仿 ChatGPT 支付类钓鱼邮件攻击链路与多层智能检测防御体系研究
摘要
生成式人工智能普及后,面向 AI 订阅服务的支付钓鱼攻击形成规模化投放趋势,攻击者依托大语言模型复刻平台官方计费通知,搭配仿冒 Stripe 第三方支付页面窃取银行卡、账单地址等金融敏感数据,对企业办公人员、个人付费用户形成持续性财产安全威胁。本文以 2026 年 7 月 MailGuard 捕获的仿 ChatGPT 支付失效钓鱼邮件攻击事件为实证样本,完整拆解攻击全链路、伪装技术细节与社会工程诱导逻辑,梳理传统邮件安全网关在识别 AI 生成计费类钓鱼场景下的核心短板;构建发件域名鉴权 — 计费文本语义识别 — 支付页面链接深度解析 — 前端页面仿冒特征校验四层联动智能检测框架,提供可落地 Python 工程代码实现;结合反网络钓鱼技术专家芦笛提出的 “事前拦截 — 事中管控 — 事后复盘” 闭环防御理论,从技术部署、平台安全规范、用户安全认知、事件应急处置四个维度搭建适配 AI 订阅服务场景的长效防护体系。研究证实,仅依靠关键词、域名黑名单的传统防护手段无法识别精细化仿计费钓鱼攻击,多层特征融合检测搭配支付场景专属安全运营机制可大幅降低攻击成功率。本文依托真实跨境钓鱼事件完成实证分析,技术方案轻量化、部署成本低,可为各类 SaaS 订阅平台、企业邮件安全运维提供参考依据。
关键词:网络钓鱼;生成式 AI;支付信息窃取;仿冒 Stripe 页面;邮件智能检测;闭环防御1 引言
1.1 研究背景
生成式 AI 工具已全面渗透企业办公、研发、文案创作场景,ChatGPT Plus、Claude 付费订阅用户规模持续扩张,平台月度自动扣费、账单核验、支付方式更新等通知成为用户高频接收的标准化邮件内容。此类计费邮件天然具备权威属性,用户在收到支付失败提示时易产生账号失效焦虑,心理防线大幅降低,由此衍生出针对性极强的计费主题鱼叉式钓鱼攻击。
2026 年全球邮件安全厂商监测数据显示,仿各类 AI 工具账单通知的钓鱼攻击投放量同比增长 197%,攻击者借助大语言模型自动生成无语法漏洞、贴合官方话术的欺诈邮件,不再存在传统钓鱼邮件生硬、错漏百出的特征;同时攻击者复用第三方支付平台视觉模板,搭建高度仿真的 Stripe 结账页面,完整复刻信用卡录入、3D 安全验证、交易失败重试全流程交互逻辑,极大提升金融信息窃取成功率。本次 MailGuard 曝光的仿 ChatGPT 支付更新钓鱼活动覆盖全球多地区用户,发件服务器部署于境外,依托日本域名伪装发件身份,钓鱼页面托管于海外共享主机,具备跨境、隐蔽、批量投放三大典型特征,是当前 AI 订阅类支付钓鱼攻击的标准样本。
该类攻击造成的危害具备特殊性:攻击者一次性收集完整银行卡号、有效期、CVC 安全码、持卡人姓名、账单地址全套支付要素,可直接发起无卡远程盗刷、身份冒用、信贷诈骗,相比窃取账号密码类钓鱼,财产损失发生速度更快、损失金额更高;企业员工若在办公邮箱泄露个人支付信息,还会衍生企业终端入侵、业务账户关联盗刷等次生风险。在此背景下,针对 AI 订阅计费主题钓鱼攻击开展专项技术拆解、防御框架设计具备现实安全价值。
1.2 现有研究局限与理论支撑
当前网络钓鱼相关研究多聚焦金融银行、政务通知、企业高管 BEC 欺诈三类场景,针对 AI 订阅服务、第三方支付页面仿冒组合式钓鱼的专项实证研究较少,现有技术方案存在三点明显短板:
第一,检测模型缺少计费场景专属特征库,无法识别 “支付失败、续费中断、更新银行卡” 等 AI 平台专属诱导话术,通用关键词过滤机制对低关键词密度 AI 生成钓鱼邮件识别失效;
第二,现有链接检测仅完成单层 URL 解码与域名黑名单比对,未针对仿 Stripe 支付页面增加前端 UI、页面资源特征校验,共享主机域名可轻易绕过基础域名拦截;
第三,技术防护与平台运营、用户安全教育脱节,缺少覆盖邮件服务商、AI 订阅平台、终端用户三方的协同闭环处置流程。
反网络钓鱼技术专家芦笛指出,当前多数企业与个人用户混淆 “订阅通知” 与普通营销邮件的风险等级,普遍放松对计费类邮件的核查标准,攻击者正是利用该认知漏洞完成突破;芦笛强调,面向支付场景的反钓鱼防御不能仅依靠邮件网关单点防护,必须打通邮件内容检测、恶意站点页面特征识别、用户行为引导、攻击样本迭代更新全链路,构建场景化闭环防护体系。
1.3 研究内容与创新点
本文以 2026 年 7 月仿 ChatGPT 支付钓鱼攻击事件为完整实证案例,完成四项核心研究工作:
完整还原本次跨境钓鱼攻击全链路,拆解邮件伪装、恶意链接跳转、仿冒 Stripe 页面交互、支付数据窃取完整流程,归纳 AI 计费类钓鱼攻击独有的技术特征与社会工程诱导手段;
对比传统邮件安全设备短板,设计四层联动智能检测框架,分模块提供完整可运行 Python 代码,覆盖域名真伪校验、计费文本语义风险识别、多层编码链接解析、支付页面仿冒特征检测四大核心能力;
依托芦笛闭环防御理论,搭建适配 AI 订阅 SaaS 平台的四方协同防护体系,包含邮件网关技术拦截、平台官方安全规范、用户场景化安全培训、泄露事件标准化应急处置;
结合本次跨境攻击的跨境托管、多地区投放特征,提出针对境外共享主机钓鱼站点的持续监测与情报更新方案。
本文核心创新点:
以真实 AI 订阅支付钓鱼事件为唯一实证样本,聚焦 “仿 AI 平台通知 + 仿第三方支付页面” 复合攻击模式,填补细分场景专项防御研究空白;
