2026 在线支付安全：用虚拟卡破解 Google 广告钓鱼的两步防御

星期二清晨，瑞秋的卡在新加坡被刷空了

瑞秋住在辛辛那提郊外一个安静的小区。她 31 岁，在一家中型物流公司做 HR，每个月都会在网上替父母交电话费，因为她爸至今仍不信任互联网那一套"动钱的事"。这是件小事。每月给 Verizon 转 85 美元，她已经做了两年。

三月中的一个星期四傍晚，她吃完晚饭窝在沙发上，打开 Chrome，往 Google 里敲了四个词，"Verizon pay bill online"。她甚至没仔细看自己点了什么。第一个结果正是置顶赞助广告。蓝色的 Verizon 对勾。文案写着 "Verizon Wireless. Pay Your Bill Online. Fast, Secure, Official Portal."。下面那一行没人真的会看的灰色小字里，写着 verizon-pay-online.com。

她点了进去。页面加载完毕。左上角是熟悉的红色 Verizon 标志，整套布局也熟得不能再熟。一张干净的表单：账户上的电话号码、金额、卡片信息。她敲下父亲的手机号。85 美元。从厨房台子上那张 Visa 上抄下的借记卡号。有效期。CVV。邮编。表单底下还有一个挺友好的 reCAPTCHA。她点了"支付"。

页面停了大概四秒，随后顶部弹出一条黄色横幅："交易失败。请稍后再试。" 瑞秋叹了口气，顺手关掉标签页，重新开一个，直接敲入 verizon.com，登进真正的账户，把账单又交了一次。同样是 85 美元，这次顺利通过。她对前面那次失败思考了大约十秒，得出结论：可能是银行觉得收款方有点怪，给拦下了。当晚账单里也没看到那笔扣款。到了星期五，整件事就彻底从脑子里翻篇了。

接下来三个星期，什么事也没发生。

她的卡片数据，连带 CVV、邮编、有效期、持卡人姓名，甚至包括她在卡号和有效期之间停顿那两秒的输入节奏（一些反欺诈系统正是用这种击键模式信号来评估风险），就这样静静地待在一个暗网市场的某个地下论坛上的 CSV 文件里。卖家把这批数据起名叫 "US Fresh CVV Pack March"。整批 4 万张卡。瑞秋那一张只是其中之一。整捆数据的报价大约是 800 美元，用门罗币结算。到第二周，这捆数据已经被三家不同的二道贩子分别买下，按美国的州拆成更小的包，转卖给那些真正动手的"卡手"。

星期二清晨美东时间 6 点 47 分，瑞秋的手机在床头柜上震了一下。是 Chase 银行 App 的推送通知。"Transaction declined. Bestelling Amsterdam, NL. Amount $1,200.00." 她眯着眼盯了一会儿。她不记得自己在阿姆斯特丹下过单。6 点 51 分，手机又震了一下。"Transaction declined. Online retailer NL. Amount $890.00." 她彻底醒了过来，坐起身。

6 点 53 分，手机第三次震动。这一次不是拒付。"Transaction approved. Online retailer SG. Amount $400.00." 新加坡。她解锁手机、打开 Chase App 的工夫里，又有三笔到账。620 美元，新加坡，通过。480 美元，阿姆斯特丹，拒付。380 美元，"数字商品市场"，连国家代码都没显示。

瑞秋点了"锁卡"，紧接着拨打了 Chase 反欺诈专线。等待提示音说当前预计等待 14 分钟。等她在 7 点 18 分终于接通真人时，2,400 美元已经清算成功了。新加坡那几笔和数字商品市场那几笔都过了。阿姆斯特丹那几笔之所以被拦，是因为 Chase 的算法终于发现了那条跨国轨迹。客服把笔录平静地记了下来。这种故事他今天已经听到第四遍了。他会发起争议交易，大部分款项大概会在 7 到 10 个工作日内退回。但这已经是瑞秋今年第二次出事，Chase 把她账户的反欺诈级别拉高了一档。新卡新号，3 到 5 天后邮寄到家。接下来的 72 个小时，她去加油站、去超市，都没办法刷卡。

