Google週三在美國紐約南區聯邦地方法院(SDNY)對提供「網路釣魚即服務」(Phishing-as-a-Service, PhaaS)平台 Lighthouse的幕後駭客提起民事訴訟。這些駭客位於中國,他們的詐騙惡行已遍布120個國家,超過100萬人受害。
簡訊詐騙盛行 三年內非法獲利逾10億美金
美國近年出現許多簡訊詐騙,這種簡訊釣魚是由「網路釣魚」與「簡訊」組合而成。《駭客新聞》報導,該網路釣魚是透過Lighthouse的PhaaS所發動。許多受到信任的組織遭冒名,如美國電子收費系統 E-ZPass、美國郵政署(USPS)等,詐騙簡訊內容則會包裝成過路費、包裹配送費來引誘人們點擊連結,進而竊取金融資訊。不複雜的詐騙手法卻因規模呈現產業化運作,在過去3年已非法獲利超過 10 億美元(約311億台幣)。Google總法律顧問普拉多(Halimah DeLaine Prado)表示:「他們透過在詐騙網站上非法展示 Google 與其他品牌的商標及服務,來利用我們的信譽。」。她指出,已發現至少107種,為誤導受害者所偽造的Google標誌與登入介面的網站模板,讓受害者以為這些詐騙網站真實合法。
Google表示,他們已依據《勒索及受賄組織法》(RICO Act)、《蘭哈姆法》(Lanham Act)以及《電腦詐欺與濫用法》(Computer Fraud and Abuse Act)採取法律行動,以拆除釣魚網站背後的基礎設施。
Lighthouse 與其他如 Darcula、Lucid 等「釣魚即服務」(PhaaS)平台,皆屬於以中國為基地、彼此緊密連動的網路犯罪生態系。這些平台透過 Apple iMessage 與 Google Messages 的 RCS 功能,向美國及其他地區的用戶大量發送簡訊詐騙訊息,企圖竊取敏感資料。而這些套件被一個名為「Smishing Triad」的簡訊詐騙集團所利用。
大型網路犯罪生態 釣魚域名恐超過1.75萬
英國互聯網服務公司「Netcraft」9月指出, Lucid 和 Lighthouse 平台之間必定存在關聯,因雙方皆使用了幾乎相同的反監控頁面。他們也檢測到有超過1萬7500個由這些PhaaS 平台驅動的釣魚域名,被這些域名針對的地區有74個,品牌則有316個。瑞士資安公司 PRODAFT 在4月發布的報告中提到:「雖然 Lighthouse 與一名為 XinXin的集團並非隸屬關係,但它與 Lucid 在基礎設施與攻擊模式上的一致性,突顯出 PhaaS 生態系中更廣泛的合作與創新趨勢。」
Netcraft研究員哈里·艾佛瑞特(Harry Everett)表示:「Lucid 和 Lighthouse 就是很好的例子,說明這些平台的發展和演變速度有多快,以及它們有多難被顛覆。」
Netcraft也透露,網路釣魚攻擊正在從 Telegram等通訊管道轉移,轉而使用其他管道傳輸被盜資料。這項進展表明,Telegram平台可能不再被視為網路犯罪分子的安全避風港。
根據估計,這些在中國的簡訊詐騙集團,僅在2023年7月至2024年10月期間,就能在美國境內竊取1270萬到1.15億張金融卡資訊。近年來,中國的網路犯罪團體也持續進化,開發出像Ghost Tap這類的新工具,能將遭竊的信用卡資料加入iPhone和Android手機的數位錢包中。






