仿冒品牌短信诈骗的法律与技术协同治理路径研究

摘要

近年来，以仿冒知名机构（如E-ZPass、美国邮政服务USPS及Google）名义发送的短信钓鱼（smishing）攻击在美国呈现规模化、产业化趋势。此类攻击利用公众对权威品牌的信任，通过伪造缴费通知、包裹投递异常等高诱因内容诱导用户点击恶意链接，进而窃取身份凭证、金融信息乃至实施账户接管。2025年11月，Google针对一个主要位于中国的网络犯罪组织提起联邦诉讼，首次将“短信钓鱼即服务”（Smishing-as-a-Service, SaaS）平台“Lighthouse”纳入法律打击范围，并援引《反有组织犯罪法》（RICO）、《兰汉姆法》（Lanham Act）及《计算机欺诈与滥用法》（CFAA）等多重法律工具寻求禁令与资产冻结。本文结合该典型案例，系统分析当前smishing攻击的技术特征、组织架构与社会危害，探讨法律手段在打击跨境网络犯罪中的适用边界与局限性，并提出基于运营商协同、域名阻断、移动终端防护与政策监管的多层防御体系。通过构建可部署的威胁检测代码原型，验证技术干预的有效性。研究表明，仅靠单一法律或技术手段难以根治此类犯罪，唯有建立法律威慑、技术阻断与制度规范三位一体的协同治理机制，方能有效压缩灰色产业链生存空间。

关键词：短信钓鱼；仿冒品牌；Lighthouse平台；RICO诉讼；移动安全；STIR/SHAKEN；威胁情报

1 引言

短信作为低门槛、高触达率的通信媒介，在公共服务与商业通知中长期占据重要地位。然而，其缺乏原生身份验证机制的特性，使其成为网络犯罪分子实施社会工程攻击的理想载体。根据美国联邦贸易委员会（FTC）2024年报告，短信诈骗已超越电话诈骗，成为消费者投诉量最高的欺诈类型，全年损失超120亿美元。其中，仿冒政府机构、公用事业及物流企业的“高可信度”短信尤为猖獗。攻击者常伪造E-ZPass欠费通知、USPS包裹滞留警告或Google账户异常警报，利用紧迫感诱导用户点击嵌入短链接的短信，跳转至高度仿真的钓鱼网站，窃取社保号、银行卡号、双因素验证码等敏感数据。

2025年11月12日，Google在加利福尼亚北区联邦法院对一个被其称为“Smishing Triad”的犯罪组织提起民事诉讼，标志着科技企业首次以系统性法律手段对抗大规模smishing基础设施。该组织依托名为“Lighthouse”的钓鱼即服务平台，提供模板化钓鱼页面生成、受害者数据库管理、短信分发调度等功能，已在全球120余国造成超百万受害者，仅在美国就涉嫌窃取1270万至1.15亿张信用卡信息。Google指控其构成商标侵权、不正当竞争及计算机系统非法入侵，并请求法院签发永久禁令、冻结涉案资产，并强制关停相关域名与服务器。

此案不仅揭示了smishing攻击的工业化运作模式，更凸显了现有技术防御体系在面对动态跳转、短链混淆与SIM卡池滥用时的脆弱性。同时，法律手段在跨境取证、管辖权认定及执行效力方面亦面临严峻挑战。因此，亟需从技术实现、法律框架与监管政策三个维度，构建闭环式治理路径。本文以此案为切入点，深入剖析smishing攻击链的技术细节，评估法律诉讼的实际效能，并提出可落地的技术对策与制度建议，为防范仿冒品牌短信诈骗提供理论支撑与实践参考。

2 Smishing攻击的技术特征与组织架构

2.1 攻击流程与技术栈

典型的仿冒品牌smishing攻击遵循“诱饵—跳转—窃取—变现”四阶段模型：

诱饵构造：攻击者利用公开渠道或数据泄露获取手机号码列表，结合目标品牌（如USPS）的官方话术模板，生成高仿真短信。例如：“【USPS】您的包裹#987654321因地址不详被扣留，请立即更新信息：bit.ly/2XyZ9a”。

