发生了什么:Operation Ghost Hook

2026 年 6 月,FBI 携手 Google 与网络安全公司 Lumen(旗下威胁情报团队 Black Lotus Labs)联合执法,捣毁了一个总部位于中国的钓鱼即服务团伙。Google 将该团伙命名为 Outsider Enterprise,整个执法行动代号 Operation Ghost Hook。

所谓「钓鱼即服务」,意思是这伙人并不亲自去骗每一个人,而是把整套钓鱼工具打包成订阅制产品卖给其他犯罪分子,价格约为每周 88 美元或每月 200 美元。买家拿到的是现成的钓鱼页面、欺诈网址和发送基础设施,开箱即用。这把网络犯罪变成了一门低门槛的生意。

更值得警惕的是这套工具的生产方式。该团伙利用人工智能(Google 称其使用了 Gemini 等 AI 工具)批量生成钓鱼页面,制造出超过一百万个欺诈网址,再通过短信(smishing)冒充银行、信用卡、快递、过路费、税务等可信品牌,诱导受害者输入信用卡数据和密码。

规模:约 19 亿美元,数十万受害者

根据 FBI 与 Google 的统计,Outsider Enterprise 自 2023 年 7 月开始活跃。FBI 估计它窃取了约 387 万张信用卡,造成约 19 亿美元损失,全球受害者达数十万人。这些数字背后,是一条条看起来再普通不过的短信:「您的包裹因地址不全滞留,请点击链接更新」「您有一笔过路费未缴,逾期将加收滞纳金」「您的银行卡检测到异常交易,请验证身份」。

收网:查封服务器、Shopify 店铺与 USDT

这次行动是民事诉讼加刑事查封的组合拳。Google 于 2026 年 6 月 12 日提起民事诉讼。FBI 则查封了多台管理服务器、一个 Shopify 店铺、一个测试账户,以及约 10 万美元的 USDT。数千个原本用于钓鱼的域名,现在已经跳转到 FBI 的提示页面。与此同时,Google 正与 AT&T、T-Mobile、Verizon 等运营商合作,在网络层面拦截欺诈短信。

真正的教训:AI 抹掉了旧破绽

收网是一场胜利,但它解决的是「这一个团伙」,而不是「这种威胁」。教训藏在「模式」里:当 AI 能以工业规模批量制造毫无破绽、零错别字的钓鱼页面,并以每周几十美元的订阅价对外出售时,一个团伙倒下,模仿者会在几周内补位。

过去我们教人识别钓鱼,靠的是「语法差」「有错别字」「排版一看就假」这些破绽。AI 把这些破绽全部抹掉了。今天一条 AI 生成的诈骗短信,用词地道、语气专业、页面像素级仿真,单凭「读起来像不像真的」已经无法判断。

真正还能识破它的,是 AI 无法伪造的两样东西:域名渠道

  • 渠道:真正的银行、信用卡公司或政府机构,绝不会通过短信链接要你「验证身份」或「立即付款」。正确的做法永远是自己打开它们的官方网站或 App,而不是点短信里的链接。
  • 域名:链接域名绝不会是品牌真正的官方域名,而是仿冒。常见手法包括:用随机字符(如 bank-verify[.]top)、用错误的后缀、或者把品牌名当成子域名挂在陌生域名上(如 icbc.com.secure-login[.]xyz,真正的域名永远是最后那一段 secure-login[.]xyz,而不是开头的 icbc)。域名是 AI 无法伪造的破绽。
  • 紧迫感:「账户已锁定」「包裹滞留」「过路费未缴」「24 小时内处理否则……」这种制造倒计时和恐慌的话术,等于在施压,等于诈骗。
🛡 实时检测

立即测试可疑链接

收到自称银行、快递或税务机构的短信?把链接粘贴到下面,我们的 3 层引擎(本地 + API + AI)在 3 秒内返回判定。免费,无需注册。

完整深度 AI 扫描 → · URL 不会与你的身份关联。

钓鱼短信长什么样

无论 AI 把文案写得多漂亮,一条钓鱼短信的结构几乎都一样:一个可信品牌名 + 一个制造恐慌的理由 + 一个仿冒域名链接 + 一个倒计时。下面是典型的仿冒域名样式,记住它们的共同点是「域名根本不属于品牌官方」:

  • 随机字符 + 高风险后缀:bank-verify[.]topsf-express-cn[.]xyz
  • 把品牌当子域名挂在陌生域名上:paypal.com.account-check[.]live
  • 多一个字母或换一个后缀的仿冒:amaz0n-delivery[.]info

