文章总结： 文章复盘“黑斧”跨国犯罪网络如何利用BEC、AiTM绕过MFA、伪造域名与加密货币洗钱，致590万欧元损失，提出零信任+硬件密钥+DMARC+线下二次确认防御方案。 综合评分： 88 文章分类： 威胁情报,漏洞分析,网络安全,安全意识,解决方案

技术复盘：一个导致590万欧元损失的跨国网络犯罪网络是如何运作的？

原创

Kit Chung

安全圈动向

2026年1月14日 07:55 广东

大家好，如果提到“尼日利亚王子”，大家可能都会会心一笑。但今天我要聊的这个组织，可不是发几封垃圾邮件骗点小钱那么简单。

就在上周五，欧洲刑警组织（Europol）联合西班牙警方搞了个大动作——他们在西班牙塞维利亚、马德里等地展开突袭，一举逮捕了 34名 嫌疑人。这些人背后，是一个跨国犯罪巨头：“黑斧（Black Axe）”。

这帮人搞出的动静有多大？根据官方披露的数据，他们涉及的诈骗金额超过 593万欧元（约合690万美元）。

作为一个搞技术的，我看到这则新闻时，关注点不仅仅是抓了多少人，而是这群人是如何利用技术手段，构建起一个庞大的全球洗钱与诈骗网络的。

今天，咱们就从技术和安全的角度，扒一扒这个“黑斧”帮。

01 这一波“收网”行动，到底发生了什么？

这次行动代号很硬核，是针对“黑斧”帮长期调查的一次集中爆发。

根据Europol的通报，西班牙国家警察在巴伐利亚州刑事调查局的配合下，对境内多个窝点进行了精准打击：

• 塞维利亚：

  28人被捕（重灾区）

• 马德里：

  3人被捕

• 马拉加、巴塞罗那：

  共3人被捕

除了抓人，警方还冻结了 11.9万欧元 的银行账户资产，并在现场查获了 6.6万欧元 现金。但这仅仅是冰山一角。

02 “黑斧”是谁？西非黑帮的“数字化”进化

很多做安全的朋友可能听说过 Black Axe。

这个组织 1977年 起源于尼日利亚，最初可能只是个校园兄弟会，但后来逐渐演变成了一个等级森严的暴力犯罪集团。据称他们在全球拥有 30,000名 注册成员。

“该犯罪网络涉及广泛的犯罪活动，包括网络诈骗、毒品贩运、人口贩运、绑架、武装抢劫，甚至欺诈性的通灵仪式。”

你看，这就是现在的黑帮，业务多元化，且高度依赖“网络赋能”。

他们在2022年就被国际刑警组织的“胡狼行动（Operation Jackal）”打击过一次，当时抓了75人。到了2024年7月，警方又没收了他们500万美元的资产和加密货币。但为什么他们屡禁不止？因为技术门槛在降低，而攻击收益在飙升。

03 硬核拆解：他们是如何利用技术手段“搞钱”的？

作为IT人，我们需要透过现象看本质。文中提到了几个关键词：商业电子邮件入侵（BEC）、浪漫诈骗（杀猪盘）、信用卡欺诈、洗钱。

很多兄弟可能会觉得，“这不就是社会工程学吗？有啥技术含量？”

大错特错。 现在的BEC诈骗，早就不是简单的“猜密码”了，它已经形成了一条完整的技术杀伤链。

1. 侦察阶段：精准画像

他们不会盲目撒网。攻击者会利用 OSINT（开源情报） 工具，甚至购买地下黑产数据，精准锁定企业的高管、财务人员。他们清楚你的组织架构、你正在进行的并购案、甚至你和供应商的付款账期。

2. 武器化与投递：绕过MFA

你以为开了双因素认证（MFA）就安全了？

现在的攻击者常使用 中间人攻击（AiTM） 工具包（比如Evilginx2）。他们伪造一个和微软/谷歌一模一样的登录页面，当你输入账号密码和验证码时，他们实时在后台捕获你的 Session Token（会话令牌）。

技术难点： 绕过MFA。 实现原理： 拿到Token后，直接注入浏览器Cookie，无需再次验证，直接接管邮箱。

3. 潜伏与利用：隐蔽的转发规则

攻入邮箱后，他们通常不会马上动手。他们会设置收信规则（Inbox Rules）。例如：

If subject contains “Invoice” or “Payment”, move to “RSS Feeds” folder and mark as read.

这意味着，真正的财务邮件发过来时，受害者根本看不到！黑客在后台静静观察，直到有一笔大额交易即将发生。

4. 执行与变现（Action）：中间人欺诈

到了付款日，黑客会利用伪造的域名（比如把 company.com 变成 cornpany.com）发出邮件，或者直接用受害者的邮箱发信：“原账户正在审计，请将款项打入新的账户…”

04 洗钱网络：从法币到加密货币的“黑洞”

文中提到了 “Money Mules”。这也是我们需要警惕的一环。

在技术层面，这涉及到了复杂的资产混淆技术。“黑斧”组织拿到钱后，会迅速通过层层转账（Layering），将资金分散到数百个“钱骡”账户中，然后利用OTC（场外交易） 兑换成USDT等加密货币。

这也是为什么警方虽然抓了人，但追回的资金（冻结11万欧 vs 损失590万欧）比例往往不高的原因。区块链的匿名性在某种程度上成为了他们的保护伞，加大了溯源取证的难度。

作为IT人的反思

这次欧洲警方的行动虽然大快人心，但也给我们敲响了警钟。面对“黑斧”这种组织严密、技术手段日益精进的犯罪集团，单一的防火墙或杀毒软件已经失效了。

作为IT从业者，我们在给公司做安全建设时，必须从“零信任（Zero Trust）”的角度出发：

1. 加强身份验证：

   推广FIDO2/WebAuthn等抗钓鱼的硬件密钥，别再只迷信短信验证码了。

2. 邮件安全网关：

   配置好DMARC、SPF和DKIM，这是防范伪造邮件的基础。

3. 流程风控：

   技术解决不了所有问题。财务汇款超过一定金额，必须电话或线下二次确认，这才是防BEC的最强“物理防火墙”。

保持警惕，守好网关。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung《技术复盘：一个导致590万欧元损失的跨国网络犯罪网络是如何运作的？》