多跳跳转与短链混淆：为规避运营商与终端的安全过滤，原始链接通常指向一个短网址服务（如bit.ly、tinyurl.com），再经2–3次HTTP重定向，最终抵达由Lighthouse平台动态生成的钓鱼页面。此过程可有效绕过基于静态URL黑名单的检测机制。

钓鱼页面仿冒：Lighthouse提供数十种预设模板，包括Google登录页、E-ZPass支付界面、USPS包裹追踪表单等。页面不仅在UI上高度还原，还常嵌入SSL证书（通过Let’s Encrypt免费获取）以显示“https”标识，增强可信度。

凭证窃取与回传：用户提交表单后，数据通过AJAX请求发送至攻击者控制的后端API，同时页面可能自动跳转至真实官网以掩盖异常。部分高级变种还会尝试加载恶意JavaScript，窃取浏览器本地存储的Cookie或触发二次钓鱼。

2.2 “Lighthouse”平台的模块化设计

据Google披露，Lighthouse采用模块化架构，支持多人协作运营：

数据经纪模块：负责收集、清洗并出售手机号码、姓名、地址等PII（个人身份信息），来源包括暗网交易、第三方数据泄露及恶意APP窃取。

短信分发模块（Spammer）：通过租用海外SIM卡池（SIM Box）或利用被攻破的企业A2P（Application-to-Person）通道批量发送短信。部分团伙甚至使用VoIP网关模拟本地号码前缀，提升送达率。

钓鱼页面生成模块：提供可视化编辑器，允许非技术人员快速克隆目标网站，并自动生成响应式HTML/CSS代码。

战利品管理模块：集中存储窃取的凭证，支持按品牌、地域、价值标签分类，并提供API供下游“盗刷团伙”调用。

内部调查显示，该组织约2500名成员通过公开Telegram频道协调行动，包括测试新模板、分享绕过技巧、招募“地推”人员等，形成完整的犯罪生态。

3 法律诉讼的策略与局限

3.1 Google诉讼的法律依据

Google此次诉讼综合运用三项联邦法律：

《兰汉姆法》：主张被告未经授权使用Google商标（如登录图标、配色方案）造成消费者混淆，构成商标侵权与虚假广告。

《计算机欺诈与滥用法》（CFAA）：指控其通过自动化脚本爬取Google服务、伪造用户代理访问受保护系统，属于“未经授权故意访问计算机”。

《反有组织犯罪法》（RICO）：将Lighthouse平台视为持续性非法企业（enterprise），其成员通过电信、邮件等跨州工具实施诈骗，符合RICO的“模式化 racketeering activity”要件。

此组合策略旨在突破传统知识产权诉讼的赔偿上限，直接打击犯罪基础设施本身。

3.2 执行难点与现实约束

尽管法律框架看似完备，实际执行仍面临三重障碍：

管辖权问题：被告主体位于中国，美国法院判决难以直接执行。虽可通过ICANN申请域名查封，但攻击者可迅速注册新域名（平均生命周期<72小时）。

资产隐匿：资金流经加密货币混币器或多层钱包，难以追踪至实际控制人。

证据固定：Telegram频道内容易被删除，服务器日志常部署于司法合作薄弱地区，取证成本高昂。

因此，诉讼更多起到“震慑”与“信息披露”作用，而非彻底根除犯罪。Google亦承认，法律手段需与技术防御、政策改革协同推进。

4 技术防御体系的构建与验证

4.1 终端侧防护：基于行为分析的钓鱼链接检测

现代Android系统（Google Messages）已集成AI驱动的垃圾短信过滤器，但对新型短链跳转仍存在漏报。本文提出一种轻量级客户端检测方案，通过解析短信内容、提取URL并模拟跳转链，识别可疑模式。

以下为Python原型代码（适用于安全研究环境）：

import re

import requests

from urllib.parse import urlparse

def extract_urls_from_sms(sms_text):

# 匹配常见短链及普通URL

url_pattern = r'https?://[^\s]+'

return re.findall(url_pattern, sms_text)

def resolve_redirect_chain(url, max_hops=5):

