Google怒告中国黑客 3年骗走10亿美元 手法曝光
来源:倍可亲(backchina.com)美国科技巨头谷歌(Google)近日在美国纽约(专题)南区联邦地区法院(United States District Court for the Southern District of New York,SDNY)对一群位于中国的黑客提起民事诉讼,指控他们运营1个名为“Lighthouse”的“钓鱼即服务”(Phishing-as-a-Service, PhaaS)平台,该平台已在全球超过120个国家骗取逾百万名用户的数据。
据《The Hacker News》报道,这起案件揭示了1个庞大且成熟的跨国网络犯罪生态系统,以及1个将网络诈骗工业化、制度化的“黑色服务产业”。透过贩售“钓鱼套件”(phishing kits)与网络基础设施,“Lighthouse”协助诈骗者进行大规模钓鱼简讯攻击(SMS phishing),伪装成各国知名品牌,如美国高速公路收费系统“E-ZPass”与美国邮政署(United States Postal Service,USPS),诱骗受害者点击恶意连结,以“未缴通行费”或“包裹待领取”等理由窃取金融资讯。
虽然诈骗手法并不复杂,但这套系统化的服务却在3年间累积超过10亿美元(超过台币300亿)的非法收益。谷歌总法律顾问普拉多(Halimah DeLaine Prado)表示:“他们非法使用Google与其他品牌的商标与服务,在虚假网站上展示我们的标志,借此误导受害者。我们发现至少有107个网站模板在登入页面上使用Google品牌设计,目的就是让人误以为这些网站是合法的。”
谷歌指出,公司正依据美国《反勒索及腐败组织法》(Racketeer Influenced and Corrupt Organizations Act,RICO Act)、《兰哈姆法》(Lanham Act)以及《计算机欺诈和滥用法》(Computer Fraud and Abuse Act,CFAA)采取法律行动,试图拆解这个庞大的网络诈骗基础设施。
“Lighthouse”并非孤立运作。根据调查,它与其他PhaaS平台如“Darcula”与“Lucid”共同构成了一个以中国为基地、互相协作的网络犯罪生态系。这些平台透过苹果(Apple)iMessage与Google Messages的进阶通讯解决方案(Rich Communication Services,RCS)功能,向美国及全球用户发送成千上万的“钓鱼简讯”(smishing)信息,目标是窃取用户的个资与财务资料。
安全研究人员将这一系列行动归类为一个名为“Smishing Triad”的诈骗联盟。根据网络安全公司“Netcraft”在2024年9月的报告,Lighthouse与Lucid已被连结至超过17,500个钓鱼网域,攻击316个品牌、横跨74个国家。其钓鱼模板以订阅制出售:每周88美元、1年则高达1,588美元。
对此,瑞士网络安全公司“PRODAFT”在2024年4月的报告中指出:“虽然Lighthouse独立于名为XinXin的组织运作,但它与Lucid在基础设施与攻击目标上的高度重叠,显示出PhaaS生态系中各团体之间的合作与创新正日益深化。”
根据安全单位估算,自2023年7月至2024年10月间,中国的“钓鱼短信”集团可能已在美国境内窃取介于1,270万至1亿1,500万张信用卡与金融卡资料。 这些数据不仅被转售,还被用于更复杂的欺诈技术,例如利用“Ghost Tap”工具,将被窃的信用卡信息直接新增至 iPhone 或 Android 手机的数字钱包中,用于诈欺交易。
仅在2024年初至今,美国资安公司“帕罗奥图网络”(Palo Alto Networks)旗下服务“Unit 42”就追踪到“Smishing Triad”使用超过194,000个恶意网域,伪装成银行、加密货币交易所、邮件与包裹运送服务、警方、国营企业及电子收费系统等多种机构,以迷惑受害者。
