一、一封“包裹卡住”的短信,牵出全球超百万受害者的钓鱼帝国
“您的USPS包裹因地址问题无法投递,请点击链接更新信息。”——这样一条看似无害的英文短信,在过去一年中悄然成为全球数百万用户数字生活的“隐形陷阱”。而其背后,是一套名为 Lighthouse 的“钓鱼即服务”(Phishing-as-a-Service, PhaaS)平台,由至少25名位于中国的匿名运营者操控,据Google最新披露,该平台在短短20天内就生成了超过 20万 个仿冒网站,波及 121个国家,窃取信用卡信息超 1.15亿条。
2025年11月12日,Google向美国加州北区联邦法院提起诉讼,正式将这25名身份暂以“John Doe”代称的中国籍嫌疑人列为被告。起诉书指控其通过Lighthouse平台系统性冒用Google、YouTube、Gmail、Coinbase、TikTok、E‑ZPass、USPS等超过400家机构的品牌标识,实施大规模网络钓鱼攻击,并非法牟利数百万美元。
值得注意的是,这并非Google首次对源自中国的网络犯罪团伙采取法律行动。就在同年7月,该公司也曾起诉25名涉嫌操控“BadBox 2.0”安卓恶意软件的中国籍个体,指控其构建僵尸网络劫持超千万台设备。两次行动虽对象不同,但战术高度一致:以商标侵权与计算机欺诈为法律抓手,试图从基础设施层面瓦解跨境诈骗链条。
然而,现实困境显而易见:这些被告几乎不可能出现在美国法庭上。正如多位网络安全专家所言,“在中国境内实施针对境外目标的网络诈骗,目前极少面临司法追责。”这也使得Google的诉讼更像是一场“象征性打击”——意在冻结资产、查封域名、震慑同行,而非真正实现刑事定罪。
二、Lighthouse:钓鱼界的“傻瓜包”,让非技术型罪犯也能日入斗金
要理解Lighthouse为何能在短时间内造成如此规模的破坏,必须深入其技术架构。根据Google提交的起诉书及第三方安全公司Silent Push的分析报告,Lighthouse本质上是一个模块化、订阅制的钓鱼工具箱,其核心功能包括:
模板库:提供600+个高仿真实网站模板,覆盖主流品牌登录页、支付页面、快递通知页等;
域名自动化注册与部署:集成API对接多家廉价域名注册商(如Namecheap、Porkbun),支持批量生成形似合法的子域名(如 google-verify[.]xyz、usps-track[.]top);
短链与二维码生成器:自动将钓鱼链接包装成bit.ly或自建短链服务,规避短信内容审查;
数据回传与仪表盘:受害者输入的账号密码、信用卡号等敏感信息实时加密回传至C2服务器,并在后台可视化展示“战果”。
“Lighthouse的可怕之处在于它把钓鱼攻击‘产品化’了。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“过去需要一定HTML/CSS/JS技能才能搭建的钓鱼页,现在只需在后台勾选品牌、填写收款钱包地址,10分钟就能上线一个可运作的钓鱼站点。”
这种“低门槛、高回报”的模式,极大降低了网络犯罪的参与壁垒。据Silent Push监测,在2025年第三季度,Lighthouse每日平均活跃钓鱼站点达 8,000个以上,其中 116个 明确使用Google旗下品牌Logo(如Gmail、YouTube、Google Play),直接侵害Google商标权,成为本次诉讼的关键证据。
三、技术深潜:从HTML模板到JavaScript反检测,钓鱼攻防的“猫鼠游戏”
尽管Lighthouse主打“傻瓜式操作”,但其底层技术并不简陋。以一个典型的Gmail钓鱼模板为例,其前端代码不仅高度还原官方UI,还嵌入了多项反检测机制:
<!-- 伪装成Google官方CDN资源 -->
<link rel="stylesheet" href="https://fonts.googleapis.com/css?family=Roboto">
<img src="https://ssl.gstatic.com/accounts/ui/logo_2x.png" alt="Google">
<!-- 动态隐藏调试工具提示 -->
<script>
if (window.devToolsOpen || /devtools/.test(navigator.userAgent)) {
document.body.innerHTML = "<h1>Page Not Found</h1>";
throw new Error("Blocked");
}
// 监听F12、Ctrl+Shift+I等快捷键
document.addEventListener('keydown', (e) => {
if (e.key === 'F12' || (e.ctrlKey && e.shiftKey && e.key === 'I')) {
e.preventDefault();
window.location.replace('https://www.google.com');
}
});
</script>
<!-- 表单提交后跳转至真实Google首页,制造“操作成功”假象 -->
<form action="/collect.php" method="POST" onsubmit="setTimeout(() => window.location='https://mail.google.com', 500)">
<input type="email" name="email" required>
