Google控告Lighthouse釣魚即服務幕後組織，並推動美國新法打擊詐騙

Google對Lighthouse網釣即服務（Phishing-as-a-Service，PhaaS）相關組織提起訴訟，目標是拆解這個以簡訊與通訊平臺網路釣魚（Smishing）為核心的全球詐騙生意，同時也公開支持多項美國國會跨黨派反詐騙法案，希望透過法律戰與政策改革打擊詐騙組織。

Google在說明中指出，許多人手機上看到的包裹卡關、道路通行費未繳簡訊，背後往往不是單一詐騙集團，而是一套成熟的犯罪服務。Lighthouse提供的是詐騙工具包，讓犯罪者能批次發送釣魚簡訊，引導受害者點擊連結進入偽造網站，交出電子郵件帳密與銀行帳號等敏感資訊。這類攻擊不只鎖定特定國家，而是已經擴及全球超過120個國家，受害者超過100萬人。

濫用知名品牌是Lighthouse運作模式中重要的一環，Google調查發現，犯罪組織至少製作了107種網站模板，模仿Google登入頁等介面，用來營造看起來很正常的使用情境，並且會搭配其他既有服務或品牌名稱，例如高速公路收費系統或郵務單位，讓受害者更容易相信自己真的有未處理的帳單或包裹。

Google提到，Lighthouse造成的財務損失相當驚人，僅在美國境內，詐騙者透過這套服務竊取的信用卡資料，就被估計約在1,270萬張到1.15億張之間。從2020年以來，這類攻擊規模成長約5倍，反映出釣魚即服務這種犯罪產業化模式，讓詐騙變得密集且系統化。

Google以多部美國關鍵法規為基礎，對Lighthouse背後的釣魚即服務運作與相關行為提起訴訟。訴訟依據包含針對有組織犯罪的RICO（Racketeer Influenced and Corrupt Organizations Act），處理商標濫用與混淆問題的Lanham Act，以及規範未經授權入侵或濫用電腦系統的CFAA（Computer Fraud and Abuse Act）。目標並非只指控個別行為人，而是試圖直接拆除支撐Lighthouse營運的技術與基礎設施。

Google同時把戰場延伸到政策與立法層面，表示已在美國國會支持多項跨黨派法案，希望從制度上加強對詐騙與相關犯罪的打擊力道。其中一項是GUARD Act，重點在於讓州與地方的執法單位能運用聯邦補助資源，專門偵辦鎖定退休族群的金融詐騙與相關騙局，因為高齡族群在不少詐騙案例中往往是主要受害者。

另一項是Foreign Robocall Elimination Act，主軸是成立專責工作小組，研究如何從技術與制度面，更有效阻擋境外來源的非法自動語音電話，盡可能在通話抵達民眾前就加以攔截。至於SCAM Act，則著眼於詐騙園區這類集中運作的詐騙基地，目標是制定全國性策略，從制裁機制到協助其中遭人口販運控制的受害者，建立較完整的應對框架。

過去多家資安公司在威脅情報與技術分析報告中，都指出Lighthouse是中國駭客組織Smishing Triad在全球發動簡訊網路釣魚與金融詐騙的重要平臺。不過，Google在此次公開說明與揭露的訴訟內容，主要鎖定的是Lighthouse這個PhaaS服務本身及其運作細節，並未在文件中直接點名Smishing Triad。