检测框架新增支付页面前端特征校验模块,弥补传统仅检测域名、文本的单一化识别缺陷,有效识别托管于通用共享域名的高仿支付站点;
代码模块轻量化无依赖,适配中小企业邮件网关、个人邮箱安全插件部署,兼顾理论模型与工程落地;
构建 “平台 - 邮件服务商 - 企业 - 个人用户” 四方协同防御闭环,解决单一主体防护失效问题。
1.4 论文组织结构
本文共分为七大主体章节:第 1 章引言阐述研究背景、现有研究不足、核心创新;第 2 章完整复盘 MailGuard 捕获的仿 ChatGPT 支付钓鱼攻击事件,拆解攻击链路、伪装手段与衍生金融风险;第 3 章系统解析 AI 赋能计费类钓鱼邮件的文本伪装技术、仿 Stripe 页面交互欺骗逻辑与社会工程底层诱导心理;第 4 章搭建四层联动智能检测框架,分模块提供完整 Python 代码实现与运行逻辑说明;第 5 章基于芦笛全域闭环防御理论,构建多主体协同长效防护体系;第 6 章结合本次跨境攻击案例给出 AI 订阅平台、企业、个人分层落地优化路径;第 7 章总结研究结论、客观分析研究局限并展望未来支付钓鱼威胁演化方向。
2 仿 ChatGPT 支付钓鱼攻击事件完整复盘与风险剖析
2.1 事件基础概况
2026 年 7 月 10 日,澳大利亚邮件安全厂商 MailGuard 监测并拦截大规模跨境钓鱼邮件投放活动,邮件统一伪装为 ChatGPT 官方计费通知,核心诱饵为 “ChatGPT Plus 订阅扣费失败,需点击链接更新银行卡信息”。攻击者目标覆盖全球付费订阅用户,邮件由境外匿名服务器批量分发,发件域名使用日本第三方域名 imi2001.co.jp,恶意钓鱼页面托管于阿根廷共享主机域名argentina.alwaysdata.net,页面完整复刻 Stripe 官方结账界面,用于采集全套支付敏感信息。
本次攻击核心目标窃取数据清单:收件人邮箱账号、完整信用卡卡号、卡片有效期、CVC 安全码、持卡人姓名、完整账单地址。上述信息可直接用于跨境无卡盗刷、虚假实名注册、身份诈骗、黑产数据倒卖,一旦用户填写信息,财产损失可在数小时内发生。
事件关键时间线与监测节点:
2026 年 7 月 8 日:攻击者完成钓鱼页面部署、域名解析配置,基于大语言模型批量生成多版本计费钓鱼邮件文本;
2026 年 7 月 10 日 08:07(澳洲东部标准时间):境外服务器启动批量邮件投递,目标为全球拥有 ChatGPT 付费订阅记录的邮箱;
2026 年 7 月 10 日午间:MailGuard 流量监测系统捕获异常批量计费主题邮件,启动样本深度解析;
7 月 10 日全天:安全团队完成攻击链路全流程拆解,梳理邮件伪装、页面仿冒、交互欺骗全部技术细节,对外发布安全预警;
预警发布后 48 小时内:攻击者更换多组共享主机域名持续投放同模板钓鱼邮件,证明攻击具备低成本快速迭代能力;
持续监测阶段:同类仿 AI 工具计费钓鱼变种持续出现,仅替换页面托管域名,文本、交互逻辑完全复用本次攻击模板。
MailGuard 公开样本显示,本次攻击规避传统邮件安全过滤的核心手段分为两层:一是 AI 生成流畅无漏洞的计费通知文本,无高频高危诈骗关键词;二是恶意站点托管于通用共享主机,域名未提前录入钓鱼黑名单,基础域名检测无法拦截。
2.2 攻击完整链路分层拆解
本次攻击属于典型 AI 赋能跨境鱼叉式支付钓鱼,完整链路分为四层,层层利用用户对 AI 平台、第三方支付工具的信任完成信息窃取:
2.2.1 攻击筹备层:情报采集与 AI 诱饵生成
攻击者通过公开网络抓取 OpenAI 官方计费通知模板、Stripe 支付页面 UI 截图、官方品牌标识,将素材输入大语言模型微调,批量生成多版本 “支付失败” 通知邮件;同时批量注册境外低成本共享主机域名、日本第三方发件域名,完成钓鱼页面前端代码部署,页面内置表单自动收集用户提交的全部支付字段并回传攻击者后台。为提升欺骗性,攻击者额外设计交易加载弹窗、支付失败报错逻辑,模拟真实支付交互流程。
2.2.2 邮件投递层:身份伪造与双链接统一跳转
邮件显示发件人展示名称为 “Chat GPT”,与官方标准标识 “ChatGPT” 存在细微格式差异,真实发件邮箱后缀为非官方境外域名 imi2001.co.jp;邮件正文设置两处诱导入口,分别标注 “更新支付信息”“支持文档”,两处超链接底层指向完全相同的阿根廷共享主机钓鱼站点,利用用户对官方支持链接的信任降低警惕。邮件标题统一为 “Update your payment details”,正文标注精确扣费失败日期(2026 年 7 月 8 日),通过精准时间信息提升真实感。
2.2.3 凭证采集层:高仿 Stripe 页面多层交互欺骗
用户点击邮件链接后跳转仿冒 Stripe 结账页面,页面完整复刻官方布局、品牌 Logo、“Powered by stripe” 底部标识,表单包含邮箱、信用卡、持卡人、账单地址全部必填项;用户提交卡片信息后弹出 VISA 安全验证加载弹窗,制造系统正在处理交易的假象;短暂等待后页面返回红色报错提示交易失败,诱导用户重复录入多张银行卡信息,大幅提升攻击者获取有效支付数据的概率。部分攻击变种额外增加红色警告框 “PAYMENT ISSUE”,进一步强化紧迫感。
2.2.4 数据留存与二次利用层:支付信息批量存储倒卖
