根據 NBC News報導,Google 已正式向聯邦法院提起訴訟,控告一個名為 Lighthouse 的中國詐騙集團。這個集團涉嫌大規模的釣魚簡訊(Smishing),假冒 E-ZPass 道路收費系統與 USPS 美國郵政服務的名義,誘騙受害者點擊惡意連結,以此竊取信用卡資料與個人隱私。
假冒應用程式與釣魚網站竊取個資
Lighthouse 詐騙網絡利用極度相似的偽造網站與惡意應用程式來鎖定一般民眾,利用具急迫性的通知簡訊,例如謊稱包裹投遞失敗或者過路費未繳,要求接收者立即處理。
一旦使用者點擊詐騙簡訊中的連結,就會被引導至看起來與官方網站幾乎無異的釣魚頁面。受害者若輸入了信用卡號碼、銀行帳戶憑證等敏感個資就會隨即遭竊。該集團甚至在 Google Play 商店上架偽造的應用程式,試圖繞過安全審查機制以擴大受害範圍。
釣魚工具租賃服務降低犯罪門檻
Lighthouse 集團不僅自行實施詐騙,甚至將犯罪工具打包成整套服務對外販售,就有點像是我們在暗網看到有人兜售工具,因此技術能力較低的犯罪份子也能利用同樣的模式進行攻擊,導致類似的詐騙簡訊在過去一年內呈現爆炸性成長。資安專家估算,該集團的活動可能已經導致數百萬筆信用卡資料外洩。
Google 之所以動用針對組織犯罪的 RICO 法案,主因在於民事訴訟難以根除這類高度分工的犯罪產業鏈。Lighthouse 利用大量免洗帳號與複雜的跨境伺服器規避追查,單一的侵權指控難以傷其筋骨。
透過 RICO 法案,Google 不僅能尋求更嚴厲的懲罰性賠償,更能取得法院強制令,直接要求網域註冊商與電信服務商切斷該集團的技術連結,才從源頭摧毀其運作中樞,並建立關鍵的法律判例,讓其他試圖透過販售攻擊工具獲利的地下開發者知難而退。
從單純詐財到自動化網軍的簡訊威脅
除了金融詐騙,簡訊系統(SMS)本身的安全架構也正被不同類型的攻擊者利用。Google 在打擊詐騙集團的同時,也積極支持「SCAM 法案」等立法,期望透過法律與技術雙管齊下,遏止日益猖獗的簡訊詐騙。
然而,簡訊通訊的風險不僅止於財產損失。正如 CyberQ 在近日報導 AI 網軍低成本操弄選舉與廣宣,簡訊驗證漏洞成市場新威脅 這篇中所提到的,有別於此次 Google 案件中的釣魚詐騙,另一種攻擊手法是利用自動化腳本結合低成本的簡訊驗證服務(PVA),大量註冊免洗帳號。
該分析指出,這類攻擊者利用廉價的簡訊驗證碼通過身分認證,配合生成式 AI 技術製造大量具備互動能力的假帳號,隨後投入社交媒體帶風向或操弄選舉輿論。換言之,簡訊系統既是詐騙集團竊取資金的管道,也成為特定組織進行認知作戰的溫床。
科技大廠主動出擊與技術反制
CyberQ 認為,面對多樣化的簡訊威脅,單靠使用者警覺心已不足以應對。Google 此舉象徵科技大廠開始採取更主動的法律攻勢,直接追溯源頭打擊犯罪組織。這也凸顯了傳統簡訊驗證機制在現代資安環境下的脆弱性,未來無論是防範詐騙或對抗資訊操弄,提升通訊協定安全性與推動實體金鑰(Passkeys)等新一代驗證技術,將是產業共同努力的方向。
首圖及配圖由 Nano Banana AI 生成
