行業新聞與博客

隨着短信釣魚攻擊激增，谷歌已採取法律行動，試圖摧毀一個可能在中國運營的釣魚即服務（PhaaS）網絡。

11月12日，這家美國科技巨頭在紐約南區地方法院對 25 名未具名的個人提起民事訴訟，指控他們是“對包括谷歌客户在內的數百萬無辜受害者進行持續不斷的釣魚攻擊，以竊取個人和財務信息的外國網絡犯罪分子”。

該團伙被指控運營“Lighthouse”，這是一個被網絡威脅行為者用來生成和部署大規模短信釣魚攻擊的 PhaaS 工具包。

在隨訴訟提交的聲明中，谷歌總法律顧問哈利瑪·德萊恩·普拉多表示，該工具包與至少 107 個網站模板有關，這些模板的登錄界面都帶有谷歌的品牌標識。這些欺詐性網站經過專門設計，旨在誘騙用户相信這些網站是合法的。

燈塔與“微笑三部曲”

Lighthouse 已被用於部署短信釣魚攻擊，尤其是一些被稱為“短信釣魚三巨頭”的鬆散聯繫的組織，其目標是澳大利亞的主要西方金融機構和銀行，以及更廣泛的亞太地區 (APAC)。

根據 Silent Push 2025 年 4 月的一份報告，Smishing Triad 組織自 2023 年以來一直在運作，但最新版本的 Lighthouse 工具包於 2025 年 3 月 18 日在 Telegram 上發佈。

Smishing Triad 攻擊的目標涵蓋多個行業，包括郵政、物流、電信、運輸、金融、零售和公共部門。

在提交的文件中，Lighthouse 被描述為一個“面向網絡犯罪分子的傻瓜式釣魚工具包”，旨在幫助那些無法執行大規模釣魚活動的網絡犯罪分子。

據稱，該工具包提供了 600 多個用於創建欺詐性網絡釣魚網站的模板，“每個模板都旨在模仿 400 多個實體或機構的合法網站”，投訴稱。

Lighthouse 用户可以按地理區域、國家 / 地區、官方網站和更新時間篩選和搜索模板。這家科技巨頭表示，至少有 116 個模板的登錄界面帶有 Google 徽標（YouTube、Gmail、Google 或 Google Play）。

據報道，該工具包被用於在 2023 年 7 月至 2024 年 10 月期間啓動 32,094 個不同的美國郵政服務 (USPS) 網絡釣魚網站，平均每個網站獲得 50,000 次頁面訪問。

谷歌的德萊恩·普拉多也聲稱，Lighthouse 已經針對超過 121 個國家的一百多萬人實施了攻擊。

“這種騙局很簡單：犯罪分子發送短信，誘使收件人點擊鏈接並泄露電郵憑證、銀行信息等。他們通過在欺詐網站上非法展示我們的商標和服務來利用谷歌和其他品牌的聲譽，”德萊恩·普拉多解釋道。

在提交的文件中，谷歌還表示，Lighthouse 是一個複雜的中心，其中的專業團隊（從數據收集者到短信垃圾郵件發送者和被盜數據經紀人）通過專門的論壇進行協作，以部署、改進和利用大規模網絡釣魚攻擊牟利。

谷歌認為，由於 Lighthouse 組織具有高度適應性和去中心化的特性，能夠迅速調整基礎設施並以最少的資源發起新的網絡釣魚活動，因此關閉 Lighthouse 行動需要持續的長期努力。

谷歌支持三項美國法案，以加強打擊詐騙活動

除了採取法律行動（谷歌表示，法律行動可以解決單個網絡釣魚和短信釣魚詐騙問題）之外，谷歌還倡導制定更廣泛的公共政策，以應對網絡釣魚和短信釣魚詐騙的更廣泛威脅。

這家科技巨頭宣佈支持美國國會的三項兩黨法案：

• 谷歌表示，《保護未受保護的老年退休人員免受欺騙法案》（GUARD Act）“將賦予州和地方執法部門權力，使他們能夠利用聯邦撥款資金調查專門針對退休人員的金融欺詐和詐騙行為”。
• 《外國自動撥號電話消除法案》“將成立一個特別工作組，專門研究如何最好地阻止源自國外的非法自動撥號電話，防止它們到達美國消費者手中”。
• 《詐騙營地問責和動員法案》（SCAM 法案）“旨在制定一項國家戰略，以打擊詐騙營地，加強制裁，併為這些營地中的人口販運倖存者提供支持”。

這家科技巨頭還宣佈推出新的防詐騙功能，包括利用人工智能技術標記詐騙信息（如虛假通行費或包裹遞送）的系統，以及擴展賬户恢復選項，新增“恢復聯繫人”功能，允許用户請求朋友或家人恢復賬户。