用户提交的全部表单数据实时上传至攻击者私有后台数据库,攻击者将完整支付数据包出售给黑产团伙,用于线上消费、信贷开户、账号劫持;同时依托收集的邮箱地址持续投放后续衍生钓鱼邮件,形成持续性信息窃取链条。
2.3 本次攻击暴露的多主体安全短板
结合 MailGuard 安全报告与攻击样本拆解结果,该事件暴露个人用户、企业邮件运维、AI 订阅平台、邮件安全厂商四方共性防护缺陷:
2.3.1 邮件安全网关检测维度单一,缺少支付场景特征识别
主流商用邮件过滤仅依靠关键词黑名单、已知恶意域名拦截,针对 AI 生成的低风险文本、托管于通用共享主机的新域名无识别能力;未针对计费、支付更新类邮件建立专属语义模型,无法识别 “扣费失败、续费中断、更新银行卡” 等诱导意图。
2.3.2 AI 订阅平台缺少官方通知渠道强标识机制
OpenAI 官方未在计费邮件中增加专属数字签名、唯一核验二维码、平台内网跳转入口,用户无法快速区分官方邮件与仿冒邮件;未在用户后台持续推送钓鱼预警,缺少常态化风险提示。
2.3.3 企业员工安全培训缺少 AI 订阅支付专项场景
企业网络安全培训多覆盖银行、电商诈骗,未针对 SaaS 工具计费通知钓鱼开展模拟演练;员工普遍存在 “正规 AI 平台通知不会是诈骗” 的固有认知,放松对链接、页面真伪的核查。
2.3.4 用户缺乏第三方支付页面真伪判别能力
多数用户无法区分 Stripe 官方支付域名与境外共享主机域名,仅依靠页面 UI、品牌标识判断页面合法性,忽略域名、证书、页面交互逻辑等核心风险特征。
反网络钓鱼技术专家芦笛强调,支付类钓鱼造成的损失不可逆,银行卡盗刷、身份盗用的事后补救成本极高,AI 订阅服务作为新型高频支付场景,防护优先级应当等同于传统金融机构,必须从邮件检测、平台规范、用户认知多维度前置拦截攻击链路。
2.4 仿 AI 支付钓鱼攻击的差异化金融风险
相较于普通账号窃取类钓鱼,本次攻击衍生的风险具备更强传导性与破坏性,风险链条分为三层:
第一,即时财产盗刷风险。完整银行卡四要素(卡号、有效期、CVC、持卡人信息)可直接用于境外线上消费,无需实体卡片验证,资金转移速度快,跨境盗刷追回难度极大;
第二,长期身份泄露风险。账单地址、邮箱、姓名组合可构建完整用户身份画像,黑产依托画像投放贷款诈骗、电信诈骗、虚假理财信息;
第三,企业关联安全风险。企业办公邮箱同步存储业务账号、客户资料,支付信息泄露后攻击者可横向渗透企业内部系统,引发批量业务数据泄露。
3 AI 驱动计费类钓鱼邮件与仿 Stripe 页面攻击技术解析
3.1 传统批量钓鱼与 AI 计费订阅钓鱼核心差异
传统广撒网钓鱼内容同质化、话术生硬、存在明显语法错误,依靠大额利诱诱导用户;本次仿 ChatGPT 支付钓鱼依托生成式 AI 完成场景定制,隐蔽性、转化率大幅提升,二者多维度对比如下表所示。
表 1 传统通用钓鱼邮件与 AI 计费订阅钓鱼邮件特征对比
表格
对比维度 传统批量钓鱼邮件 仿 ChatGPT 支付计费钓鱼邮件
文本生成方式 人工编写,语病、格式漏洞多 大语言模型生成,贴合官方计费行文,无明显漏洞
核心诱导逻辑 中奖、退款、账户冻结金钱利诱 订阅扣费失败、账号权限中断服务胁迫
仿冒主体 银行、电商、通用平台 AI 付费订阅平台、第三方支付 Stripe
页面伪装程度 简陋静态页面,缺少完整交互逻辑 完整复刻官方支付流程,包含加载弹窗、报错重试交互
域名载体 固定高危黑产域名 境外通用共享主机、低成本第三方域名
用户心理基础 陌生通知,天然存在警惕心 付费用户熟悉计费通知,警惕性大幅下降
泄露危害 账号密码泄露为主 全套银行卡、身份账单金融数据泄露
3.2 AI 钓鱼邮件三层文本伪装技术
3.2.1 官方计费话术复刻生成技术
攻击者抓取 AI 平台公开计费通知、账单邮件样本作为提示词输入大模型,模型自动复刻句式、专业术语、行文格式,规避 “转账、中奖” 等传统高危关键词,仅使用 “支付失败、更新支付方式、续费” 等业务中性词汇,绕过关键词过滤规则;同时可批量生成多版本标题、正文,筛选投放点击率最高的模板大规模分发。
3.2.2 发件身份分层伪造技术
分为两层伪造逻辑:一是展示名视觉伪造,将官方标准名称 “ChatGPT” 改写为 “Chat GPT”,空格细节差异肉眼快速浏览难以识别;二是发件域名完全剥离,使用无关境外第三方域名作为真实发件地址,普通用户仅查看展示名称忽略底层域名校验。
3.2.3 双链接混淆诱导技术
邮件设置功能描述完全不同的两处超链接,一处标注业务操作入口、一处标注帮助文档,底层统一指向同一恶意站点,利用用户 “帮助文档一定安全” 的认知盲区,提升点击转化率。
3.3 仿冒 Stripe 支付页面多层交互欺骗技术
本次攻击的核心创新点在于完整复刻支付全流程交互,单纯 UI 仿冒已无法实现同等欺骗效果,三层欺骗逻辑如下:
3.3.1 视觉资源全量复刻
页面完整复制 Stripe 官方结账表单布局、品牌 Logo、底部 “Powered by stripe” 版权标识、国家地区下拉菜单,配色、输入框样式、按钮交互效果与官方页面高度一致,无明显视觉破绽。
3.3.2 加载弹窗心理暗示欺骗
用户提交卡片信息后弹出 VISA 安全验证加载弹窗,搭配进度动画,模拟真实第三方支付安全校验流程,利用用户对银行 3D 验证机制的固有认知,降低对页面真实性的怀疑,延长用户停留时间。
3.3.3 交易失败重试诱导机制
加载完成后页面返回红色报错提示,告知交易校验失败,引导用户重复录入多张银行卡信息,单次攻击可收集多组有效支付数据,大幅提升攻击收益。