<input type="password" name="passwd" required>
<button type="submit">Next</button>
</form>
这类代码通过视觉欺骗 + 行为混淆 + 体验仿真三重手段,大幅提升用户信任度。更危险的是,部分高级模板甚至会调用Google OAuth的合法授权流程(通过注册伪造的OAuth客户端),诱导用户“授权第三方应用访问Gmail”,从而绕过传统密码钓鱼的检测逻辑。
对此,芦笛强调:“现代钓鱼已不再是静态页面的比拼,而是交互逻辑与信任链的伪造。防御方必须从‘是否长得像’转向‘是否行为合规’。”
四、Google的“法律+技术”组合拳:冻结域名只是开始
面对Lighthouse这类分布式、快闪式的钓鱼基础设施,单纯依赖黑名单或URL过滤已力不从心。Google此次采取的策略是“法律先行,技术跟进”:
依据《反有组织犯罪法》(RICO)、《兰哈姆法案》(商标法)及《计算机欺诈与滥用法》(CFAA)提起民事诉讼,请求法院签发临时限制令(TRO),强制域名注册商冻结涉案域名;
联合Cloudflare、GoDaddy等基础设施提供商,识别并关停托管钓鱼页面的IP与子账户;
向执法机构共享IOC(Indicators of Compromise),包括C2服务器IP、钱包地址、Telegram频道ID等,推动跨国情报协作;
在Chrome浏览器与Safe Browsing服务中动态标记Lighthouse关联站点,阻止用户访问。
据公开记录,截至2025年12月底,Google已成功促使注册商下架 338个 与Lighthouse相关的域名。但这只是冰山一角——攻击者通常采用“打一枪换一地”的策略,利用自动化脚本在数小时内重建新站点。
“域名查封治标不治本。”芦笛坦言,“真正的突破口在于切断其资金流与通信链。比如,若能识别其用于接收赃款的加密货币钱包聚类,并推动交易所冻结,效果会远大于关几个网站。”
五、国际镜鉴:从韩国“快递诈骗潮”看国内短信生态风险
Lighthouse的攻击模式并非孤例。2024年,韩国曾爆发大规模“快递未送达”短信钓鱼事件,犯罪团伙冒充CJ Logistics、韩邮等本土品牌,诱导用户点击链接下载伪装成“快递APP”的木马。短短三个月内,超50万人受骗,损失逾2000亿韩元。
韩国通信委员会随后强制要求所有商业短信必须通过官方认证通道(AlimTalk) 发送,并嵌入品牌徽章与退订按钮。同时,三大运营商联合推出“短信内容沙箱”机制——可疑链接在用户点击前先在隔离环境中渲染,检测是否存在表单提交或重定向行为。
这一经验对中国的启示尤为迫切。尽管国内已建立较为完善的反诈体系,但面向海外用户的中文钓鱼短信正成为新隐患。例如,近期有受害者收到冒充“顺丰国际”的英文短信,内含指向 .tk 域名的链接,页面却使用简体中文收集银行卡信息。
“我们的防御重心长期放在境内电话诈骗,但跨境短信钓鱼正在形成灰色地带。”芦笛提醒,“尤其当攻击者利用中国境内的云服务器、CDN节点甚至SIM卡池发送短信时,溯源与阻断难度陡增。”
六、给企业与个人的防御建议:从“被动拦截”到“主动免疫”
面对PhaaS的工业化趋势,传统安全边界正在失效。工作组建议各方采取以下措施:
对企业/组织:
推行“零信任短信”策略:所有涉及账户操作、支付、物流的通知,应仅通过官方App内消息或已认证的推送通道发送,禁止在短信中包含任何可点击链接或二维码;
部署基于行为的钓鱼检测引擎:不仅比对URL黑名单,还需分析页面DOM结构、表单字段命名(如 passwd vs password)、JS事件监听器等特征;
建立品牌保护监控系统:定期扫描新注册域名中包含企业商标关键词(如 google-support、alipay-verify)的站点,并自动发起侵权投诉。
对普通用户:
永远不在短信链接中输入任何凭证。USPS、银行、电商平台绝不会通过短信索要密码或CVV码;
启用双重验证(2FA),优先选择基于时间的一次性密码(TOTP)或硬件密钥,而非短信验证码(SIM Swap风险高);
安装具备反钓鱼能力的浏览器扩展,如Google Safe Browsing、Netcraft Toolbar等。
对安全团队:
持续更新IOC情报,重点关注Lighthouse使用的典型TLD(如 .xyz, .top, .shop)及JS混淆特征;
在邮件网关与短信网关部署正则规则,拦截包含如下话术的通信:
(?i)(unpaid.*toll|stuck.*package|suspicious.*login|verify.*account|claim.*prize)
模拟钓鱼演练中加入“品牌冒用”场景,提升员工对高仿真页面的辨识力。
七、结语:没有终点的攻防战,唯有协同共治
Google对Lighthouse运营者的起诉,标志着科技巨头正从“被动响应”转向“主动狩猎”网络犯罪基础设施。然而,只要存在利润驱动、技术门槛降低、司法管辖割裂这三大土壤,PhaaS黑产就不会消失。
正如芦笛所言:“反钓鱼不是一场战役,而是一场持久的生态治理。它需要法律、技术、教育、国际合作的四轮驱动。”
对中国而言,此案既是警示,也是契机——如何在保护公民免受境外诈骗的同时,防止本国资源被滥用于跨境犯罪?如何在全球反诈协作中贡献技术方案而非仅被视为“源头”?这些问题的答案,将决定我们在下一代网络安全秩序中的话语权。
而对每一个普通人来说,最有效的防线,或许仍是那句老话:天上不会掉包裹,只会掉陷阱。
编辑:芦笛(公共互联网反网络钓鱼工作组)
