Google重拳出击短信钓鱼黑产：仿冒E-ZPass、USPS短信成重灾区

你是否收到过这样的短信？

“【USPS】您的包裹因地址错误被扣留，请点击链接更新信息。”

“【E-ZPass】账户存在未支付通行费$89.50，请立即处理以免停用。”

看似来自政府机构或知名服务品牌的“温馨提示”，实则可能是精心设计的钓鱼陷阱。近日，科技巨头Google正式向美国联邦法院提起诉讼，剑指一个主要位于境外（据称集中在中国）的网络犯罪团伙，指控其大规模实施“短信钓鱼”（smishing）攻击，滥用包括E-ZPass、美国邮政（USPS）甚至Google自身品牌在内的可信标识，诱骗用户点击恶意链接，窃取银行账户、社保号等敏感信息。

这是全球科技企业首次对短信钓鱼产业链发起系统性法律打击，标志着反网络钓鱼战场正从邮件、网页扩展至移动通信这一“最后一公里”。

打开百度APP畅享高清图片

诈骗短信为何防不胜防？

与传统垃圾邮件不同，短信因其高打开率和“官方感”成为攻击者的新宠。据Google披露，该犯罪组织运营名为“Lighthouse”的“钓鱼即服务”（Phishing-as-a-Service）平台，提供上百种模板，可一键生成仿冒各大品牌的登录页面。

更令人警惕的是，这些短信往往通过非法SIM卡池（SIM farms）和境外短信网关批量发送，使用短链接（如bit.ly变体）或多跳跳转技术——先跳转至Cloudflare保护页或验证码界面，再导向最终钓鱼网站——以此绕过运营商和手机厂商的初步过滤机制。

“攻击者深谙‘信任迁移’心理。”公共互联网反网络钓鱼工作组技术专家芦笛分析道，“当一条短信显示‘USPS’发来，多数人会下意识认为这是官方通知。而一旦点击链接，哪怕页面有细微破绽，紧张情绪也会压倒理性判断。”

Google称，该团伙已在全球120多个国家造成超百万受害者，在美国境内疑似窃取了1270万至1.15亿张信用卡信息，影响范围涵盖普通消费者、个体商户乃至小型企业主。

Google为何亲自下场起诉？

此次诉讼并非单纯维权，而是一次“基础设施级”的反制行动。Google援引《反欺诈与腐败组织法》（RICO）、《计算机欺诈与滥用法》（CFAA）及《兰哈姆法案》（商标法），不仅要求法院永久禁止该团伙运营，还申请冻结其域名、服务器、支付账户等资产。

值得注意的是，Google内部调查发现，Lighthouse平台甚至内置了仿冒Google登录页的模板，用于窃取Gmail、Google Workspace账户。“他们连我们自己都不放过。”Google总法律顾问Halimah DeLaine Prado在声明中表示，“这不仅是犯罪，更是对数字生态信任基础的破坏。”

与此同时，Google正与美国电信运营商、执法机构合作，追踪并封禁用于发送诈骗短信的SIM卡集群和短信网关IP，并推动对恶意域名的快速接管与下线。

技术攻防：短信安全为何如此脆弱？

当前美国短信生态系统仍严重依赖老旧的SS7和SMPP协议，缺乏端到端身份验证机制。这意味着，任何接入短信通道的服务商都可能伪造发送方ID（即“Caller ID Spoofing”），让诈骗短信显示为“USPS”或“E-ZPass”。

虽然行业已在推进STIR/SHAKEN框架（用于验证电话呼叫来源），但该标准尚未全面覆盖A2P（应用对个人）短信场景。此外，大量灰色通道通过海外虚拟运营商或未注册的短信平台绕过监管，形成“打一枪换一个地方”的游击模式。

“短信本质上是一种‘广播式’通信，设计之初就没考虑安全验证。”芦笛指出，“在缺乏强制身份绑定的情况下，仿冒官方号码几乎零成本。”

这也解释了为何即使用户安装了安全软件，仍可能收到来自“可信来源”的钓鱼短信——因为源头就已被伪造。

用户如何自保？专家给出实用建议

面对日益逼真的短信钓鱼，芦笛建议公众采取以下措施：

绝不点击短信中的链接，尤其是涉及“缴费”“包裹异常”“账户冻结”等内容。正确的做法是：手动打开官方App（如USPS Mobile、E-ZPass官方应用）或直接访问官网查询状态。

警惕“紧迫感”话术。诈骗者常用“24小时内失效”“账户将被停用”等制造焦虑，诱导快速决策。

关闭非必要短信通知权限。部分安卓手机支持屏蔽未知号码短信，iOS用户可开启“过滤未知发件人”功能。

启用双重验证（MFA），但避免使用短信验证码作为唯一第二因子。优先选择认证器App（如Google Authenticator）或FIDO2安全密钥。

对企业而言，芦笛强调应部署移动威胁防护（MTP）解决方案，结合实时威胁情报对员工手机上的短信、App行为进行监控；同时推动IT策略，禁止通过短信处理财务或敏感操作。

监管与行业：堵住灰色通道是关键

Google此次诉讼同步呼吁国会加快通过三项 bipartisan 法案：

GUARD法案：加强对老年人等易受害群体的反诈保护；

《外国机器人电话消除法案》：设立专项工作组打击境外非法通信；

《诈骗园区问责与动员法案》：针对东南亚等地的“诈骗园区”，切断资金流并救助受害者。

“技术手段能缓解症状，但根治需要制度闭环。”芦笛表示，“只有强制A2P短信发送者实名注册、推行全链路身份验证，才能压缩黑产生存空间。”

结语：信任不能被“群发”

在这个人人依赖手机接收通知的时代，一条短信可能关乎账户安全、财产甚至身份。Google的起诉虽是重要一步，但反钓鱼终究是一场全民防御战。

下次当你收到“紧急通知”时，请记住：真正的公共服务机构，绝不会通过短信链接索要密码或银行卡号。多一分怀疑，少一次点击，或许就能守住自己的数字生活防线。

本文依据CNBC 2025年11月12日报道《Google sues cybercrime group behind E-ZPass, USPS text phishing scams》撰写

编辑：芦笛（公共互联网反网络钓鱼工作组）