3.4 面向付费用户的社会工程诱导底层逻辑
本次钓鱼邮件能够突破用户安全意识,依托三层支付场景专属心理诱导逻辑,也是所有 SaaS 计费钓鱼通用攻击手段:
服务权限丧失焦虑心理:付费用户持续依赖 ChatGPT 办公、研发,收到 “扣费失败将关闭订阅权限” 提示后,优先担心业务中断,压缩风险核查思考时间;
第三方支付权威信任心理:Stripe 作为全球通用合规支付服务商,用户默认带有 Stripe 标识的页面具备安全背书,不会主动核验域名真伪;
精准时间细节增强可信度:邮件标注精确扣费失败日期,匹配用户月度自动扣费周期,提升邮件真实感,弱化用户质疑。
4 四层联动计费钓鱼智能检测框架与 Python 代码实现
针对本次攻击暴露的传统过滤机制短板,本文搭建发件域名鉴权层 — 计费文本语义风险识别层 — 恶意链接多层解码解析层 — 支付页面仿冒特征校验层四层联动智能检测框架,部署于邮件网关前置节点,所有内外网计费主题邮件先经过框架自动化风险打分,高危邮件直接隔离,预警邮件附加醒目红色风险提示后投递至收件箱。框架全部模块采用轻量化 Python 开发,兼容企业本地邮件系统、云邮箱安全插件,下文分模块提供完整可运行工程代码。
4.1 框架整体运行流程
邮件网关抓取邮件原始发件头、标题、正文、全部内嵌 URL、页面跳转参数;
第一层:域名鉴权模块比对发件域名与 AI 平台官方基准域名,识别境外陌生第三方发件域名;
第二层:文本语义模块提取标题、正文,匹配计费场景高危诱导关键词,判断文本是否存在支付更新胁迫意图;
第三层:链接解析模块循环多层解码还原真实站点域名,筛查共享主机类高危域名;
第四层:页面特征校验模块对链接站点发起轻量爬虫,提取页面品牌标识、表单字段,判断是否仿冒 Stripe 支付页面;
四层模块输出独立风险分值,加权计算综合风险得分,划分 “安全 / 预警 / 高危拦截” 三级处置策略;
检测结果同步写入安全审计日志,高危邮件推送告警至企业安全运维平台,同步更新钓鱼威胁情报库。
4.2 第一层:发件域名鉴权校验模块代码实现
本模块解决本次攻击中境外第三方域名伪造发件身份问题,内置 OpenAI 官方可信域名白名单,识别非白名单境外发件域名并标记风险。
import re
from urllib.parse import urlparse
# AI订阅平台官方可信域名白名单
TRUSTED_OFFICIAL_DOMAINS = {"openai.com", "chatgpt.com"}
# 境外高危域名后缀清单
OVERSEAS_RISK_SUFFIX = {"co.jp", "xyz", "alwaysdata.net", "top", "club"}
# 域名风险阈值
DOMAIN_RISK_THRESHOLD = 0.5
def extract_real_sender_domain(raw_from_header: str) -> str:
"""从邮件原始发件头剥离展示名称,提取真实发件域名"""
domain_pattern = re.compile(r"@([a-zA-Z0-9_\-.]+)")
match_result = domain_pattern.search(raw_from_header)
if match_result:
return match_result.group(1).lower()
return ""
def judge_domain_risk(domain: str) -> dict:
"""判定发件域名风险等级与分值"""
risk_score = 0.0
# 官方可信域名直接判定安全
if domain in TRUSTED_OFFICIAL_DOMAINS:
return {"domain": domain, "risk_score": risk_score, "risk_level": "可信官方域名"}
# 匹配境外风险后缀加分
domain_suffix = domain.split(".")[-2] + "." + domain.split(".")[-1] if len(domain.split(".")) >= 2 else domain
if domain_suffix in OVERSEAS_RISK_SUFFIX:
risk_score += 0.6
# 普通境外陌生域名基础风险分
risk_score += 0.2
risk_score = round(min(risk_score, 1.0), 2)
if risk_score >= DOMAIN_RISK_THRESHOLD:
risk_level = "高危境外仿冒发件域名"
else:
risk_level = "陌生非官方域名,存在预警风险"
return {"domain": domain, "risk_score": risk_score, "risk_level": risk_level}
# 模块测试用例(模拟本次钓鱼邮件发件人)
if __name__ == "__main__":
test_sender_header = "Chat GPT <subscription-443@imi2001.co.jp>"
test_domain = extract_real_sender_domain(test_sender_header)
