打击钓鱼即服务：诉讼、立法与技术协同的反诈治理路径

摘要

近年来，以“钓鱼即服务”（Phishing-as-a-Service, PhaaS）为代表的诈骗基础设施呈现高度模块化、跨境化与自动化特征，尤其在短信（smishing）与邮件渠道中，通过仿冒知名品牌诱导用户泄露凭证或支付信息。2025年11月，Google宣布对名为“Lighthouse”的PhaaS运营者提起民事诉讼，并同步推动多项美国联邦立法提案，旨在从法律、政策与技术三方面系统性瓦解诈骗产业链。本文基于该事件，剖析PhaaS的技术架构与运营模式，评估传统防御手段的局限性，并论证“法律行动+公共政策+平台协作”三位一体治理框架的有效性。研究指出，仅靠终端检测难以根除此类规模化攻击，必须通过司法手段冻结域名、支付通道与核心基础设施，同时辅以强制性通信规范（如A2P短信注册、来电显示认证）与企业级品牌防护策略（如DMARC p=reject、FIDO2强制认证）。文中提供可落地的技术实现方案，包括自动化域名监控脚本、CI/CD中的品牌资产扫描逻辑及基于威胁情报的IOC集成示例，为企业构建纵深防御体系提供参考。

关键词：钓鱼即服务；短信钓鱼；品牌仿冒；法律诉讼；反诈立法；DMARC；FIDO2；威胁情报

1 引言

网络诈骗已从个体犯罪演变为具备完整供应链的产业化活动。其中，“钓鱼即服务”（PhaaS）作为典型代表，通过提供模板、托管、分发与变现一体化平台，使低技术门槛的犯罪分子也能发起高仿真度的品牌仿冒攻击。据Google披露，2025年其监测到的PhaaS攻击中，仅“Lighthouse”一个平台就影响全球超120个国家、受害者逾百万，窃取信用卡信息达数千万条。此类攻击常以“包裹滞留”“未付通行费”“账户异常”等紧急通知为诱饵，通过短信或邮件引导用户访问伪造登录页，页面高度复刻Google、E-ZPass等知名服务界面，极具迷惑性。

面对此类规模化、跨境化威胁，传统安全范式——依赖终端检测、用户教育与黑名单更新——已显疲态。攻击者可快速轮换域名、IP与内容模板，规避基于签名的防御。在此背景下，Google采取双轨策略：一方面在美国联邦法院提起民事诉讼，援引《反诈骗腐败组织集团法》（RICO）、《兰哈姆法》（Lanham Act）等法律工具，寻求对PhaaS运营者的禁令与资产冻结；另一方面联合国会推动《GUARD法案》《外国机器人电话消除法案》等立法，试图从通信源头建立准入与问责机制。

本文聚焦这一新型治理范式，系统分析其技术基础、法律逻辑与实施挑战，并提出企业可协同落地的防御增强措施。全文结构如下：第二部分解构PhaaS攻击链；第三部分评估现有技术防御的瓶颈；第四部分论证法律与政策干预的必要性与可行性；第五部分提出企业侧技术强化方案并附代码示例；第六部分总结治理路径的协同价值与未来方向。

2 PhaaS攻击链技术解构

2.1 基础设施与自动化

“Lighthouse”类PhaaS平台通常包含以下组件：

模板库：预置数百个高保真品牌登录页模板，涵盖Google、PayPal、银行、物流等；

域名管理模块：自动批量注册仿冒域名（如google-verify[.]net、usps-delivery[.]info），并通过API绑定SSL证书；

消息分发引擎：支持通过短信网关（SMS gateway）或邮件服务器大规模投递；

凭证收集后端：实时接收用户提交的账号密码、信用卡号等，并通过Telegram Bot或Webhook推送至操作者；

反检测机制：页面加载时检测是否处于沙箱环境，若否则延迟渲染恶意表单。

Google在其诉讼材料中披露，Lighthouse至少使用了107个含Google商标的伪造登录模板，且所有页面均通过自动化工具生成，确保每次访问内容略有差异，规避静态哈希匹配。

2.2 社会工程话术生成

攻击者利用生成式AI（如LLM微调模型）批量生成高转化率话术。例如：

“您的USPS包裹因地址不详被暂扣，请立即点击下方链接更新配送信息，否则将于24小时内退回。”

此类文本具备紧迫性、权威性与行动明确性，显著提升点击率。测试显示，AI生成文案的转化率比人工编写高37%。

2.3 跨境变现链条

窃取的信用卡数据通常通过暗网市场出售，或直接用于订阅欺诈、礼品卡购买等洗钱行为。支付通道多经由东南亚、东欧等地的空壳公司处理，资金流与信息流分离，增加执法难度。

3 现有技术防御的局限性

3.1 终端检测滞后

尽管浏览器与邮件客户端已集成钓鱼检测（如Google Safe Browsing），但新注册的仿冒域名在首次曝光前往往无历史记录，形成“零日窗口”。Lighthouse平均每个域名活跃时间不足6小时，远低于传统威胁情报更新周期。

3.2 品牌防护碎片化

多数企业虽部署SPF/DKIM，但DMARC策略多设为p=none（仅监控），无法阻止仿冒邮件投递。即使设为p=quarantine，对非主域名（如子品牌、合作伙伴域）的覆盖亦不完整。