那天清晨她坐在厨房餐桌前，努力地往回倒，想找出自己究竟是在哪一天把卡交给了陌生人。她记得在亚马逊下过单。记得交了 Verizon 的账。记得 Spotify 续过费。她不记得 verizon-pay-online.com，因为三周前那次"交易失败"的瞬间，对她来说什么都不是。一个小毛刺、一段卡顿，就和互联网偶尔抽风一样。

而那一刻，正是唯一的那一刻。整整三周，反欺诈侦测的时间窗口悄悄过期，数据则一直静静地躺在暗网市场的货架上。

为什么 Google 置顶广告有时反而是陷阱

骗子专门为高流量查询竞价 Google 广告。话费充值、流媒体续费、航班订购、政府缴费、报税截止。他们出的价往往压过真正的品牌方，因为对他们来说每一次转化（一张刚到手的卡，按新鲜度和余额能转卖 20 到 200 美元）远比一笔正常生意的利润值钱。这笔账算起来很残酷：一个骗子每次点击付 4 美元，每 200 个访客里有一个真的填卡，他每花 1,000 美元广告费就能收回 800 美元。真正的 Verizon 卖一笔 85 美元的话费充值，可能利润才 1.5 美元。出价层面，谁能压过谁，一目了然。

那张假页面通常做得严丝合缝。色值对、Logo 对、底部链接也对，有时甚至连"帮助中心"几个页面都是从官网整页搬过来的。能露出马脚的，只有 URL 本身。verizon-pay-online.com 不是 verizon.com。tmobile-billing.co 不是 t-mobile.com。中间多出的连字符、被硬塞进来的额外单词、把你下意识以为是 .com 的位置换成 .co、.help、.shop、.us，这就是全部破绽。三周之后，当你的卡在阿姆斯特丹被试卡时，这一条 URL 就是唯一还说得清问题的证据。

对骗子来说，你电话运营商的那条置顶 Google 广告位，往往比对运营商自己更值钱。这一句话就能解释整条灰色产业链的经济学。

这一招的加密钱包版本，我们之前在 通过 Google 广告进行的搜索引擎钓鱼里写过 MetaMask 和 Trezor 的变种。剧本一模一样，只是把品牌换了一下。

为什么"交易失败"往往是故意设计的特性，不是 Bug

那句假的 "Transaction failed, please try again"，是整套骗局里最聪明的设计之一，而且几乎没人能立刻看穿。它存在的理由是这样的。

如果骗子让页面显示"支付成功"，受害者一分钟后掏出银行 App 一看，没扣款，立刻起疑，下一步就是打银行电话。这对骗子来说是坏消息，卡可能一个小时之内就被冻结了。

而如果骗子让页面显示"支付失败"，受害者会做出一个对骗子非常有利的反应：嘟囔一句"网络抽风"，关掉这个标签页，转身打开真正的官网，把账单交了一遍，整件事就这样翻篇了。账已经交了，原本那笔"扣款"也从来没有真正发生过（因为骗子从一开始就没去试图扣款，纯粹是采集表单数据）。从银行的视角看，根本没有任何异常事件可以追查。卡片数据就这样悄无声息地进入暗网市场，受害者那段反欺诈的"侦测窗口"甚至连开都没开过。

也有些骗子选择反过来，先显示"支付成功"，然后立刻做一两次 1 到 5 美元的小额试卡，验证卡是有效的，再以更高价格转卖。这两套打法都奏效。"失败"那一套更"干净"，因为它让受害者在心理上彻底把这事关上了门，整个过程毫无怀疑。

真实的高仿 URL 模式（示意，不是恶意域名清单）

下面这些是一眼就要警觉的那类 URL。它们只是模式示意，不是骗子真用的实时清单，但能帮你看清骗子是怎么搭出"乍一看正确"的域名的。任何形如下面这几种结构的链接，都该当作可疑处理。

