谷歌起訴中國駭客平台！揭開全球「釣魚即服務」帝國黑幕

發布時間：2025/11/13 13:49:59

更新時間：2025/11/13 13:49:59

圖、文／CTWANT

美國科技巨頭谷歌（Google）近日在美國紐約南區聯邦地區法院（United States District Court for the Southern District of New York，SDNY）對一群位於中國的駭客提起民事訴訟，指控他們運營1個名為「Lighthouse」的「釣魚即服務」（Phishing-as-a-Service，PhaaS）平台，該平台已在全球超過120個國家騙取逾百萬名使用者的資料。

據《The Hacker News》報導，這起案件揭示了1個龐大且成熟的跨國網路犯罪生態系統，以及1個將網路詐騙工業化、制度化的「黑色服務產業」。透過販售「釣魚套件」（phishing kits）與網路基礎設施，「Lighthouse」協助詐騙者進行大規模釣魚簡訊攻擊（SMS phishing），偽裝成各國知名品牌，如美國高速公路收費系統「E-ZPass」與美國郵政署（United States Postal Service，USPS），誘騙受害者點擊惡意連結，以「未繳通行費」或「包裹待領取」等理由竊取金融資訊。

雖然詐騙手法並不複雜，但這套系統化的服務卻在3年間累積超過10億美元的非法收益。谷歌總法律顧問普拉多（Halimah DeLaine Prado）表示：「他們非法使用Google與其他品牌的商標與服務，在虛假網站上展示我們的標誌，藉此誤導受害者。我們發現至少有107個網站模板在登入頁面上使用Google品牌設計，目的就是讓人誤以為這些網站是合法的。」

谷歌指出，公司正依據美國《反勒索及腐敗組織法》（Racketeer Influenced and Corrupt Organizations Act，RICO Act）、《蘭哈姆法》（Lanham Act）以及《計算機欺詐和濫用法》（Computer Fraud and Abuse Act，CFAA）採取法律行動，試圖拆解這個龐大的網路詐騙基礎設施。

「Lighthouse」並非孤立運作。根據調查，它與其他PhaaS平台如「Darcula」與「Lucid」共同構成了一個以中國為基地、互相協作的網路犯罪生態系。這些平台透過蘋果（Apple）iMessage與Google Messages的進階通訊解決方案（Rich Communication Services，RCS）功能，向美國及全球用戶發送成千上萬的「釣魚簡訊」（smishing）訊息，目標是竊取用戶的個資與財務資料。

安全研究人員將這一系列行動歸類為一個名為「Smishing Triad」的詐騙聯盟。根據網路安全公司「Netcraft」在2024年9月的報告，Lighthouse與Lucid已被連結至超過17,500個釣魚網域，攻擊316個品牌、橫跨74個國家。其釣魚模板以訂閱制出售：每週88美元、1年則高達1,588美元。

對此，瑞士網路安全公司「PRODAFT」在2024年4月的報告中指出：「雖然Lighthouse獨立於名為XinXin的組織運作，但它與Lucid在基礎設施與攻擊目標上的高度重疊，顯示出PhaaS生態系中各團體之間的合作與創新正日益深化。」

根據安全單位估算，自2023年7月至2024年10月間，中國的「釣魚簡訊」集團可能已在美國境內竊取介於1,270萬至1億1,500萬張信用卡與金融卡資料。這些資料不僅被轉售，還被用於更複雜的詐騙技術，例如利用「Ghost Tap」工具，將被竊的信用卡資訊直接新增至iPhone或Android手機的數位錢包中，用於詐欺交易。

僅在2024年初至今，美國資安公司「帕羅奧圖網路」（Palo Alto Networks）旗下服務「Unit 42」就追蹤到「Smishing Triad」使用超過194,000個惡意網域，偽裝成銀行、加密貨幣交易所、郵件與包裹運送服務、警方、國營企業及電子收費系統等多種機構，以迷惑受害者。