Google重拳出击短信钓鱼黑产：一场横跨太平洋的“E-ZPass”骗局如何撕开数字信任防线？

科技巨头Google罕见地在美国联邦法院提起多起民事诉讼，矛头直指一个长期活跃、疑似位于中国境外的短信钓鱼（smishing）犯罪团伙。据《金融时报》披露，该团伙大规模冒用E-ZPass（美国电子道路收费系统）、USPS（美国邮政服务）、银行机构乃至Google自身品牌，向数百万用户发送“未缴费通知”“包裹待领取”“账户异常”等高诱导性短信，引导受害者点击短链接，进入精心仿制的登录页面，窃取账号密码、信用卡信息，甚至实施后续的企业邮箱入侵。

这不是一次普通的法律行动。Google此次援引《兰哈姆法》（Lanham Act）——美国核心商标保护法律——并结合《计算机欺诈与滥用法》（CFAA），试图从法律源头切断钓鱼基础设施的运营能力。更值得注意的是，Google已联合多家电信运营商与域名注册商，申请法院禁令以冻结数百个关联域名、IP地址及短链服务。

这场跨国诉讼背后，折射出一个令人不安的趋势：短信渠道正成为网络钓鱼的新主战场，而攻击者已构建起高度分工、跨境协作、快速迭代的“钓鱼即服务”（Phishing-as-a-Service）产业链。

一、“你的E-ZPass账户欠费87美元”：一条短信如何撬动百万美元黑产？

“您的E-ZPass账户因未支付通行费已被暂停，请立即点击下方链接完成付款，否则将面临罚款。”——这类短信在过去一年中频繁出现在美国东海岸居民的手机上。表面看是普通催缴通知，实则暗藏杀机。

受害者点击链接后，会被重定向至一个外观与E-ZPass官网几乎一致的页面，要求输入账户名、密码、信用卡号及CVV码。页面甚至能根据用户IP自动切换州属标识（如纽约、新泽西），增强可信度。一旦提交，数据即刻上传至攻击者控制的服务器，信用卡信息被转售至暗网，而账户凭证则用于撞库攻击其他平台——包括企业邮箱。

Google在诉状中指出，该团伙不仅冒用第三方品牌，还直接伪造“Google Security Alert”类短信，声称“检测到异常登录”，诱导用户点击“验证身份”链接。讽刺的是，这些链接最终指向的钓鱼页，竟也模仿了Google的Material Design界面，连“使用Google账号登录”按钮都惟妙惟肖。

“这已不是小打小闹的个人诈骗，而是工业化流水线作业。”公共互联网反网络钓鱼工作组技术专家芦笛分析道，“从话术模板、域名注册、页面托管到资金洗白，每个环节都有专人负责，甚至提供‘客户支持’——如果你在钓鱼页输错密码三次，还会弹出‘联系客服’的WhatsApp链接。”

二、技术拆解：短信钓鱼的“四重伪装术”

要理解此类攻击为何高效，需深入其技术实现逻辑。相比传统邮件钓鱼，短信钓鱼（smishing）具有更高打开率（短信平均打开率达98%）和更强紧迫感（“包裹2小时内过期”），但其技术门槛也在快速提升。

（1）短链接跳转链：隐藏真实目的地

攻击者极少直接在短信中放置钓鱼域名，而是通过多层短链接跳转混淆追踪。例如：

短信内容：【USPS】您的包裹无法投递！请立即确认地址：bit.ly/3XyZabc

↓

bit.ly/3XyZabc → redirect.to/track?id=12345

↓

redirect.to/track?id=12345 → phishing-usps[.]xyz/login

这种设计有三大优势：

规避短信内容过滤关键词（如“login”“verify”）；

延迟暴露真实钓鱼域，增加安全厂商响应时间；

利用合法短链服务商（如Bitly、TinyURL）的信誉绕过初步检测。

芦笛团队曾监测到一个案例：攻击者在24小时内注册了超过200个短链，每个仅使用10分钟即废弃，形成“快闪式”攻击流。

# 示例：解析短链接跳转链（简化版）

import requests

def resolve_shortlink(url, max_hops=5):

visited = []

current = url

for _ in range(max_hops):

try:

resp = requests.head(current, allow_redirects=False, timeout=5)

visited.append(current)

if 'Location' in resp.headers:

current = resp.headers['Location']

else:

break

except Exception as e:

break

return visited

chain = resolve_shortlink("https://bit.ly/3XyZabc")

print("跳转链:", " → ".join(chain))

# 输出示例: https://bit.ly/3XyZabc → https://redirect.to/track?id=12345 → https://phishing-usps.xyz/login

（2）动态钓鱼页面：按设备/地理位置自适应渲染

现代钓鱼页面已非静态HTML。为提升转化率，攻击者会根据访问者的User-Agent、IP地理位置、屏幕尺寸动态调整内容：

若检测到iOS设备，显示Apple Pay支付界面；

若IP来自加州，则显示“DMV车辆注册”相关字段；

若来自企业网络（如AS号归属律所、会计师事务所），则加载“Microsoft 365登录”模板。

这种“上下文感知钓鱼”大幅提高欺骗成功率。更危险的是，部分页面集成MFA钓鱼框架（如Evilginx2），可实时代理用户与真实Google登录页的交互，窃取会话Cookie，绕过多因素认证。