• verizon-pay-online.com（真正的 Verizon：verizon.com）
• tmobile-billing.co（真正的 T-Mobile：t-mobile.com）
• netflix-account-update.help（真正的 Netflix：netflix.com）
• spotify-renew-now.com（真正的 Spotify：spotify.com）
• flight-deal-direct.shop（没有真实品牌，纯粹是"特价机票"陷阱）
• airbnb-confirm-host.net（真正的 Airbnb：airbnb.com）
• irs-tax-online.us（真正的 IRS：irs.gov，永远不会是 .us 或 .com）

这些链接里，反复出现三类规律。一个是真品牌从不会用的中间连字符；二是被硬加上的额外单词，比如 "pay"、"billing"、"renew"、"confirm"、"online"；三是把品牌一贯的 .com 换成 .co、.help、.shop、.us，或者把美国政府机构应该用的 .gov 换成别的后缀。一条 URL 里同时出现以上两种或更多，几乎可以确定就是高仿。直接关掉。

2024 和 2025 年的官方报告到底是怎么说 Google 广告钓鱼的

这并不是一桩孤立的事件。最新的权威数据显示，广告驱动的诈骗正在快速加速。下面这些数字都出自 2024 和 2025 年官方发布的报告。

• Google 广告安全报告 2024（2025 年 4 月发布）：2024 年 Google 因违反政策（包括欺诈和误导行为）共拦截或下架了 55 亿条广告。与欺诈滥用相关的账户封停同比大幅上升，数以百万计的广告主账户被终止。报告特别指出，针对主要消费品牌的高仿支付与充值站点呈明显上升趋势。
• FBI 互联网犯罪报告 2024（IC3，2025 年 4 月发布）：全年共收到 859,532 起投诉。报告损失总额达到 166 亿美元，较 2023 年增长 33%。钓鱼仍是按数量计的第一大类犯罪，其中以赞助链接为投放渠道的高价值品牌冒充攻击占比明显抬升。
• FTC 消费者哨兵数据 2024（2025 年 2 月发布）：美国人 2024 年因欺诈损失 125 亿美元。仅在线购物诈骗的损失就接近 17 亿美元。FTC 特别提到，许多此类案件并非直接输入网址进入，而是从付费搜索结果点击开始的。
• Group-IB 威胁情报 2024：该机构 2024 年全年记录了多起针对 MetaMask、Coinbase、Zoom 和 Chase 的 "ClickFix" 与搜索广告高仿活动。赞助链接冒充被点名为当年增长最快的初始访问手段之一。
• Malwarebytes Labs 2024：全年多次披露针对流媒体服务、电信运营商和报税季美国政府税务门户的 Google 广告钓鱼活动。Malwarebytes Labs 团队把"赞助链接欺诈"形容成搜索生态里"挥之不去的低烧式感染"。

有一个数字值得记住：根据 FTC 数据，仅 2024 年美国在线购物欺诈造成的损失就达到 17 亿美元。其中相当可观的一部分，是从一条付费搜索结果开始的。

装上 SafeBrowz：拦截高仿支付网站

第一道防线，是让那个高仿页面根本没机会加载。这就是 URL 扫描器干的事。SafeBrowz 是一款面向 Chrome、Firefox 和 Edge 的免费浏览器扩展，它会在你即将访问一个页面时，把它和 550+ 个品牌的数据库、实时威胁情报 API、以及为新站点准备的 AI 内容分析层逐一比对。

套到瑞秋的故事里：扩展会在点击的那一瞬间拦下 verizon-pay-online.com。Verizon 在品牌数据库里。中间那条连字符加上"pay-online"后缀，命中了典型的高仿模式。整个页面会被一个红色的拦截页挡在前面，支付表单根本来不及加载。整个故事就到这里为止。

这是便宜又快的一层防御。它跑在浏览器里，零成本，在你访问的每一个网站上都生效。再叠上下面那一层，覆盖就完整了。

停止把主卡用在网上：改用低余额虚拟卡

URL 这一层能拦掉几乎所有情况。但"几乎"这两个字其实在做很重的工作。新的高仿域名每个小时都在批量生成；AI 这一层很强，但不完美；有时候那个假站点新到所有黑名单系统都还没收录。这就是为什么第二层策略很关键：即便假表单偶尔骗到了你，骗子也应该什么都拿不走。

