谷歌重拳出击：起诉境外短信钓鱼团伙，打响反诈“域名战”

近日，科技巨头谷歌（Google）在美国多个州法院提起民事诉讼，剑指一个长期活跃、疑似位于中国境外的短信钓鱼（smishing）犯罪团伙。该团伙通过伪装成E-ZPass通行费通知、美国邮政（USPS）包裹投递提醒、银行账户异常警告，甚至冒用Google品牌本身，向大量美国用户发送诱导性短信，引导其点击仿冒网站链接，进而窃取登录凭证、信用卡信息乃至企业邮箱权限。

这一行动不仅标志着大型科技公司开始主动运用法律武器打击网络钓鱼产业链，也再次将“短信钓鱼”这一日益猖獗的网络威胁推至公众视野。据《金融时报》报道，谷歌已联合电信运营商与域名注册商，试图通过法院禁令冻结涉案域名和相关基础设施，并援引《兰哈姆法》（Lanham Act，美国商标法）及《计算机欺诈与滥用法》（CFAA）等法律条款，追究诈骗者的法律责任。

打开百度APP畅享高清图片

从“未缴费”到“包裹待领”：钓鱼短信如何精准收割？

所谓“短信钓鱼”，即“Smishing”（SMS + Phishing），是网络钓鱼的一种变体。攻击者不再依赖电子邮件，而是利用短信的高打开率与用户对官方机构的信任感，实施社会工程攻击。

“这类短信往往营造出一种紧迫感——比如‘您的E-ZPass账户因欠费将被停用’‘USPS有包裹无法投递，请立即确认地址’，甚至‘Google检测到异常登录，请验证身份’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时解释道，“普通人一看到这些关键词，很容易下意识点开链接，殊不知那背后是一个精心搭建的仿冒网站。”

这些钓鱼网站通常在视觉上高度模仿真实官网，连图标、配色、表单布局都几可乱真。一旦用户输入账号密码或银行卡信息，数据便会被实时传送到攻击者控制的服务器。更危险的是，部分钓鱼页面还会诱导用户下载“安全验证App”或“更新插件”，实则为恶意软件，可进一步窃取设备权限或监控屏幕操作。

芦笛指出：“这类攻击早已不是‘单打独斗’，而是形成了分工明确的黑色产业链——有人负责批量注册域名和短链接，有人编写钓鱼页面模板，有人购买手机号码池进行群发，还有人专门负责洗钱和销赃。跨境、匿名、快进快出，是他们的典型特征。”

谷歌为何要“亲自下场”打官司？

过去，面对网络钓鱼，科技公司多采取被动防御策略：比如在浏览器中加入安全警告、在邮件系统中部署过滤规则、或向域名注册商举报恶意站点。但这些手段往往“治标不治本”——攻击者只需换个域名或IP，就能卷土重来。

此次谷歌选择提起民事诉讼，是一次战略升级。“通过法律途径，谷歌不仅可以要求法院强制冻结涉案域名、服务器和资金账户，还能迫使第三方平台（如域名注册商、云服务商）配合披露幕后操控者的信息。”芦笛分析称，“更重要的是，这释放了一个强烈信号：冒用知名品牌实施诈骗，将面临法律追责，而不仅是技术对抗。”

值得注意的是，谷歌此次援引的《兰哈姆法》主要用于保护商标权益。这意味着，只要诈骗者使用了Google、USPS、E-ZPass等受保护的品牌标识或名称，就可能构成商标侵权，即便其服务器设在境外，也可能因在美国境内造成消费者混淆而被追责。

普通用户如何守住“第一道防线”？

面对日益逼真的钓鱼攻击，普通用户该如何自保？芦笛给出了几条实用建议：

绝不轻信“紧急通知”类短信：官方机构极少通过短信索要敏感信息或要求立即付款。遇到此类消息，应直接打开官方App或手动输入官网地址查询，而非点击链接。

启用多因素认证（MFA）：尤其是Google、银行、邮箱等关键账户。即使密码泄露，攻击者也难以绕过第二重验证（如手机验证码、安全密钥）。

开启登录活动提醒：Google等平台提供“新设备登录通知”功能，一旦账户在陌生地点或设备登录，会立即推送警报。

警惕短链接和拼写错误域名：钓鱼者常用bit.ly、tinyurl等短链隐藏真实网址，或注册类似“g00gle-security.com”这样的仿冒域名。鼠标悬停（电脑端）或长按（手机端）可预览真实链接。

“记住一句话：真正的官方永远不会让你通过短信链接输密码。”芦笛强调。

企业也不能掉以轻心

此次事件中，不仅个人用户受害，不少小微企业也成为目标。攻击者一旦获取企业员工的邮箱或财务系统权限，可能发起商务邮件诈骗（BEC），造成巨额资金损失。

对此，芦笛建议企业采取以下措施：

部署DMARC/DKIM/SPF邮件认证协议，并将策略设为“拒收”（reject），防止攻击者伪造企业域名发送钓鱼邮件；

配置短信网关过滤规则，自动拦截包含可疑链接或关键词的入站短信；

定期开展钓鱼模拟演练，提升员工识别能力；

订阅威胁情报服务，及时获取最新仿冒域名、短链和攻击手法预警，快速封禁相关资源。

“网络安全不是IT部门的事，而是全员责任。”他说。

反钓鱼：一场没有终点的攻防赛跑

尽管谷歌此次行动值得肯定，但专家普遍认为，彻底根除短信钓鱼仍面临巨大挑战。一方面，全球域名注册体系相对分散，部分注册商审核宽松；另一方面，虚拟手机号、加密货币支付等工具为犯罪分子提供了天然掩护。

“技术防护+法律威慑+用户教育，三者缺一不可。”芦笛总结道，“我们不可能让所有人都成为安全专家，但至少可以让‘不点陌生链接’成为像‘过马路看红绿灯’一样的本能反应。”

目前，谷歌尚未公布该钓鱼团伙的具体规模或受害者人数，但其行动无疑为全球反诈协作树立了新范式。在这场看不见硝烟的战争中，每一次对恶意基础设施的摧毁，都是对普通网民数字生活的一次守护。

正如一位网络安全从业者所言：“骗子永远在进化，但我们也不能停下脚步。”

编辑：芦笛（公共互联网反网络钓鱼工作组）