Google怒告中国黑客 3年骗走10亿美元 手法曝光

美国科技巨头谷歌（Google）近日在美国纽约南区联邦地区法院（United States District Court for the Southern District of New York，SDNY）对一群位于中国的黑客提起民事诉讼，指控他们运营1个名为“Lighthouse”的“钓鱼即服务”（Phishing-as-a-Service， PhaaS）平台，该平台已在全球超过120个国家骗取逾百万名用户的数据。

据《The Hacker News》报道，这起案件揭示了1个庞大且成熟的跨国网络犯罪生态系统，以及1个将网络诈骗工业化、制度化的“黑色服务产业”。透过贩售“钓鱼套件”（phishing kits）与网络基础设施，“Lighthouse”协助诈骗者进行大规模钓鱼简讯攻击（SMS phishing），伪装成各国知名品牌，如美国高速公路收费系统“E-ZPass”与美国邮政署（United States Postal Service，USPS），诱骗受害者点击恶意连结，以“未缴通行费”或“包裹待领取”等理由窃取金融资讯。

虽然诈骗手法并不复杂，但这套系统化的服务却在3年间累积超过10亿美元（超过台币300亿）的非法收益。谷歌总法律顾问普拉多（Halimah DeLaine Prado）表示：“他们非法使用Google与其他品牌的商标与服务，在虚假网站上展示我们的标志，借此误导受害者。我们发现至少有107个网站模板在登入页面上使用Google品牌设计，目的就是让人误以为这些网站是合法的。”

谷歌指出，公司正依据美国《反勒索及腐败组织法》（Racketeer Influenced and Corrupt Organizations Act，RICO Act）、《兰哈姆法》（Lanham Act）以及《计算机欺诈和滥用法》（Computer Fraud and Abuse Act，CFAA）采取法律行动，试图拆解这个庞大的网络诈骗基础设施。

“Lighthouse”并非孤立运作。根据调查，它与其他PhaaS平台如“Darcula”与“Lucid”共同构成了一个以中国为基地、互相协作的网络犯罪生态系。这些平台透过苹果（Apple）iMessage与Google Messages的进阶通讯解决方案（Rich Communication Services，RCS）功能，向美国及全球用户发送成千上万的“钓鱼简讯”（smishing）信息，目标是窃取用户的个资与财务资料。

安全研究人员将这一系列行动归类为一个名为“Smishing Triad”的诈骗联盟。根据网络安全公司“Netcraft”在2024年9月的报告，Lighthouse与Lucid已被连结至超过17,500个钓鱼网域，攻击316个品牌、横跨74个国家。其钓鱼模板以订阅制出售：每周88美元、1年则高达1,588美元。

对此，瑞士网络安全公司“PRODAFT”在2024年4月的报告中指出：“虽然Lighthouse独立于名为XinXin的组织运作，但它与Lucid在基础设施与攻击目标上的高度重叠，显示出PhaaS生态系中各团体之间的合作与创新正日益深化。”

根据安全单位估算，自2023年7月至2024年10月间，中国的“钓鱼短信”集团可能已在美国境内窃取介于1,270万至1亿1,500万张信用卡与金融卡资料。 这些数据不仅被转售，还被用于更复杂的欺诈技术，例如利用“Ghost Tap”工具，将被窃的信用卡信息直接新增至 iPhone 或 Android 手机的数字钱包中，用于诈欺交易。

仅在2024年初至今，美国资安公司“帕罗奥图网络”（Palo Alto Networks）旗下服务“Unit 42”就追踪到“Smishing Triad”使用超过194,000个恶意网域，伪装成银行、加密货币交易所、邮件与包裹运送服务、警方、国营企业及电子收费系统等多种机构，以迷惑受害者。