3.3 用户教育边际效益递减

面对高度仿真的内部通知，普通用户难以区分真伪。研究表明，在压力情境下（如“账户将被停用”），85%的用户会忽略URL栏细节。

4 法律与政策干预的治理逻辑

4.1 民事诉讼的杠杆效应

Google对Lighthouse运营者提起的诉讼，援引三项关键法律：

RICO法案：将PhaaS视为有组织犯罪企业，可追索三倍损害赔偿；

兰哈姆法：主张商标侵权与虚假广告，要求销毁所有含Google商标的伪造页面；

计算机欺诈与滥用法（CFAA）：指控未经授权访问用户设备与系统。

此类诉讼不仅寻求经济赔偿，更关键的是申请临时限制令（TRO），强制域名注册商、托管服务商与支付平台冻结相关资产。2024年Microsoft诉“Storm-0558”案即成功冻结数十个域名，证明司法手段可快速切断攻击基础设施。

4.2 立法提案的系统性价值

Google支持的三项法案旨在构建通信层防线：

《GUARD法案》：授权地方执法使用联邦资金调查针对老年人的金融诈骗，强化受害者支持；

《外国机器人电话消除法案》：要求运营商部署STIR/SHAKEN协议验证来电身份，并阻断未认证的国际呼叫；

《SCAM法案》：授权财政部制裁境外诈骗园区，冻结其美元结算通道。

特别值得注意的是对A2P（Application-to-Person）短信的监管。当前大量诈骗短信通过未注册的A2P通道发送。新提案要求所有商业短信发送方必须向运营商注册品牌与用例，并接受内容审核，从源头压缩灰色通道。

5 企业侧防御强化技术方案

5.1 强制DMARC p=reject 与子域覆盖

企业应为其所有品牌相关域名部署严格DMARC策略，并监控第三方服务是否合规。

; 主域名 DMARC 记录

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; fo=1"

; 子品牌域同样配置

_dmarc.payments.example.com. IN TXT "v=DMARC1; p=reject; ..."

配合自动化监控脚本，每日检查是否有新注册的仿冒域：

# 使用SecurityTrails API 监控仿冒域名

import requests

import re

def check_typosquatting(brand, api_key):

patterns = [

f"{brand}-verify",

f"{brand}support",

f"secure-{brand}",

f"{brand}login"

]

for pattern in patterns:

resp = requests.get(

f"https://api.securitytrails.com/v1/domain/{pattern}.com",

headers={"APIKEY": api_key}

)

if resp.status_code == 200:

print(f"[ALERT] Potential typosquatting: {pattern}.com")

# 触发自动下架流程（如联系注册商）

5.2 高风险岗位强制FIDO2认证

对HR、财务、IT管理员等易被钓鱼的岗位，强制使用硬件安全密钥。

// 在身份提供商（如Auth0）中配置策略

const policy = {

name: "Require FIDO2 for HR",

conditions: {

groups: ["hr-team", "finance"],

riskScore: "medium_or_high"

},

actions: {

multifactor: {

required: true,

methods: ["webauthn-roaming"]

}

}

};

此策略确保即使凭证泄露，攻击者也无法绕过物理密钥完成登录。

5.3 威胁情报集成与IOC自动化响应

企业安全团队应订阅Google等厂商发布的PhaaS IOC（如域名、IP、URL），并集成至SIEM与防火墙。

# 示例：Suricata 规则拦截 Lighthouse 相关域名

alert http any any -> any any (

msg:"BLOCK Lighthouse PhaaS Domain";

dns.query; content:"lighthouse-phish"; nocase;

sid:1000001; rev:1;

)

同时，在EDR中部署脚本，自动隔离访问已知钓鱼页的终端：

# Windows EDR 响应脚本

$maliciousUrls = Get-Content "phish_iocs.txt"

$history = Get-History | Where-Object { $maliciousUrls -contains $_.Url }

if ($history) {

Invoke-Quarantine -Reason "Visited known PhaaS site"

}

6 治理协同与实施挑战

法律与技术协同治理虽具潜力，但仍面临挑战：

司法辖区冲突：PhaaS服务器常位于法律合作薄弱地区，执行禁令困难；

证据链完整性：需跨平台（运营商、注册商、支付网关）协作取证；

误伤风险：严格A2P注册可能阻碍合法营销短信。

因此，建议采取“精准打击+生态共建”策略：优先针对高危害、高重复性的PhaaS平台发起诉讼，同时推动行业联盟（如M3AAWG）制定统一通信标准，鼓励平台共享威胁数据。

7 结论

钓鱼即服务的产业化标志着网络诈骗进入新阶段，其防御不能仅依赖技术补丁或用户警觉。Google的诉讼与立法倡议揭示了一条可行路径：通过法律手段瓦解攻击基础设施，通过政策建立通信准入门槛，再辅以企业级技术加固，形成“打、防、管”闭环。本文提出的DMARC强化、FIDO2强制、IOC自动化等措施，可有效提升组织韧性。未来，随着AI生成内容泛滥，此类协同治理模式将成为维护数字信任的关键支柱。唯有将法庭、议会与代码库纳入同一防御体系，方能真正提高犯罪成本，保护用户免受规模化诈骗侵害。

编辑：芦笛（公共互联网反网络钓鱼工作组）