方法很简单：停止用你的主借记卡或主信用卡做在线支付。改用一张独立的、平时余额很低的卡，每次只在付款前几秒充值你要花的那个准确金额。具体路径取决于你有没有持有加密货币，分两条。

持有加密货币的人：用加密资金充值的虚拟或实体 Visa 卡

如果你手里已经有 USDC、USDT、BTC 或 ETH，加密资金的 Visa 卡能让你用稳定币花在网上，主银行账户完全不用露面。每次按要付的金额给卡充值，付完之后卡又自动归零。可选项有：

• RedotPay（红点支付，香港）。支持 USDT、USDC 充值，一分钟之内即可签发虚拟 Visa，消费限额可灵活配置。是的，RedotPay 是一家正规的香港金融科技公司，与 Visa 有真实合作，在 Visa 受理的全球范围内服务用户。
• Crypto.com Visa（Crypto.com 维萨卡）。多级方案（高质押级别可获免费金属卡）。预付模式：从 Crypto.com 应用余额充值，任何受理 Visa 的地方都能刷。美国、欧盟、英国及多个其他地区均可申请。
• Nexo Card。以欧盟为主，同时提供借记模式（用余额充值）和信贷模式（以加密资产作为抵押）。如果你不想卖掉加密仓位也能消费，这张卡很合适。
• Bybit Card。在 Bybit 运营的大多数地区可用，直接从 Bybit 账户余额消费。对已经在交易所内的用户很顺手。
• Coinbase Card。美国和欧盟版本的 Visa 借记卡，绑定 Coinbase 余额。比上面几张更老牌、风格更保守，是 Coinbase 老用户的"入门款"。

这几张卡的用法都一样。在你按下 Verizon 支付按钮之前，先把 85 美元的 USDC 转到虚拟卡上。完成支付。卡片重新归零。即便那张商家页面其实是假的，骗子能拿走的也只是那 60 秒里卡上的 85 美元。想花多少就充值多少，骗子能偷走的，永远只是卡上当时有的那一点。

传统银行用户：专门开一张低余额的新银行卡

如果你完全不碰加密货币，同样这套思路也可以用一张常规的数字银行卡，或者在现有银行里再开一个子账户来实现。开一张"专门用来网上付款"的卡，平时 99% 的时间让它余额接近零。可选项有：

• Revolut。免费虚拟卡，支持一次性使用的"抛弃卡"（每笔交易一个新卡号）。在 App 里可即时冻结与解冻。美国、英国、欧盟、澳大利亚等多地可用。
• Wise（原 TransferWise）。多币种虚拟卡，跨境手续费很低。适合做跨境在线支付，不至于让本国主卡暴露在国际通道上。
• N26。主打欧盟市场。即时签发虚拟卡，实时消费推送，App 很干净，反欺诈策略也成熟。
• Chime。美国的预付模式，绑定一张余额不高的 Chime 消费账户，对不碰加密货币的美国用户来说是不错的基础选项。
• Cash App Card。美国版 Visa 借记，绑定 Cash App 余额。把余额保持很低，绝对不要在主活期账户里留下太多用于充值的多余钱。

用法和路径 A 完全一样。平时卡上保留 0 到 50 美元；要在网上付款时，提前 30 秒从主账户转入这次要花的准确金额；付完之后立刻把余额转回零。即便数据被偷，三周之后骗子在暗网市场里把这张卡拎出来想刷的时候，能拿到的就是个零。

两套策略叠起来用：腰带加吊带

策略一在表单加载之前就把威胁 URL 截住；策略二在万一漏网时把损失降到零。两条线对应的恰好是这种骗局可能失败的两条路径：识别和后果。URL 这一层是你的识别，低余额卡是你的后果上限。两个一起跑，最糟糕的情形就不再是"主账户被刷走 2,400 美元"，而是"一张本来就没钱的虚拟卡上扣了一笔 0 美元"。