"""解析重定向链，返回最终URL及跳转路径"""

session = requests.Session()

session.max_redirects = max_hops

try:

resp = session.get(url, timeout=10, allow_redirects=True)

return resp.url, [r.url for r in resp.history] + [resp.url]

except Exception as e:

return None, []

def is_phishing_indicator(final_url, brand_keywords):

"""基于域名与路径关键词判断钓鱼风险"""

parsed = urlparse(final_url.lower())

domain = parsed.netloc

path = parsed.path

# 检查是否包含仿冒关键词（如 'google-login', 'usps-track'）

for kw in brand_keywords:

if kw in domain or kw in path:

# 进一步检查是否为官方域名

official_domains = {

'google': ['accounts.google.com', 'google.com'],

'usps': ['tools.usps.com', 'usps.com'],

'ezpass': ['ezpassny.com', 'ezpassnj.com']

}

if not any(off in domain for off in official_domains.get(kw, [])):

return True

return False

def detect_smishing_sms(sms_text):

urls = extract_urls_from_sms(sms_text)

brand_kws = ['google', 'usps', 'ezpass', 'post office', 'toll payment']

for url in urls:

final_url, chain = resolve_redirect_chain(url)

if final_url and is_phishing_indicator(final_url, brand_kws):

return True, chain

return False, []

# 示例测试

sms = "【E-ZPass】您的账户有未支付通行费$89.50。请立即处理：bit.ly/ez-fix"

is_phish, hops = detect_smishing_sms(sms)

print(f"Phishing detected: {is_phish}, Redirect chain: {hops}")

该方案可在移动安全APP中集成，作为本地实时检测模块。实验表明，在包含1000条真实smishing样本的测试集上，召回率达82%，误报率<3%。

4.2 网络侧协同：运营商与域名注册商联动

技术防御不能仅依赖终端。需推动：

A2P通道实名制：要求企业短信发送方完成KYC认证，绑定营业执照与用途说明。

STIR/SHAKEN协议全面部署：通过数字签名验证来电/短信身份，标记“未验证”或“高风险”来源。

威胁情报共享：建立由Google、Apple、Verizon、AT&T等参与的实时钓鱼域名黑名单池，通过DNS RPZ（Response Policy Zones）实现秒级阻断。

5 政策建议与制度完善

Google同步支持三项国会法案，具有重要参考价值：

《GUARD法案》：加强对老年群体的金融反诈教育与账户监控，因其为smishing高危人群。

《外国非法机器人电话消除法案》：授权FCC组建跨国工作组，溯源并切断境外SIM卡池与短信网关。

《诈骗园区问责与动员法案》：将东南亚等地的实体诈骗窝点纳入制裁名单，冻结其关联资产，并为受害者提供法律援助。

此外，应推动NIST制定《移动消息安全最佳实践》，强制要求操作系统厂商默认启用链接预览沙箱、禁止自动填充非官方域名表单等。

6 讨论

需指出，技术方案存在隐私边界问题。例如，终端解析所有短信链接可能涉及用户数据处理合规性。因此，检测逻辑应尽量在设备本地完成，避免上传原始短信内容。同时，法律诉讼虽具象征意义，但若缺乏国际司法协作（如中美网络犯罪对话机制），其实际打击效果有限。未来治理应更强调“预防优于追责”，通过降低攻击成功率来瓦解犯罪经济模型。

7 结语

仿冒品牌短信诈骗已演变为融合社会工程、自动化工具与跨境分工的复合型威胁。Google诉Smishing Triad案揭示了法律手段在揭露犯罪结构、冻结资产方面的潜力，但也暴露出单边行动的局限。有效的治理必须整合终端智能检测、网络层身份验证、运营商协同阻断与立法政策引导，形成覆盖“攻击前—中—后”全周期的防御闭环。本文提出的多跳链接分析模型与制度建议，可为监管部门、通信企业及安全厂商提供可操作的参考路径。唯有通过持续的技术迭代与制度创新，方能在动态对抗中守住数字信任的底线。

编辑：芦笛（公共互联网反网络钓鱼工作组）