行業新聞與部落格

隨著簡訊釣魚攻擊激增，谷歌已採取法律行動，試圖摧毀一個可能在中國運營的釣魚即服務（PhaaS）網路。

11月12日，這家美國科技巨頭在紐約南區地方法院對 25 名未具名的個人提起民事訴訟，指控他們是“對包括谷歌客戶在內的數百萬無辜受害者進行持續不斷的釣魚攻擊，以竊取個人和財務資訊的外國網路犯罪分子”。

該團伙被指控運營“Lighthouse”，這是一個被網路威脅行為者用來生成和部署大規模簡訊釣魚攻擊的 PhaaS 工具包。

在隨訴訟提交的宣告中，谷歌總法律顧問哈利瑪·德萊恩·普拉多表示，該工具包與至少 107 個網站模板有關，這些模板的登入介面都帶有谷歌的品牌標識。這些欺詐性網站經過專門設計，旨在誘騙使用者相信這些網站是合法的。

燈塔與“微笑三部曲”

Lighthouse 已被用於部署簡訊釣魚攻擊，尤其是一些被稱為“簡訊釣魚三巨頭”的鬆散聯絡的組織，其目標是澳大利亞的主要西方金融機構和銀行，以及更廣泛的亞太地區 (APAC)。

根據 Silent Push 2025 年 4 月的一份報告，Smishing Triad 組織自 2023 年以來一直在運作，但最新版本的 Lighthouse 工具包於 2025 年 3 月 18 日在 Telegram 上釋出。

Smishing Triad 攻擊的目標涵蓋多個行業，包括郵政、物流、電信、運輸、金融、零售和公共部門。

在提交的檔案中，Lighthouse 被描述為一個“面向網路犯罪分子的傻瓜式釣魚工具包”，旨在幫助那些無法執行大規模釣魚活動的網路犯罪分子。

據稱，該工具包提供了 600 多個用於建立欺詐性網路釣魚網站的模板，“每個模板都旨在模仿 400 多個實體或機構的合法網站”，投訴稱。

Lighthouse 使用者可以按地理區域、國家 / 地區、官方網站和更新時間篩選和搜尋模板。這家科技巨頭表示，至少有 116 個模板的登入介面帶有 Google 徽標（YouTube、Gmail、Google 或 Google Play）。

據報道，該工具包被用於在 2023 年 7 月至 2024 年 10 月期間啟動 32,094 個不同的美國郵政服務 (USPS) 網路釣魚網站，平均每個網站獲得 50,000 次頁面訪問。

谷歌的德萊恩·普拉多也聲稱，Lighthouse 已經針對超過 121 個國家的一百多萬人實施了攻擊。

“這種騙局很簡單：犯罪分子傳送簡訊，誘使收件人點選連結並洩露電子信箱憑證、銀行資訊等。他們透過在欺詐網站上非法展示我們的商標和服務來利用谷歌和其他品牌的聲譽，”德萊恩·普拉多解釋道。

在提交的檔案中，谷歌還表示，Lighthouse 是一個複雜的中心，其中的專業團隊（從資料收集者到簡訊垃圾郵件傳送者和被盜資料經紀人）透過專門的論壇進行協作，以部署、改進和利用大規模網路釣魚攻擊牟利。

谷歌認為，由於 Lighthouse 組織具有高度適應性和去中心化的特性，能夠迅速調整基礎設施並以最少的資源發起新的網路釣魚活動，因此關閉 Lighthouse 行動需要持續的長期努力。

谷歌支援三項美國法案，以加強打擊詐騙活動

除了採取法律行動（谷歌表示，法律行動可以解決單個網路釣魚和簡訊釣魚詐騙問題）之外，谷歌還倡導制定更廣泛的公共政策，以應對網路釣魚和簡訊釣魚詐騙的更廣泛威脅。

這家科技巨頭宣佈支援美國國會的三項兩黨法案：

• 谷歌表示，《保護未受保護的老年退休人員免受欺騙法案》（GUARD Act）“將賦予州和地方執法部門權力，使他們能夠利用聯邦撥款資金調查專門針對退休人員的金融欺詐和詐騙行為”。
• 《外國自動撥號電話消除法案》“將成立一個特別工作組，專門研究如何最好地阻止源自國外的非法自動撥號電話，防止它們到達美國消費者手中”。
• 《詐騙營地問責和動員法案》（SCAM 法案）“旨在制定一項國家戰略，以打擊詐騙營地，加強制裁，併為這些營地中的人口販運倖存者提供支援”。

這家科技巨頭還宣佈推出新的防詐騙功能，包括利用人工智慧技術標記詐騙資訊（如虛假通行費或包裹遞送）的系統，以及擴充賬戶恢復選項，新增“恢復聯絡人”功能，允許使用者請求朋友或家人恢復賬戶。