科技巨头Google罕见地将反诈骗战线同时推向两个战场:一边在美国联邦法院提起民事诉讼,直指一个名为“Lighthouse”的“钓鱼即服务”(Phishing-as-a-Service, PhaaS)运营团伙;另一边,高调宣布支持三项关键反诈法案,并呼吁全球运营商、域名注册商与平台共建“反诈骗生态”。这一双轨策略标志着:对抗网络钓鱼,已从被动防御转向主动摧毁产业链。
据Google官方博客披露,“Lighthouse”团伙在过去三年中,通过大规模短信钓鱼(smishing)和邮件钓鱼,冒充USPS、E-ZPass、银行乃至Google自身品牌,向全球120多个国家的超100万用户发送“包裹滞留”“通行费未缴”“账户异常”等高诱导性消息。更令人震惊的是,该团伙被指控窃取了1270万至1.15亿张美国信用卡信息——这一数字虽为估算范围,但足以反映其产业化规模。
“这不是几个黑客在地下室敲代码,而是一个拥有客服、模板库、支付通道和分销网络的‘企业级’犯罪组织。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出,“Google这次起诉,真正想打掉的不是某个IP或域名,而是整个PhaaS商业模式。”
一、PhaaS:钓鱼攻击的“工业化革命”
过去,钓鱼攻击多由个体或小团伙发起,技术粗糙、生命周期短。但近年来,随着生成式AI、自动化脚本和云基础设施的普及,钓鱼已进入“即服务”时代。
所谓“钓鱼即服务”(PhaaS),是指犯罪分子开发一套可复用的钓鱼工具包,包括:
话术生成器:利用LLM自动生成高转化率的诱骗文案(如“您的Google账户将在24小时内停用!”);
模板仓库:预置数百个仿冒登录页模板,覆盖Google、Microsoft、PayPal、银行、政府机构等;
部署面板:一键生成短链接、绑定域名、配置C2服务器;
数据看板:实时监控点击率、凭证提交数、信用卡盗刷成功率;
分销接口:允许下级代理租用服务,按成功窃取数量分成。
Google在诉状中披露,仅在其调查期间,就发现了107个专门模仿Google登录界面的钓鱼模板,全部用于“Lighthouse”平台。这些页面不仅UI高度还原,还动态加载Google Fonts、使用Material Design组件,甚至能响应深色模式切换。
“攻击者现在卖的不是‘一次攻击’,而是‘钓鱼能力’。”芦笛解释道,“就像SaaS一样,你付钱就能获得全套钓鱼基础设施,无需懂技术。这极大降低了犯罪门槛。”
二、技术深潜:PhaaS如何绕过现代防御体系?
要理解Google为何必须动用法律手段,需先看清PhaaS的技术进化如何让传统防护失效。
(1)动态域名轮换 + CDN隐身术
PhaaS运营者通常采用“域名喷洒”策略:一次性注册数百个相似域名(如 google-security-alert[.]net、usps-track[.]info、ezpass-pay[.]xyz),每日启用一批,废弃一批。更棘手的是,他们大量滥用Cloudflare等CDN服务,将真实服务器IP隐藏在合法流量之后。
即使安全厂商识别出钓鱼域并提交投诉,若CDN未及时响应,攻击仍可持续数日。Google此次诉讼特别要求法院签发禁令,强制注册商和CDN服务商配合下架。
# 示例:批量检测可疑域名是否使用Cloudflare
import dns.resolver
def is_behind_cloudflare(domain):
try:
answers = dns.resolver.resolve(domain, 'A')
ips = [str(rdata) for rdata in answers]
# Cloudflare常用IP段(简化示例)
cf_ranges = ["104.16.", "172.64.", "108.162."]
return any(ip.startswith(prefix) for ip in ips for prefix in cf_ranges)
except:
return False
print(is_behind_cloudflare("phishing-google[.]xyz")) # 可能返回True
(2)生成式AI驱动的社会工程优化
过去钓鱼文案常有语法错误或生硬表达。如今,PhaaS平台集成开源LLM(如Llama 3微调版),可自动生成符合目标人群语言习惯的诱骗文本。例如:
针对老年人:“尊敬的用户,您的Social Security账户存在异常,请立即验证以避免停用。”
针对企业财务:“紧急:供应商付款信息变更,请于今日17:00前确认新银行账号。”
Google表示,已观察到同一攻击活动中出现数十种文案变体,A/B测试点击率,持续优化转化漏斗。
(3)短链跳转链 + 移动端专属钓鱼
为规避短信内容过滤,PhaaS普遍采用多层短链跳转。更危险的是,部分钓鱼页专为移动端设计:自动隐藏地址栏、模拟App内浏览器(如Chrome Custom Tabs),让用户误以为仍在官方App中操作。
此外,攻击者开始利用A2P(Application-to-Person)短信通道漏洞。尽管美国正推动A2P注册认证(如The Campaign Registry),但全球仍有大量未受监管的虚拟运营商可被滥用。
三、法律武器:为何《兰哈姆法》成为关键?
