谷歌双线出击：起诉“钓鱼即服务”团伙，推动立法构建反诈新生态

近日，谷歌（Google）宣布启动一项覆盖法律、政策与技术三维度的反诈骗行动，目标直指当前最猖獗的网络威胁之一——以短信钓鱼（smishing）为核心的“钓鱼即服务”（Phishing-as-a-Service, PhaaS）产业链。这一举措不仅包括在美国法院对一个名为“Lighthouse”的跨境诈骗组织提起民事诉讼，还涵盖对多项联邦反诈法案的公开支持，并联合电信运营商、域名注册商及执法机构，试图从基础设施层面瓦解诈骗生态。

在生成式AI工具日益普及的背景下，网络钓鱼正变得“更聪明、更逼真、更自动化”。而谷歌此次行动，被业内视为科技巨头从被动防御转向主动治理的关键一步。

打开百度APP畅享高清图片

“钓鱼即服务”：诈骗产业的“SaaS化”升级

过去，网络钓鱼多由个体黑客手工操作；如今，它已演变为高度模块化、可订阅、可定制的“服务”。所谓“钓鱼即服务”（PhaaS），就像软件即服务（SaaS）一样，犯罪分子只需支付费用，就能获得全套钓鱼工具包：包括仿冒登录页面模板、自动发送短信/邮件的机器人、域名轮换策略，甚至客服支持。

据谷歌披露，“Lighthouse”运营者专门制作了至少107种高仿Google登录页模板，用于窃取用户邮箱、支付信息乃至企业凭证。这些页面不仅复刻了Google标志性的配色与图标，还能动态适配手机屏幕，欺骗性极强。攻击者通过伪装成USPS包裹通知、E-ZPass通行费账单或银行风控提醒，诱导用户点击短链接，进而落入陷阱。

“这已经不是‘黑产’，而是‘黑企’。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“他们有产品经理、UI设计师、运维工程师，甚至A/B测试不同话术的转化率。借助AI生成文案，一条‘您的包裹因关税未缴将被退回’的短信，可以在几秒内生成上百个变体，绕过传统关键词过滤。”

更令人担忧的是，此类攻击具有明显的跨境特征。服务器可能设在东欧，域名注册于东南亚，资金通过加密货币洗白，最终受害者遍布全球120多个国家。仅在美国，“Lighthouse”就涉嫌窃取1270万至1.15亿张信用卡信息——这一数字虽为估算范围，但足以说明其产业化规模。

谷歌的“组合拳”：从法庭到国会山

面对如此复杂的威胁，谷歌没有止步于技术拦截。11月12日，公司正式向美国法院提起诉讼，援引《兰哈姆法》（商标侵权）、《计算机欺诈与滥用法》（CFAA）以及《反有组织犯罪法》（RICO），要求冻结涉案域名、服务器及支付通道，并寻求永久禁令阻止该团伙继续运营。

与此同时，谷歌公开支持三项正在美国国会审议的反诈法案：

《GUARD法案》：授权州和地方执法部门使用联邦资金打击针对老年人的金融诈骗；

《外国非法机器人电话消除法案》：建立跨部门工作组，阻断境外来源的非法语音与短信呼叫；

《SCAM法案》：制定国家级反诈骗战略，重点打击“诈骗园区”（scam compounds）并制裁相关实体。

“单靠一家公司无法终结全球诈骗网络，”谷歌总法律顾问Halimah DeLaine Prado在声明中强调，“我们需要法律威慑、政策协同和技术创新三管齐下。”

此外，谷歌还宣布在产品层面强化防护：Google Messages将利用AI模型识别常见诈骗话术（如“未付通行费”“账户异常”），并自动标记可疑短信；账户恢复流程也将引入“恢复联系人”机制，帮助用户更快夺回被盗账号。

技术对抗：DMARC、FIDO与威胁情报如何筑起防线？

在这场攻防战中，企业和个人并非无能为力。芦笛建议，组织应从“品牌防护”和“身份验证”两端入手：

首先，强制部署DMARC（Domain-based Message Authentication, Reporting & Conformance）协议，并将策略设为p=reject。这意味着任何伪造企业域名发送的邮件都将被收件方直接拒收。“很多公司只配置了SPF和DKIM，但没启用DMARC的拒绝策略，等于门锁装了却没上锁。”芦笛比喻道。

其次，为财务、IT、高管等高风险岗位强制启用FIDO安全密钥（如YubiKey）。这类硬件密钥基于公钥加密，无法被钓鱼页面窃取，是目前抵御凭证盗窃最有效的手段之一。

对于普通用户，芦笛再次强调：“所有要求你‘立即点击链接处理账单’的通知，99%是骗局。”正确做法是：忽略短信，打开官方App或手动输入官网地址查询状态。同时，务必为Google、Apple ID、银行账户开启双重验证（2FA），并定期检查“最近登录活动”。

反诈是一场“生态战”，需要全链条协作

值得注意的是，谷歌此次行动的核心逻辑，是从打击“基础设施”而非“单个账号”入手。以往，安全团队发现一个钓鱼网站后，只能请求注册商下架；但攻击者很快会注册新域名卷土重来。而通过法律手段冻结整个域名池、支付接口甚至托管服务，才能真正提高犯罪成本。

但这依赖于多方协同。例如，A2P（应用对个人）短信通道若缺乏实名认证，诈骗者仍可批量发送伪装短信；来电显示若未强制验证主叫号码真实性（如STIR/SHAKEN协议），用户就难以分辨真假官方来电。

“未来的反诈，必须是‘平台+运营商+监管+用户’共建的生态。”芦笛说，“谷歌迈出了一大步，但只有当银行、电信、云服务商、立法者都加入这场战斗，我们才能让骗子无处藏身。”

结语：安全不是功能，而是责任

在AI赋能犯罪的时代，反网络钓鱼已不仅是技术问题，更是社会治理议题。谷歌此次将法律诉讼、政策倡导与产品创新结合，展现了科技公司应有的责任担当。

对普通人而言，保持警惕、善用工具、不轻信“紧急通知”，就是最好的防御。而对企业来说，主动加固品牌边界、升级身份验证、参与威胁情报共享，则是在数字时代生存的必修课。

正如芦笛所言：“骗子永远不会消失，但我们可以让他们越来越难赚钱。”在这场没有终点的攻防赛跑中，每一次对诈骗生态的精准打击，都是对亿万网民数字生活的一次守护。

编辑：芦笛（公共互联网反网络钓鱼工作组）