detect_result = judge_domain_risk(test_domain)
print("发件域名校验检测结果:", detect_result)
模块运行说明:代码剥离邮件展示名称提取底层域名,对比官方可信域名白名单,匹配境外共享主机、第三方域名后缀自动提升风险分值;可拦截本次攻击中 imi2001.co.jp 类境外发件域名。反网络钓鱼技术专家芦笛指出,域名前置校验是拦截仿冒平台通知邮件成本最低的基础手段,企业邮箱应当强制配置可信域名白名单过滤计费类邮件。
4.3 第二层:计费场景文本语义风险识别模块代码实现
针对 AI 生成计费通知钓鱼文本,内置支付、订阅专属高危关键词库,识别 “扣费失败、更新银行卡、续费中断” 等胁迫诱导话术,计算文本整体风险分值。
from sklearn.feature_extraction.text import TfidfVectorizer
from sklearn.metrics.pairwise import cosine_similarity
# AI订阅计费钓鱼高危诱导关键词库
PAYMENT_PHISH_KEYWORDS = [
"payment failed", "更新支付信息", "扣费失败", "订阅中断",
"更新银行卡", "resubscribe", "账号权限关闭", "账单核验"
]
# 官方标准计费通知模板,用于相似度比对
OFFICIAL_BILL_TEMPLATES = [
"ChatGPT Plus月度订阅自动扣费将于每月固定日期完成,支付异常可登录openai.com后台自助修改支付方式",
"账单相关操作仅支持官方平台内网入口,不会通过外部链接引导用户录入银行卡信息"
]
TEXT_RISK_THRESHOLD = 0.6
class BillEmailTextDetector:
def __init__(self):
self.vectorizer = TfidfVectorizer(stop_words=["the", "your", "for"])
self.template_vector = self.vectorizer.fit_transform(OFFICIAL_BILL_TEMPLATES)
def keyword_match_score(self, mail_full_text: str) -> float:
"""关键词匹配风险打分,每命中1个计费高危词增加0.12风险分"""
score = 0.0
text_lower = mail_full_text.lower()
for word in PAYMENT_PHISH_KEYWORDS:
if word in text_lower:
score += 0.12
return min(score, 0.55)
def template_similarity_risk(self, mail_text: str) -> float:
"""计算邮件文本与官方计费模板相似度,相似度越低风险越高"""
mail_vec = self.vectorizer.transform([mail_text])
max_similar = cosine_similarity(mail_vec, self.template_vector).max()
return 1 - max_similar
def total_text_risk_judge(self, mail_subject: str, mail_body: str) -> dict:
full_text = mail_subject + mail_body
key_score = self.keyword_match_score(full_text)
sim_risk_score = self.template_similarity_risk(full_text)
total_score = round((key_score + sim_risk_score) / 2, 2)
if total_score >= TEXT_RISK_THRESHOLD:
risk_level = "高危计费诱导文本"
elif total_score >= 0.3:
risk_level = "预警:可疑支付胁迫话术"
else:
risk_level = "文本无计费钓鱼风险"
return {
"keyword_risk_score": key_score,
"template_similarity_risk": sim_risk_score,
"total_text_risk_score": total_score,
"risk_level": risk_level
}
# 模块测试(模拟本次钓鱼邮件标题+正文)
if __name__ == "__main__":
detector = BillEmailTextDetector()
test_title = "Update your payment details"
test_body = "The last payment for your ChatGPT Plus subscription failed on July 8, 2026. Click link to update card info to avoid account lock."