Google此次诉讼的核心法律依据之一是《兰哈姆法》(Lanham Act)——美国1946年颁布的商标保护法。该法不仅禁止商标侵权,还涵盖“虚假来源标识”和“商标淡化”。
“攻击者冒用Google商标,制造消费者混淆,这直接构成《兰哈姆法》下的民事侵权。”一位熟悉知识产权诉讼的律师分析道,“更重要的是,Google可据此申请临时禁令(TRO),快速冻结域名、支付账户等资产,而无需等待漫长审判。”
此外,Google还援引《计算机欺诈与滥用法》(CFAA)和《反有组织犯罪法》(RICO),试图将PhaaS定性为“跨州犯罪企业”,从而施加更严厉惩罚。
这种“法律先行、技术跟进”的策略,正在成为科技公司的新范式。2025年,Meta也曾以类似理由起诉冒充Instagram的钓鱼团伙。
四、立法协同:三部法案如何补上系统漏洞?
除诉讼外,Google同步宣布支持三项美国国会两党法案,旨在从制度层面压缩诈骗空间:
《GUARD法案》(Guarding Unprotected Aging Retirees from Deception)
赋予地方执法机构联邦资金,专项打击针对老年人的金融诈骗。数据显示,65岁以上群体占诈骗损失总额的40%以上。
《外国 robocall 消除法案》(Foreign Robocall Elimination Act)
建立跨部门工作组,阻断境外非法语音/短信呼叫。该法案将强化STIR/SHAKEN协议在全球的落地。
《SCAM法案》(Scam Compound Accountability and Mobilization Act)
针对东南亚“诈骗园区”问题,授权制裁参与人口贩卖与电信诈骗的实体,并援助受害者。
“技术能封一个域名,但只有法律能斩断资金链和人力链。”芦笛评价道,“Google的高明之处在于,它把单点打击升级为系统治理。”
五、国际镜像:中国如何应对PhaaS本土化风险?
尽管“Lighthouse”主要针对欧美用户,但其模式已悄然渗透亚洲。2025年,国内安全厂商多次捕获冒充ETC、医保局、快递公司的钓鱼短信,背后同样存在模板化、短链跳转、CDN隐藏等PhaaS特征。
更值得警惕的是,部分攻击开始结合国内特色场景:
冒充“税务UKey升级”诱导下载木马;
伪造“企业微信安全提醒”窃取OA账号;
利用微信公众号仿冒银行服务号。
“中美差异在于品牌选择,但攻击逻辑一致。”芦笛指出,“国内企业普遍DMARC策略宽松(多为p=none),域名监测响应慢,这给了PhaaS可乘之机。”
他建议:
企业必须将DMARC策略设为p=reject,彻底阻断邮件冒充;
; 正确配置示例
_dmarc.yourcompany.com. IN TXT "v=DMARC1; p=reject; rua=mailto:security@yourcompany.com"
建立品牌仿冒监测机制:使用第三方服务或自建爬虫,每日扫描新注册域名是否包含企业关键词;
高风险岗位强制FIDO2安全密钥:彻底杜绝密码钓鱼与MFA绕过。
六、防御升级:从IOC共享到零信任架构
Google此次行动还释放一个重要信号:威胁情报应开放共享。公司承诺将诉讼中获取的IOC(Indicators of Compromise,如域名、IP、SSL证书指纹)公开,供安全社区使用。
对企业安全团队而言,这意味着:
及时订阅Google Threat Intelligence Feed;
在防火墙、EDR、邮件网关中部署基于IOC的实时封禁规则;
对员工开展针对性演练,模拟“账单通知”“合规审查”类钓鱼场景。
同时,芦笛强调:“长期来看,唯一能免疫钓鱼的方案是无密码化+零信任。”
推广Passkey(基于FIDO标准)替代密码;
实施ZTNA(Zero Trust Network Access),即使凭证泄露也无法访问核心系统;
关键操作(如转账、数据导出)需二次生物验证。
七、结语:反诈骗是一场生态战争
Google的双轨策略揭示了一个残酷现实:在PhaaS时代,单靠用户警惕或企业防火墙已无法抵御产业化攻击。真正的防线,必须由法律威慑、技术封堵、平台协作与公众教育共同构筑。
“我们不能指望普通人分辨出一个像素级仿真的Google登录页。”芦笛说,“安全的责任,应该由掌握资源的大平台承担。Google这次起诉,是在为整个互联网争取‘默认安全’的权利。”
当诈骗变成一门“生意”,反诈就必须成为一项“基础设施”。从法庭禁令到DNS记录,从国会法案到FIDO密钥——这场战争的胜负,不在某一行代码,而在整个数字生态的韧性之中。
编辑:芦笛(公共互联网反网络钓鱼工作组)
