這是一起典型的現代網路犯罪案例,顯示了攻擊者如何將生成式 AI 與商業化服務結合,將原本需要高度技術的釣魚攻擊,轉化為任何人只要花錢就能操作的產品。Google 近期對一個位於中國的網路犯罪網路採取法律行動,指控其利用 Gemini 等 AI 工具來大規模執行 Smishing 攻擊。
首先我們需要理解 Smishing 是什麼。Smishing 是 SMS(簡訊)與 Phishing(釣魚)的結合詞,簡單來說就是透過簡訊發送欺騙性連結,誘導使用者點擊進入偽造網站,藉此盜取信用卡號、銀行帳號或個人個資。
這次被揭發的核心是一個名為 Outsider 的 Phishing-as-a-Service (PhaaS) 平台。所謂 PhaaS 是一種「釣魚即服務」的商業模式,它將攻擊流程產品化。攻擊者不需要自己寫程式碼或設計網頁,只要支付每週約 88 美元的訂閱費,就能獲得一套完整的工具包,包括 290 多個模仿知名品牌的預設模板、即時記錄使用者按鍵的 Keylogging 功能,以及追蹤攻擊成效的數據儀表板。
最值得工程師關注的是,該組織如何將 Gemini 等 AI 代理轉化為武器。他們並非直接要求 AI 寫一個詐騙網站,因為這會觸發 AI 的安全過濾機制。相反地,他們採取社交工程手段,將請求偽裝成無害的程式開發協助。例如,要求 AI 生成一個用於禮品兌換頁面的 HTML 代碼,並特別指示 AI 不要使用 JavaScript 且僅使用 Inline CSS(將樣式直接寫在 HTML 標籤內)。
這樣做有兩個目的:第一是降低 AI 的警覺性;第二是讓生成的網頁結構極其簡單,方便攻擊者將其直接複製並貼上到 Outsider 的殼網站中,快速產出極具欺騙性的偽造頁面。
這個犯罪組織的運作模式呈現出高度的工業化分工,其內部由五個專業組別協作:
開發組負責提供軟體工具與網頁模板。 數據經紀組負責提供精準的受害者目標名單。 發信組負責利用工具大規模發送詐騙簡訊。 盜取組負責將 stolen data(盜取數據)變現,例如洗錢或販售信用卡資訊。 電報組則利用 Telegram 作為協調中心,負責招募新成員與管理操作。
這種分工模式極大地降低了犯罪門檻。即使是完全不懂程式設計的初學者,只要透過 Telegram 上的自動化訂單機器人購買授權,就能在短時間內發動大規模攻擊。根據數據顯示,在短短幾個月內,該網路產生了超過 150 萬個詐騙 URL,影響超過 10 萬人,造成數百萬美元的損失。
對我們開發者而言,這個案例提醒了兩件事。首先是 AI 的雙面性,即便有安全對齊(Alignment)機制,攻擊者仍能透過 Prompt Engineering(提示工程)繞過限制。其次是現代威脅已從單打獨鬥轉向平台化,攻擊的規模與速度已遠超傳統手工釣魚。
目前 Google 已與美國主要電信商 AT&T、T-Mobile 和 Verizon 合作,試圖從基礎設施層面攔截這些惡意簡訊,並透過法律途徑試圖瓦解該組織的運作鏈。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。