Google重拳出击！起诉中国为据点的“短信钓鱼三人组”，揭开新型移动诈骗黑幕

近日，科技巨头Google向美国纽约南区联邦法院提起诉讼，剑指一个长期活跃、以中国为据点的短信钓鱼犯罪团伙——被业内称为“Smishing Triad”（短信钓鱼三人组）。该团伙利用高度自动化的“钓鱼即服务”（PhaaS）平台，大规模发送伪装成美国邮政（USPS）、电子收费系统E-ZPass、银行或电商平台的短信，诱导用户点击链接并输入银行卡信息，进而将其绑定至攻击者控制的Apple Pay或Google Pay钱包中，实现快速盗刷。

这起案件不仅揭示了当前网络诈骗产业链的高度专业化与模块化，也标志着科技公司正从被动防御转向主动法律打击。而对普通用户而言，一条看似寻常的“快递未送达”或“过路费欠缴”短信，可能就是一场金融灾难的开始。

打开百度APP畅享高清图片

一条短信，百万受害者：钓鱼三人组如何运作？

据KrebsOnSecurity报道，Google此次起诉的对象是一个由至少25名匿名成员组成的犯罪网络，其核心工具是一款名为“Lighthouse”的钓鱼软件套件。这款工具堪称“傻瓜式诈骗神器”——即使毫无技术背景的用户，也能在几分钟内搭建出高度仿真的支付页面，并批量发送钓鱼短信。

这些短信内容极具迷惑性，例如：“您的包裹因地址错误无法投递，请立即支付$4.99重新安排配送”（冒充USPS），或“E-ZPass账户异常，需验证信用卡以避免停用”。一旦用户点击链接，便会跳转至一个伪造的支付页面，要求输入卡号、有效期、CVV码，甚至后续的银行短信验证码。

关键陷阱在于：这个页面并非单纯收集信息，而是实时尝试将用户的银行卡绑定到攻击者持有的手机设备上的Apple Wallet或Google Pay中。当用户按提示输入银行发来的“一次性验证码”时，实际上是在授权绑卡——而攻击者随即就能用这张卡在高端电子产品店、珠宝商等场所消费。

据Google披露，Lighthouse已在全球120多个国家造成超100万受害者，仅在任意8天周期内，就有约2.5万个活跃钓鱼域名轮换使用，以逃避检测。

背后的“企业化”犯罪生态

更令人震惊的是，该团伙的组织结构堪比正规公司。Google在诉状中指出，整个犯罪网络分为五大职能团队：

开发组：负责维护Lighthouse平台，提供600多个针对400多家品牌（包括Google、PayPal、Chase等）的钓鱼模板；

数据经纪组：提供目标用户手机号、消费习惯等数据；

短信群发组：操控大量SIM卡池或虚拟短信通道，实现海量投送；

变现组：负责将盗取的支付凭证转化为现金或商品；

运营支持组：通过Telegram频道提供客服、教程，甚至招募新成员。

“这不是几个黑客在地下室捣鼓，而是一个分工明确、流水线作业的跨国诈骗企业。”公共互联网反网络钓鱼工作组技术专家芦笛表示，“他们甚至在YouTube上发布‘教学视频’，教人如何用Lighthouse赚钱——当然，后来被下架了。”

值得注意的是，尽管主要运营者被认为位于中国，但其基础设施大量依赖中国本土云服务商，如腾讯云和阿里云。这也让国际执法面临跨境协作难题。

技术攻防：为何传统防护频频失灵？

芦笛指出，这类移动钓鱼之所以难以拦截，核心在于其“动态性”与“合法性伪装”。

首先，攻击者使用自动化脚本每天注册成千上万个新域名，并通过CDN隐藏真实IP。许多域名仅存活数小时，传统黑名单机制根本来不及响应。

其次，钓鱼网站普遍部署SSL证书，显示“https”和绿色锁标，让用户误以为“安全”。更有甚者，部分站点会模仿真实商家的UI设计、加载官方Logo（如Google图标），进一步增强可信度。

“最危险的是，他们不再只靠短信钓鱼，还结合虚假电商网站。”芦笛解释道，“比如你在Google搜索某款耳机，点进一个价格超低的网店，下单后在结账页被索要短信验证码——你以为是在完成购买，其实是在帮骗子绑你的卡。”

这种“搜索+广告+钓鱼”组合拳，绕过了用户对陌生短信的天然警惕，杀伤力更强。

用户该如何自保？专家给出三条铁律

面对如此精密的攻击，普通人是否只能坐以待毙？芦笛给出了清晰、可操作的防护建议：

第一，绝不通过短信链接输入任何敏感信息。

无论是USPS、银行还是电商平台，正规机构绝不会通过短信索要银行卡号或验证码。如有疑问，请手动打开官方App或输入官网地址查询。

第二，关闭非必要场景下的移动钱包自动绑卡功能。

部分银行允许用户设置“仅限本人设备绑卡”或开启“绑卡二次确认”。建议开启此类保护，并定期检查Apple Pay/Google Pay中是否有陌生卡片。

第三，启用多因素认证（MFA），但慎用短信验证码。

虽然MFA是基础防线，但短信验证码易受SIM交换攻击。优先选择认证器App（如Microsoft Authenticator）或物理安全密钥。

对企业而言，芦笛建议加强品牌监控，部署相似域名告警系统，并与邮件/Web安全网关联动，对包含“delivery fee”“toll violation”“verify card”等关键词的外部流量进行深度检测。

Google的法律战：能终结钓鱼产业吗？

此次诉讼中，Google不仅援引商标侵权，更罕见地动用《反有组织欺诈及腐败组织法》（RICO），试图将整个犯罪网络定性为“非法企业”，从而追究连带责任。若胜诉，Google可申请法院强制域名注册商、托管平台（如阿里云、腾讯云）关停相关资源。

“这招很聪明。”芦笛评价道，“一旦获得默认判决，Google就能拿着法院文件去找中国云厂商施压：‘你们平台上跑着已被定罪的犯罪服务，不处理就可能被列为共犯。’”

但他也坦言，短期震慑容易，根除极难。“只要利润足够高，换个名字、重建Telegram频道、推出Lighthouse 2.0，对他们来说只是成本问题。真正的解法，是提高他们的运营成本，压缩利润空间。”

结语：没有“完美受害者”，只有不断进化的防线

从仿冒快递通知到虚假电商结账，网络钓鱼正变得越来越“生活化”、越来越“无感”。它不再依赖恐吓或低级拼写错误，而是精准利用人们对效率、便利和信任的依赖。

正如芦笛所说：“安全不是让用户变得更 paranoid（偏执），而是让系统变得更 resilient（有韧性）。”

在这场猫鼠游戏中，科技公司、监管机构、云服务商与每一位用户，都是防线的一环。而今天Google的这一纸诉状，或许正是推动整个生态协同反诈的关键一步。

（本文部分内容参考自KrebsOnSecurity报道，原文链接：https://krebsonsecurity.com/2025/11/google-sues-to-disrupt-chinese-sms-phishing-triad/）

编辑：芦笛（公共互联网反网络钓鱼工作组）