邊際成本趨近于零，這是平臺(tái)化黑產(chǎn)最難纏的地方。

Group-IB和FBI都沒(méi)有回應(yīng)進(jìn)一步置評(píng)請(qǐng)求。目前被拘留的嫌疑人是否就是G.L本人，官方尚未確認(rèn)。

一個(gè)值得注意的細(xì)節(jié)：W3LL主要靠口碑傳播，沒(méi)有大規(guī)模廣告投放。這意味著它的用戶群體相對(duì)封閉，也更容易重建——熟人網(wǎng)絡(luò)比公開平臺(tái)更難監(jiān)控，但重建起來(lái)也更快。

當(dāng)500美元就能買到繞過(guò)企業(yè)級(jí)安全認(rèn)證的工具，且附帶客服和教學(xué)視頻，防御方的成本結(jié)構(gòu)是不是已經(jīng)失衡了？