Smishing Triad全球扩张，化名“王多余”展示攻击手段_

近年来，网络犯罪的规模与复杂性不断升级。其中，一个名为“Smishing Triad”的中国网络犯罪团伙尤为引人注目。自2023年以来，这个组织通过短信网络钓鱼（即“smishing”）席卷全球121个国家，攻击目标涵盖邮政、物流、电信、运输、零售和公共部门等多个行业。其犯罪手法之狡猾、组织之严密、影响之广泛，令人触目惊心。

Smishing Triad的攻击核心是短信网络钓鱼。他们通过发送欺诈性短信，诱导受害者点击恶意链接。这些短信往往以“包裹递送问题”或“高速公路通行费未支付”为由，制造紧迫感，迫使用户迅速行动。一旦用户点击链接，就会被重定向到仿冒的合法网站，例如伪装成银行或邮政服务的页面。这些假网站设计精良，几乎以假乱真，极易让用户上当。

更令人担忧的是，Smishing Triad的攻击规模空前。研究显示，其每天活跃的恶意网站高达数万个。为逃避检测，他们频繁更换域名，仅在任意8天内，就有约2.5万个域名在线。这种高频轮换策略让传统网络安全措施难以追赶。此外，超过一半的钓鱼基础设施由中国公司腾讯和阿里巴巴托管，这为追踪和阻断犯罪行为增加了复杂性。

Smishing Triad的成功不仅在于技术手段，更在于其对人性心理的精准把握。紧迫感和信任感的滥用，让普通用户在毫无防备的情况下落入陷阱。这提醒我们，网络安全不仅需要技术防御，更需要提升公众的警惕性。

2025年3月，Silent Push分析师发现Smishing Triad推出了一款名为“Lighthouse”的新型网络钓鱼工具包。这一工具标志着该团伙技术能力的显著提升。Lighthouse不仅针对澳大利亚金融机构和西方主要银行，还具备高度定制化的功能。其管理面板允许攻击者调整目录结构、实施基于国家/地区的IP过滤，甚至可以动态调整诈骗金额。这种灵活性让攻击更具针对性，也更难被发现。

Lighthouse的界面设计令人信服。它能精确复制银行页面，并通过多阶段验证流程（如OTP验证、PIN验证和3DS验证）增强可信度。更可怕的是，其会话管理功能可实时跟踪受害者进度，JavaScript中的中文状态消息如“当前正在首页”“当前已填写完成”清晰记录用户操作。这种细致入微的设计，反映了Smishing Triad对移动端攻击的专注——毕竟，智能手机是现代人最常使用的设备。

化名“王多余”的攻击者在Telegram上泄露了Lighthouse的部分功能，宣称该工具包支持“实时同步、一键设置、一键更新”。这些特性表明，Smishing Triad已从单一的诈骗团伙演变为一个高度工业化的犯罪网络。据其自称，全球范围内有“300多名前台工作人员”参与行动。这让我感到震惊：一个网络犯罪团伙竟能如此规模化运作，堪比正规企业。这种组织能力无疑加剧了其威胁性。