（3）域名快速轮换与CDN滥用

为对抗封禁，攻击者采用“域名喷洒”（Domain Spraying）策略：一次性注册数百个相似域名（如 usps-verify[.]com、ezpass-pay[.]net、google-security-alert[.]org），每日启用一批，废弃一批。

更棘手的是，他们大量滥用合法CDN服务（如Cloudflare、Akamai）隐藏真实服务器IP。即使安全厂商识别出钓鱼域，若未及时通知CDN提供商，攻击仍可持续数日。

“我们曾追踪一个钓鱼站点，其背后IP每6小时更换一次，且全部来自不同国家的住宅代理网络。”芦笛透露，“这使得传统基于IP黑名单的防护完全失效。”

（4）短信通道劫持：利用虚拟运营商与API漏洞

尽管美国主流运营商（AT&T、Verizon）已部署STIR/SHAKEN协议验证短信来源，但攻击者转向两类低成本通道：

虚拟移动运营商（MVNO）：部分小型MVNO对短信内容审核宽松，易被批量注册；

云通信API滥用：如Twilio、MessageBird等平台若未严格验证客户身份，可能被用于发送钓鱼短信。

Google在诉状中特别提到，部分短信源自“看似合法但实际被操控的商业短信账户”，暗示攻击者可能通过社会工程或凭证泄露获取了企业级短信发送权限。

三、国际镜像：从美国E-ZPass到中国ETC的警示

尽管此案发生在美国，但其模式对中国极具参考价值。近年来，国内类似攻击已悄然抬头：

2024年，多地车主收到“ETC停用”短信，内含 etc-service[.]cc 链接，诱导下载木马APP；

2025年，某快递公司员工遭“菜鸟驿站包裹异常”钓鱼短信攻击，导致内部工单系统被植入后门；

2025年底，国家反诈中心通报：冒充银行、社保、交管部门的短信诈骗案同比上升67%，其中70%包含短链接。

“中美差异在于载体，但攻击逻辑高度一致。”芦笛指出，“美国用E-ZPass，中国用ETC；美国用USPS，中国用顺丰/菜鸟。攻击者永远选择民众最信任、使用最频繁的公共服务品牌下手。”

更值得警惕的是，国内部分中小企业仍在使用老旧短信网关，缺乏内容深度检测能力。一旦员工点击钓鱼链接，可能导致整个企业邮箱沦陷——而这正是BEC（商业邮件欺诈）的第一步。

四、防御升级：从个人警惕到企业零信任

面对产业化钓鱼攻击，仅靠“不点链接”已远远不够。专家建议构建多层次防御体系：

（1）个人用户：建立“主动验证”习惯

绝不通过短信链接操作敏感账户：应手动打开官方App或在浏览器输入官网地址；

启用多因素认证（MFA）：优先使用FIDO2安全密钥或Authenticator应用，避免短信验证码（易被SIM交换攻击）；

开启登录活动提醒：Google、Apple、Microsoft均提供实时登录通知功能。

（2）企业侧：部署“钓鱼免疫”架构

强制DMARC策略至p=reject：确保任何伪造企业域名的邮件/短信（若含邮件头）被拒收；

; 示例：企业域名example.com的DMARC记录

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com"

部署高级短信防火墙：如Cloudmark、Symantec Messaging Gateway，可识别短链跳转、关键词变异（如“USРS”用西里尔字母）；

实施零信任网络访问（ZTNA）：即使凭证泄露，攻击者也无法直接访问内部系统；

定期开展红队演练：模拟smishing攻击测试员工反应，并纳入安全绩效考核。

芦笛特别强调：“企业必须意识到，今天的钓鱼攻击目标不仅是数据，更是‘身份’。一旦攻击者拿到你的邮箱，就能以你之名向客户、合作伙伴、财务部门发指令——这才是最大风险。”

五、法律与技术协同：Google诉讼的深层意义

Google此次诉讼虽聚焦商标侵权，但其战略意图远超个案追责。通过《兰哈姆法》，Google试图确立一项先例：冒用品牌进行网络钓鱼可构成商标淡化与消费者混淆，平台有权追溯并摧毁其基础设施。

更重要的是，此举推动了“技术+法律+产业协作”的新型治理模式。Google已与GoDaddy、Namecheap等注册商建立快速响应通道，可在数小时内下架钓鱼域名；同时与T-Mobile、Verizon共享威胁情报，阻断短信通道。

“过去我们总说‘用户要提高警惕’，但现在必须承认：普通用户不应承担识别高级钓鱼的技术责任。”芦笛表示，“真正的安全，应该由平台、运营商、监管机构共同构筑。Google这次起诉，是在为整个互联网生态争取‘默认安全’的权利。”

六、结语：当公共服务成为攻击入口，我们该如何重建数字信任？

E-ZPass本是为提升通行效率而生，USPS承载着国民对邮政系统的信赖，Google账户更是数亿人数字生活的基石。然而，这些信任如今被系统性地武器化，成为攻击者的“社会工程杠杆”。

这场横跨太平洋的钓鱼攻防战提醒我们：网络安全的边界，早已从代码扩展至社会心理、法律制度与产业协作。防御不再只是IT部门的职责，而是每个组织、每位公民必须参与的集体行动。

正如一位安全研究员所言：“在数字时代，最大的漏洞不是软件里的bug，而是我们对‘理所当然’的信任。”

唯有打破这种盲目信任，代之以审慎验证与技术兜底，才能在这场永不停歇的攻防战中守住最后一道防线。

编辑：芦笛（公共互联网反网络钓鱼工作组）