Google对Lighthouse网络钓鱼即服务(Phishing-as-a-Service,PhaaS)相关组织提起诉讼,目标是拆解这个以短信与通信平台网络钓鱼(Smishing)为核心的全球诈骗生意,同时也公开支持多项美国国会跨党派反诈骗法案,希望通过法律战与政策改革打击诈骗组织。
Google在说明中指出,许多人手机增至到的包裹卡关、道路通行费未缴短信,背后往往不是单一诈骗集团,而是一套成熟的犯罪服务。Lighthouse提供的是诈骗工具包,让犯罪者能批次发送钓鱼短信,引导受害者点击连接进入伪造网站,交出电子邮件帐密与银行账号等敏感资讯。这类攻击不只锁定特定国家,而是已经波及全球超过120个国家,受害者超过100万人。
滥用知名品牌是Lighthouse运行模式中重要的一环,Google调查发现,犯罪组织至少制作了107种网站模板,模仿Google登录页等界面,用来营造看起来很正常的使用场景,并且会搭配其他既有服务或品牌名称,例如高速公路收费系统或邮务单位,让受害者更容易相信自己真的有未处理的账单或包裹。
Google提到,Lighthouse造成的财务损失相当惊人,仅在美国境内,诈骗者通过这套服务窃取的信用卡数据,就被估计约在1,270万张到1.15亿张之间。从2020年以来,这类攻击规模增长约5倍,反映出钓鱼即服务这种犯罪产业化模式,让诈骗变得密集且系统化。
Google以多部美国关键法规为基础,对Lighthouse背后的钓鱼即服务运行与相关行为提起诉讼。诉讼依据包含针对有组织犯罪的RICO(Racketeer Influenced and Corrupt Organizations Act),处理商标滥用与混淆问题的Lanham Act,以及规范未经授权入侵或滥用计算机系统的CFAA(Computer Fraud and Abuse Act)。目标并非只指控个别行为人,而是试图直接拆除支撑Lighthouse运营的技术与基础设施。
Google同时把战场延伸到政策与立法层面,表示已在美国国会支持多项跨党派法案,希望从制度上加强对诈骗与相关犯罪的打击力道。其中一项是GUARD Act,重点在于让州与地方的执法单位能运用联邦补助资源,专门侦办锁定退休群体的金融诈骗与相关骗局,因为高龄群体在不少诈骗案例中往往是主要受害者。
另一项是Foreign Robocall Elimination Act,主轴是成立专责工作小组,研究如何从技术与制度面,更有效阻挡境外来源的非法自动语音电话,尽可能在通话抵达人们前就加以拦截。至于SCAM Act,则着眼于诈骗园区这类集中运行的诈骗基地,目标是制定全国性策略,从制裁机制到协助其中遭人口贩运控制的受害者,创建较完整的应对框架。
过去多家安全公司在威胁情报与技术分析报告中,都指出Lighthouse是中国黑客组织Smishing Triad在全球发动短信网络钓鱼与金融诈骗的重要平台。不过,Google在此次公开说明与披露的诉讼内容,主要锁定的是Lighthouse这个PhaaS服务本身及其运行细节,并未在文件中直接点名Smishing Triad。