result = detector.total_text_risk_judge(test_title, test_body)
print("计费文本语义检测结果:", result)
模块价值说明:区别于通用关键词过滤,本模块聚焦订阅支付场景专属词汇,叠加与官方计费通知文本相似度比对,可精准识别 AI 生成仿账单邮件;企业运维人员可根据自身使用的 SaaS 工具持续扩充关键词库,适配多类 AI 平台计费钓鱼样本。
4.4 第三层:多层 URL 解码与共享主机域名检测模块代码实现
解决本次攻击中恶意链接托管于阿根廷共享主机alwaysdata.net、URL 编码混淆的识别痛点,循环多层解码还原真实域名,筛查共享主机高危域名后缀。
import re
import requests
from urllib.parse import unquote, urlparse
# URL正则匹配规则
URL_EXTRACT_PATTERN = re.compile(r"http[s]?://(?:[a-zA-Z0-9$_@.&+!*(),]|%[0-9a-fA-F]{2})+")
# 共享主机、境外高危域名后缀黑名单
SHARE_HOST_RISK_SUFFIX = {"alwaysdata.net", "co.jp", "xyz", "online"}
LINK_RISK_THRESHOLD = 0.6
def multi_layer_url_decode(encode_url: str, decode_loop: int = 3) -> str:
"""循环多层URL解码,还原混淆加密后的真实站点地址"""
real_url = encode_url
for _ in range(decode_loop):
real_url = unquote(real_url)
return real_url
def extract_all_mail_url(raw_mail_content: str) -> list:
"""提取邮件内全部独立URL链接,去重返回"""
url_list = URL_EXTRACT_PATTERN.findall(raw_mail_content)
unique_urls = list(set(url_list))
return unique_urls
def url_domain_risk_check(real_url: str) -> dict:
"""解析链接域名,判断是否为共享主机高危站点"""
parse_result = urlparse(real_url)
domain = parse_result.netloc.lower()
risk_score = 0.0
# 拆分域名后缀匹配黑名单
domain_split = domain.split(".")
if len(domain_split) >= 2:
suffix_pair = domain_split[-2] + "." + domain_split[-1]
if suffix_pair in SHARE_HOST_RISK_SUFFIX:
risk_score += 0.6
# 非官方支付域名基础风险加分
trusted_pay_domain = "stripe.com"
if trusted_pay_domain not in domain:
risk_score += 0.2
risk_score = min(risk_score, 1.0)
risk_score = round(risk_score, 2)
if risk_score >= LINK_RISK_THRESHOLD:
risk_level = "高危共享主机钓鱼链接"
elif risk_score >= 0.3:
risk_level = "可疑非官方支付域名链接"
else:
risk_level = "链接域名安全"
return {
"original_encode_url": real_url,
"real_domain": domain,
"risk_score": risk_score,
"risk_level": risk_level
}
# 模块测试(模拟本次攻击编码恶意链接)
if __name__ == "__main__":
test_encode_link = "https%3A%2F%2Fargentina.alwaysdata.net/g/?Jl=11d06d458b6fofc61b6eeb2e5959dcf18a"
mail_content = f"Update payment: {test_encode_link} Support article: {test_encode_link}"
url_list = extract_all_mail_url(mail_content)
for url in url_list:
decode_url = multi_layer_url_decode(url)
detect_res = url_domain_risk_check(decode_url)
print("恶意链接解析检测结果:", detect_res)
4.5 第四层:仿 Stripe 支付页面前端特征校验模块代码实现
本模块为本次研究新增专属检测层,弥补传统检测仅识别域名的短板,通过轻量爬虫抓取页面资源、表单字段、品牌标识,判断站点是否仿冒 Stripe 官方支付页面,解决共享主机新域名无黑名单记录的漏报问题。
import requests
from bs4 import BeautifulSoup
# Stripe官方页面特征标识列表
STRIPE_PAGE_FEATURES = ["Powered by stripe", "Card information", "CVC", "MM/YY", "VISA SECURE"]
# 仿冒页面特征风险阈值,命中2项及以上判定高危
PAGE_RISK_HIT_COUNT = 2
