Gemini 被指幫手量產釣魚網站,Google 告 Outsider Enterprise
案情未定,但 AI scam kit 已經講緊工業化速度
Google 今次入稟控告一個名為 Outsider Enterprise、被指喺中國運作嘅團伙,指佢哋喺 Telegram 協調同賣「phishing-as-a-service」工具,畀冇乜技術底嘅騙徒都可以開假網站、出短訊、收集登入同信用卡資料。法律上,呢啲仍然係 Google 嘅單方面指控,法院未有定案;但係文件同官方 blog 披露嘅規模,已經夠解釋點解件事值得睇。
AI 喺邊度入場
據 Google 同相關訴狀報道,Outsider 提供超過 290 個假網站模板,仿冒 Google、YouTube、郵政、收費公路、電訊商、金融機構等。更麻煩係,成員被指互相鼓勵用 Gemini 生成假網站所需 HTML / code,再匯入佢哋嘅工具套件。以前整假網站要有少少開發能力,而家門檻明顯降低:prompt 寫得似,頁面就可以快好多落地。
Google 話今年 5 月兩星期內,Android 用家舉報咗約 55,000 條相關 spam text;同一段時間,系統偵測到 250 萬條發畀 Android 用家、帶有 Outsider 生成網站連結嘅訊息。整個 operation 同 9,000 個假網站、超過 100 萬個詐騙 URL 有關。Washington Examiner 引述訴狀再指,平台可低至每星期 88 美元訂閱,仲有 dashboard、keystroke logging 同繞過 MFA 嘅工具;呢啲細節屬訴狀內容,未經法庭裁定。
圖片:Google
點解手機用家要理
呢類攻擊最陰濕嘅地方,係佢唔靠入侵手機。騙徒要做嘅係畀你睇到一個似真嘅短訊:包裹卡住、積分到期、銀行帳戶異常、收費未繳。你撳入去,假網站再問你登入、OTP、信用卡。AI 幫到嘅係速度同變種數量,唔代表每條訊息都完美;但足夠令舊式「文法怪就係假」呢招冇咁可靠。
今次案例主要指向美國 Android 用家,冇來源證實佢直接打香港。但係本地玩法好接近。守網者列過冒認電訊商、會員獎賞、網上付款同政府部門嘅短訊;通訊辦嘅短訊發送人登記制亦令已登記發送人用「#」開頭,方便核對。金管局亦多次提醒,銀行唔會用內嵌連結叫你登入網上銀行、交易,亦唔會經電話、電郵或短訊問密碼同 OTP。
實際點避
- 唔撳短訊入面嘅登入連結:自己開 app、書籤、官方網址,或者打去卡背/官網列明電話。
- 睇發送人但唔迷信發送人:香港電訊商同部分機構有「#」發送人,但冇「#」唔一定等於假,有「#」都唔代表可以交資料。
- OTP 畀你用,唔係畀客服用:任何人叫你讀出、輸入去陌生網頁或者轉發,都當 scam。
- Android 警告要理:Google Messages 嘅 scam detection 同 spam protection 會擋部分訊息,但香港功能覆蓋同語言未必一樣,工具只係底線。
我睇今次最大訊號,係大型平台終於要用法律、電訊商攔截、AI 偵測一齊打呢條供應鏈。單靠叫人小心永遠慢半拍,因為騙徒已經將釣魚頁面當 SaaS 咁賣,仲加 AI code generator。普通人要做嘅唔複雜:任何短訊只要叫你即刻登入、補錢、攞獎、交 OTP,就先停一停,轉去官方途徑查。
參考來源
- Ars Technica — Google sues Chinese cybercrime network that used Gemini to automate scams — original report
- How Google is combatting AI scams and dismantling the “Outsider Enterprise” — Google 官方 blog,確認 9,000 假網站、100 萬 URL、55,000 舉報短訊同 250 萬訊息等核心數字。
- Scammers Used Gemini AI to Help Build Spam Messages, Google Says — Bloomberg 轉載報道,補充訴狀指稱 Gemini 用嚟寫假網站 code、未列明短訊損失金額等細節。
- Google sues suspected AI scam network in joint crackdown with FBI, telecom giants — 引述訴狀內容,補充模板數量、訂閱價、dashboard、MFA bypass 同 Google Drive 濫用等指稱。
- 短訊騙案|收個SMS就中招?認住「#」號識別真假電訊商 — 本地防騙背景,確認香港常見積分到期、電訊商冒認短訊同「#」發送人提示。
- Scam alert related to banks — 金管局提醒銀行唔會用 SMS/電郵內嵌連結叫客戶登入或提供密碼、OTP。
- New AI-Powered Scam Detection Features to Help Protect You on Android — Google 官方 Android 防 scam 功能背景,確認 Google Messages / Phone by Google 嘅 on-device AI 偵測方向同地區限制。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