关键判断方法:读域名时,从右往左找到第一个「点」之前那一整段,那才是真正的域名。paypal.com.account-check[.]live 的真正域名是 account-check[.]live,和 PayPal 毫无关系。

真品牌是怎么和你沟通的

把这几条记牢,几乎可以识破所有 AI 生成的钓鱼短信:

  • 真正的银行不会用短信链接让你「解冻」「验证」或「付款」。需要操作时,请自己打开官方 App。
  • 真正的快递不会用陌生域名让你「补缴运费」「更新地址」。请回到你下单的电商平台或快递官方 App 查看。
  • 真正的税务或交通部门有正规的线上办事入口,不会塞给你一个 .top、.xyz、.live 的陌生链接。
  • 任何制造「24 小时内」「立即」「否则封停」紧迫感的信息,先放下,喝口水,从官方渠道核实再说。

如果不小心点了或填了:怎么办

  • 如果只是点开链接没填任何信息,通常问题不大,但请不要再返回那个页面,并删除该短信。
  • 如果填了银行卡号或密码,立刻联系发卡行冻结卡片、修改密码,并检查近期交易。
  • 举报渠道:中国大陆拨打 96110 反诈专线、安装国家反诈中心 App,并将短信举报至 12321;台湾拨打 165;香港使用防騙易 18222(ADCC)。

SafeBrowz 为什么靠「域名」而不是「文字」来判断

正是因为 AI 生成的钓鱼页面看起来已经完美,只看页面内容是不够的。所以 SafeBrowz 把判断的重心放在 AI 无法伪造的信号上:当一个品牌名出现在非官方域名上时,我们无需读取页面内容就能将其标记为危险;我们检测子域名链式仿冒(如 brand.com.attacker.xyz 这种把品牌名当作子域名前缀的把戏);我们识别免费托管和转售后缀上的仿冒站点;并以覆盖 100 多种语言的 AI 内容分析作为补充。我们的方法论建立在一个不断更新的官方品牌数据库之上,靠的是「域名与官方品牌是否匹配」这套结构化规则,而不是去监控或收集你的浏览记录。

常见问题

FBI 捣毁 Outsider Enterprise 后短信诈骗就结束了吗?

没有。Operation Ghost Hook 只清除了一个团伙,并没有清除威胁本身。Outsider Enterprise 把 AI 钓鱼以每周约 88 美元的订阅价格对外出售,证明这门生意门槛极低、利润极高。一个团伙倒下,模仿者会迅速补位。真正的防线不是依赖执法收网,而是养成一条永不改变的习惯:绝不根据意外短信里的链接采取行动。

AI 让钓鱼短信发生了什么变化?

过去识别钓鱼靠的是语法错误、错别字、排版粗糙这些破绽。AI 把这些破绽全部抹掉了。Outsider Enterprise 用 Gemini 等 AI 工具批量生成毫无破绽、用词地道的钓鱼页面和超过一百万个欺诈网址。这意味着你不能再靠文字是否专业来判断真假,只能看域名和渠道。

那我到底怎么识破一条钓鱼短信?

看三点。第一,渠道:真正的银行或政府机构绝不会通过短信链接要你验证身份或付款。第二,域名:链接域名绝不是品牌真正的官方域名,而是仿冒(随机字符、错误后缀、或把品牌名当成子域名挂在陌生域名上,如 brand.com.attacker.xyz)。第三,紧迫感:账户已锁定、包裹滞留、过路费未缴、24 小时内处理这类施压话术几乎一定是诈骗。

Outsider Enterprise 造成了多大损失?

该团伙自 2023 年 7 月活跃。FBI 估计它窃取了约 387 万张信用卡,造成约 19 亿美元损失,全球受害者达数十万人。它冒充银行、信用卡、快递、过路费、税务等可信品牌发送钓鱼短信(smishing),窃取信用卡数据和密码。

执法部门具体查封了什么?

Google 于 2026 年 6 月 12 日提起民事诉讼。FBI 查封了多台管理服务器、一个 Shopify 店铺、一个测试账户以及约 10 万美元 USDT,数千个钓鱼域名现已跳转到 FBI 提示页。Google 还在与 AT&T、T-Mobile、Verizon 合作拦截欺诈短信。

在中国收到诈骗短信该向谁举报?

中国大陆可拨打 96110 反诈专线、安装国家反诈中心 App,并将诈骗短信举报至 12321。台湾拨打 165 反诈骗专线。香港可使用防騙易 18222 热线(ADCC)。无论在哪里,第一步永远是不要点击链接,自己打开官方网站或 App 核实。