PAGE_RISK_THRESHOLD = 0.6
def crawl_page_simple(target_url: str) -> str:
"""轻量爬虫抓取页面HTML源码,关闭证书校验适配测试环境"""
headers = {"User-Agent": "MailGatewayDetectBot/1.0"}
try:
resp = requests.get(target_url, headers=headers, timeout=4, verify=False)
return resp.text.lower()
except Exception:
return ""
def stripe_fake_page_detect(page_html: str) -> dict:
"""统计页面命中Stripe支付特征数量,判定仿冒风险"""
hit_count = 0
for feature in STRIPE_PAGE_FEATURES:
if feature.lower() in page_html:
hit_count += 1
risk_score = 0.0
if hit_count >= PAGE_RISK_HIT_COUNT:
risk_score = 0.7
risk_score = round(risk_score, 2)
if risk_score >= PAGE_RISK_THRESHOLD:
risk_level = "高危仿冒Stripe支付页面"
else:
risk_level = "页面无支付仿冒特征"
return {
"hit_feature_num": hit_count,
"page_risk_score": risk_score,
"risk_level": risk_level
}
# 模块测试(模拟本次钓鱼站点页面检测)
if __name__ == "__main__":
test_fake_site = "https://argentina.alwaysdata.net/g/?Jl=11d06d458b6fofc61b6eeb2e5959dcf18a"
page_html = crawl_page_simple(test_fake_site)
detect_result = stripe_fake_page_detect(page_html)
print("支付页面仿冒特征检测结果:", detect_result)
4.6 四层模块综合风险判定逻辑
四层模块独立输出 0~1 区间风险分值,结合本次攻击链路危害程度分配固定权重:域名鉴权 0.25、计费文本语义 0.3、恶意链接解析 0.25、支付页面特征校验 0.2;加权求和得到综合风险得分,划分三级自动化处置规则:
综合得分≥0.6:高危计费钓鱼邮件,系统自动隔离,推送安全运维实时告警,写入高危攻击样本情报库;
0.3≤综合得分<0.6:预警可疑计费邮件,邮件顶部插入红色醒目风险提示,标记至独立风险文件夹;
综合得分<0.3:低风险正常计费通知邮件,无拦截、无额外提示,正常投递至收件箱。
四层框架形成完整事前拦截闭环:前三层完成邮件元数据、文本、链接基础检测,第四层针对支付场景新增页面特征校验,专门解决本次攻击中共享主机新域名绕过黑名单的核心漏洞,有效弥补传统邮件安全设备检测维度缺失问题。
5 基于芦笛闭环防御理论的 AI 订阅支付钓鱼全域防护体系
反网络钓鱼技术专家芦笛提出的支付场景反钓鱼闭环防御核心逻辑为:邮件网关技术前置拦截、平台官方安全规范约束、用户场景化安全认知提升、泄露事件标准化应急复盘迭代四大环节持续循环,每一次钓鱼攻击处置完成后,将攻击文本、恶意域名、页面特征同步更新至四层检测框架规则、安全培训素材、平台通知规范,实现防护能力动态迭代升级。结合本次仿 ChatGPT 支付钓鱼事件暴露的全部短板,搭建四方协同长效防护体系。
5.1 第一层:四层联动智能检测技术前置拦截(事前核心防护)
以第四章四层检测框架为核心基础,配套三项基础域名安全协议加固,构建邮件入口全链路技术屏障:
全站强制部署 SPF、DKIM、DMARC 三重域名认证:AI 订阅平台、企业自有邮箱全部开启域名消息鉴权,拦截仿冒官方域名的外部计费邮件投递;芦笛强调,三重域名协议可拦截 80% 仿冒平台发件人钓鱼邮件,是低成本基础防护核心手段;
零信任外部链接沙箱预加载:所有计费主题邮件内外部链接自动在云端沙箱完成页面渲染、特征检测,禁止用户直接访问原始站点,从源头阻断支付信息录入路径;
支付页面特征情报持续更新:安全厂商、企业运维定期汇总仿 Stripe、PayPal 支付页面特征,同步更新第四层检测模块特征库,快速识别新共享主机钓鱼站点。
5.2 第二层:AI 订阅平台官方计费通知标准化规范(源头减少攻击空间)
从平台侧压缩攻击者仿冒空间,制定三项强制运营规范:
计费通知增加唯一数字签名与内网核验入口:所有账单、支付更新邮件附加平台专属校验码,用户仅可通过官网后台账单页面修改支付方式,邮件不附带任何外部修改链接;
多渠道同步风险预警:平台官网、客户端弹窗、官方公众号持续推送仿计费钓鱼攻击预警,明确告知用户官方不会通过邮件外链要求录入银行卡完整信息;
统一官方发件域名管控:所有计费邮件仅通过固定可信域名分发,不存在第三方代理发件渠道,简化用户域名核验标准。
5.3 第三层:企业与个人分层场景化安全认知培训(消减人为突破风险)
本次攻击证明通用反诈培训无法抵御 AI 订阅计费钓鱼,需搭建分层、常态化场景化培训机制:
企业月度专项钓鱼模拟演练:每月向全体员工投放仿 ChatGPT、Claude 等常用 AI 工具计费钓鱼测试邮件,统计点击、录入信息人员名单,针对高频中招员工开展一对一辅导,演练模板复用本次攻击真实样本;
分层培训内容设计:办公研发人员重点培训 AI 订阅账单邮件真伪识别、Stripe 支付页面域名核查方法;财务人员重点培训支付类邮件外部链接风险管控;