每一次在线付款前的 3 步惯例

1. 核对 URL。要么自己手动输入品牌的官方域名，要么点开当初注册时存的书签。不要去点 Google 置顶的赞助广告。不确定的话，把链接粘进 SafeBrowz 扩展，或者用免费的 URL 安全检测器 查一下。一旦 URL 里出现你不熟悉的连字符、被硬加上的 "pay"、"billing"、"renew" 之类的词、或者你本应看到 .com / .gov 却看到了 .co、.help、.shop、.us，统统当作高仿处理。
2. 用低余额卡支付。每次只转入这一笔要花的准确金额。Verizon 的话费就转 85 美元；Spotify 续费就转 12 美元；机票就转 300 美元。主账户全程不动。
3. 5 分钟内打开银行 App 复查。看到任何不该出现的扣款，立刻发起争议。大多数卡组织允许你在第一笔欺诈交易出现的 24 小时内无门槛标记。美国的 Reg E 与欧盟的 PSD2 都把"早报"算作减损因素。

如果你已经在一个假网站上填过卡，现在该怎么办

如果你读到这里突然想起过去几周里某个瞬间，下面这套动作请今天就做。

• 立刻在银行 App 里冻结这张卡。Chase、Bank of America、Wells Fargo、Capital One 都支持一键冻结。冻结之后再去打电话。
• 申请换卡。账户不变，卡号重发。大多数银行 3 到 7 个工作日寄到。部分银行支持把数字卡即时推送到 Apple Pay 或 Google Pay。
• 对所有可疑扣款发起退款争议。在美国，Regulation E 对借记卡有 60 天的保护期；在欧盟，PSD2 给你最多 13 个月时间。务必走书面渠道（邮件、App、挂号信），留下纸面凭证。
• 向 FTC 与 FBI IC3 报案。分别在 reportfraud.ftc.gov 和 ic3.gov 提交报告。这些报告会进入真实的执法调查流程，也能给银行的争议处理提供加权依据。
• 注册信用监控。如果你在那个假站点上还填过社保号或完整身份信息，请同时启用信用监控。免费选项有 Credit Karma、Experian，以及 IdentityTheft.gov 的身份盗用恢复计划。如果社保号已泄露，请到三家征信局（Equifax、Experian、TransUnion）加上欺诈警报。

如何举报一条假的 Google 广告

如果你在置顶赞助位看到了一个高仿支付站，但还没掉进去，请花 5 分钟把它举报一下。每一次举报都让下一位受害者少了一分可能。

• 在搜索结果里的广告右上角点三点菜单，选 "Report this ad"，再选 "It's misleading"。这一通道直达 Google 广告安全团队。
• 把 URL 转发到 Google Safe Browsing 举报页：safebrowsing.google.com/safebrowsing/report_phish/。这会加入 Chrome、Firefox、Safari 共用的全球黑名单。
• 向 FTC 报案：reportfraud.ftc.gov，会进入执法机构能查询的 Consumer Sentinel 数据库。
• 向 FBI IC3 报案：ic3.gov，进入联邦层级的调查通道。
• 转发给反钓鱼工作组 APWG：reportphishing@apwg.org，进入浏览器与邮件服务商共享的全球钓鱼数据库。

最后更新：2026 年 5 月 30 日

SafeBrowz 如何拦截这类威胁

SafeBrowz 采用三层检测架构：本地 + API + AI。

• 第一层，本地检测：60+ 条 URL 模式和 550+ 个品牌专属签名直接在你的浏览器中运行。这一层会在你点击之后、支付表单加载之前，把 verizon-pay-online.com、tmobile-billing.co、netflix-account-update.help 这类"连字符 + 后缀"的变体拦下来。Verizon、T-Mobile、Netflix、Spotify、Airbnb、IRS，以及上百个其他品牌的签名都已经内置在扩展里。
• 第二层，API 核查：Google Safe Browsing、PhishTank、URLhaus 的交叉比对在服务端进行。任何一处刚被举报的恶意域名，包括那些每隔几个小时就被烧掉重生的高仿短命域名，都能在第一时间被识别出来。
• 第三层，AI 深度扫描（高级版）：用内容分析识别那些从未被任何黑名单收录的全新高仿页面。两个小时前刚上线的假 Verizon 页、还没被任何机构举报的新 spotify-renew-now.com 仿冒页、刚被注册下来的 flight-deal-direct.shop，全都能被识别出来。支持 100 多种语言。