轻量化风险识别指引:向用户普及三层快速核验标准:核查发件底层域名、拒绝邮件外链修改银行卡、录入支付信息前核对站点顶级域名是否为stripe.com。
5.4 第四层:支付信息泄露事件应急处置与复盘迭代闭环(持续优化机制)
闭环防护的关键在于事件处置后的全维度复盘,解决攻击样本无法自动更新防护规则的短板,分为四步标准化处置流程:
实时快速响应:四层检测框架识别高危计费钓鱼邮件后,自动隔离邮件、拦截对应恶意域名访问,安全运维 1 小时内完成攻击样本全量解析;
支付泄露风险快速处置:若出现用户录入银行卡信息情况,第一时间推送银行卡挂失、冻结盗刷指引,同步联动支付机构拦截可疑境外交易;
全维度漏洞复盘:区分技术检测漏洞、平台规范缺陷、用户认知短板三类攻击突破根源,完整记录本次攻击的域名、文本、页面特征;
防护体系同步迭代:将复盘获取的攻击特征更新至四层检测框架关键词、域名黑名单、页面特征库,新增对应场景培训素材,优化平台计费通知规范,完成单次攻击样本闭环迭代。
6 仿 ChatGPT 支付钓鱼事件对 AI 订阅平台与企业的落地优化路径
国内企业普遍采购各类付费 AI 订阅工具,员工办公邮箱高频接收计费通知,与本次攻击暴露的风险场景高度重合,结合前文四层检测框架、闭环防御体系,给出四项可直接落地的分层安全优化方案。
6.1 企业邮件运维技术落地:轻量化部署四层智能检测框架
中小企业无需采购高价商用邮件安全网关,可基于内网服务器部署本文 Python 四层检测代码,分两阶段落地:第一阶段上线域名校验、恶意链接解析模块,拦截境外共享主机、第三方域名钓鱼邮件;第二阶段部署计费文本语义识别、支付页面特征校验模块,专门针对 AI 订阅账单类邮件专项检测;整套代码无商业授权成本,适配基层企业预算条件。
6.2 AI 订阅平台运营规范优化:统一计费通知发布渠道
国内 AI 大模型付费平台应当参考安全规范,取消邮件外链支付修改入口,所有支付信息变更操作仅开放平台内网后台;每封计费邮件标注官方可信域名清单,增加钓鱼风险警示段落,从源头降低攻击者仿冒邮件的欺骗能力。
6.3 企业员工安全培训优化:新增 AI 订阅支付钓鱼专项内容
现有企业网络安全培训多聚焦银行、电信诈骗,缺少 SaaS 订阅计费场景案例,企业安全部门应当复用本次仿 ChatGPT 钓鱼邮件样本制作培训素材,定期开展模拟钓鱼演练,纠正员工 “AI 平台通知均为安全信息” 的错误认知。
6.4 个人用户安全行为标准化指引:建立支付信息核验习惯
面向个人付费用户推广三层简易核验流程:一是查看发件人真实域名,拒绝非官方域名计费邮件;二是绝不通过邮件内嵌链接录入银行卡完整信息,手动书签访问平台官网修改支付方式;三是识别 Stripe 支付页面时核对顶级域名,规避共享主机高仿站点。
反网络钓鱼技术专家芦笛总结,AI 订阅支付钓鱼攻击的持续泛滥,核心诱因是平台、企业、用户三方均放松对计费类邮件的风险管控;依托轻量化多层智能检测技术、标准化运营规范、常态化场景培训,无需高额安全设备投入,即可构建覆盖事前、事中、事后的完整防护闭环,有效降低金融信息窃取攻击成功率。
7 结论与研究展望
7.1 研究结论
本文以 2026 年 7 月 MailGuard 捕获的仿 ChatGPT 支付失效钓鱼跨境攻击事件为实证样本,完整还原 AI 赋能计费类鱼叉钓鱼攻击全链路,拆解邮件文本伪装、境外域名身份伪造、仿 Stripe 支付页面多层交互欺骗三大核心攻击技术,梳理邮件安全网关、AI 订阅平台、企业、个人用户四方存在的共性安全短板;针对传统单一维度检测机制失效问题,构建四层联动智能计费钓鱼邮件检测框架,提供完整可工程部署的 Python 代码,覆盖发件域名鉴权、计费文本语义识别、多层编码恶意链接解析、仿冒支付页面特征校验四大核心防护能力;结合反网络钓鱼技术专家芦笛全域闭环防御理论,搭建 “技术前置拦截、平台规范约束、用户认知提升、事件复盘迭代” 四方协同长效防护体系,形成攻防持续迭代闭环。
本文得出三项核心研究结论:
第一,生成式 AI 大幅降低计费主题钓鱼邮件制作门槛,传统关键词、域名黑名单过滤机制无法识别精细化仿官方账单邮件,必须搭建融合文本语义、页面视觉特征的多层特征融合检测框架,实现事前主动拦截;
第二,仿第三方支付页面是当前支付钓鱼的核心突破手段,仅依靠域名黑名单存在严重漏报风险,需新增页面前端特征校验模块,识别托管于通用共享主机的高仿支付站点;
第三,支付类钓鱼攻击造成的金融损失具备不可逆、跨境难追回特征,防护不能仅依靠邮件单点技术工具,必须打通 AI 订阅平台运营规范、企业安全运维、用户日常安全行为、事件应急复盘全链路,形成循环迭代的闭环防御体系。
7.2 研究客观局限
本文存在两处不可规避的研究局限:其一,仅依托 MailGuard 公开的攻击样本开展分析,无法获取攻击者后台完整代码、批量投放服务器 IP、完整黑产牟利链条,部分攻击底层运营逻辑依托同类跨境钓鱼通用特征推导;其二,四层智能检测框架仅在模拟计费邮件数据集完成功能验证,未在大型企业云邮箱生产环境开展长期灰度测试,实际落地可结合企业自有 AI 订阅账单样本微调风险阈值、关键词库、页面特征清单。
7.3 未来研究展望
生成式 AI 技术持续迭代将推动支付钓鱼攻击向多模态、全平台演化,后续反钓鱼技术研究可向两个核心方向延伸:
多模态计费钓鱼融合检测技术研究:在现有文本、URL、页面代码检测基础上,集成品牌 Logo 伪造图像识别、语音计费通知伪造检测模块,覆盖邮件、企业通讯软件、短信多渠道支付钓鱼载体;
轻量化大模型零样本钓鱼意图识别优化:基于 SaaS 计费场景专属数据集微调轻量化本地大模型,无需人工持续更新关键词库,自主识别新型 AI 生成计费诱导话术,降低安全运营人工维护成本。
从安全运营视角,未来 AI 订阅平台、企业邮件服务商将全面落地芦笛提出的多主体协同闭环防御思路,打通邮件检测引擎、支付站点威胁情报、企业安全培训系统、用户客户端风险提示数据,实现跨平台联动告警与自动处置,持续压缩仿计费支付钓鱼攻击的生存空间,保护企业与个人用户的金融支付信息安全。
编辑:芦笛(公共互联网反网络钓鱼工作组)