检测特征来自威胁情报研究和我们自有的品牌数据库，并非来自用户浏览数据。SafeBrowz 不存储每位用户的浏览记录。

常见问题

Google 搜索首位广告总是安全的吗？

不一定。赞助位是按 Google 广告政策范围内的竞价规则卖给出价最高者的。骗子会反复抢购高价值品牌词（支付、充值、税务、机票订购）下的这些广告位，因为一张盗刷卡在暗网市场转卖的收益，往往就能压过这一次点击的广告成本。仅 2024 年 Google 就因政策违规下架了 55 亿条广告。把置顶赞助结果当作一条"线索"，而不是"目的地"。点击前先核对 URL，或者干脆手动输入品牌官方域名。

什么是虚拟卡？它如何在在线支付中保护我？

虚拟卡是一种由银行或金融科技公司发行、只活在 App 里的卡号，没有实体卡。你按需要支付的金额给它充值，用它在网上付款，剩下的时间卡上余额是零。即便卡片信息在假站点被窃，骗子能刷走的也只是当下卡里剩余的那一点。主账户完全不会暴露。大多数虚拟卡还允许你在 App 里即时冻结、按需更换卡号，并设置单笔交易限额。

RedotPay 是正规公司吗？

是。RedotPay 是一家自 2023 年起运营的香港金融科技公司，与 Visa 有真实的发卡合作。它接受 USDT 和 USDC 充值，签发的虚拟卡与实体 Visa 卡可以在全球受理 Visa 的商户使用。和任何金融服务一样，开通账户前请自行核实当下的费用结构、所在国家的监管状态以及条款细则。SafeBrowz 与 RedotPay 没有任何商业关联，也不收取佣金。我们把它列出来，只是因为它是 2026 年加密资金虚拟卡里几个真实可选项之一。

被盗的卡片多久会被使用？

几乎不会在头几天就被刷。卡片数据会先在假表单上被采集，与其他成千上万张卡一并打包进 CSV 文件，在一到两周内挂上暗网市场。这一批数据再被转卖给下游的"卡手"小组，由他们实际动手实施盗刷。从被采集到第一笔欺诈扣款，时间中位数大约是 15 到 25 天。这是故意设计的延迟：把盗刷推到受害者本能联想原始场景的窗口之外，也避开了银行第一线的欺诈模式匹配。

在假网站付款后我能拿回钱吗？

如果反应够快，往往可以拿回大部分。在美国，Regulation E 对借记卡提供 60 天的报告期保护（在 2 个工作日内报告可将自负额上限锁定在 50 美元以内）。在欧盟，PSD2 给你最多 13 个月时间对未授权交易提出异议。信用卡通常比借记卡保护更强，这也是很多人在网上偏好用信用卡的原因之一。退款成功率会在第一通 24 小时之后断崖式下滑。先冻结卡，再走书面渠道提交争议，并在当天向 FTC 和 FBI IC3 报案。

SafeBrowz 能拦截假的 Google 广告吗？

SafeBrowz 不会改动 Google 搜索结果，但它会拦截这些广告把你引向的高仿目标页。当你点击赞助结果跳到 verizon-pay-online.com 或 netflix-account-update.help 时，SafeBrowz 扩展会在任何支付表单渲染之前就接管页面加载，并显示一个红色拦截页。550+ 个品牌的数据库会即刻识别那些已知的高仿模式；高级版的 AI 这一层则会接住所有黑名单都还来不及收录的全新高仿页。把扩展和一张低余额虚拟卡叠在一起用，从广告到主账户被刷空的这整条链，就在中间被掐断了。