美國聯邦調查局(FBI)與 Google 於 6 月 12 日聯合宣布,成功瓦解一個總部位於中國的大型網路犯罪集團「Outsider Enterprise」。這個透過 Telegram 營運的「釣魚即服務」(Phishing-as-a-Service, PhaaS)平台,利用 Google Gemini AI 批量生成釣魚網頁程式碼,再將這些偽冒網頁以訂閱制方式販售給全球犯罪分子。自 2023 年 7 月運作至今,該集團已竊取約 387 萬張信用卡資料,造成估計約 19 億美元(約新台幣 579 億元)的經濟損失,受害者遍布 55 個國家、數十萬人。
這是 Google 首次對濫用自家 AI 平台發動大規模網路攻擊的犯罪組織提起法律訴訟,也標誌著 AI 技術被武器化後,執法機關與科技企業面臨的全新挑戰。
「幽靈鉤行動」:FBI 技術與法律雙管齊下
此次行動代號為「幽靈鉤行動」(Operation Ghost Hook),隸屬於 FBI 更大規模的網路犯罪打擊計畫「激流行動」(Operation Riptide)。FBI 與合作夥伴在技術層面採取了多項行動:查封犯罪集團的核心管理伺服器、一個用於販售釣魚工具的 Shopify 電商網頁,以及凍結其加密貨幣錢包中約 10 萬美元的泰達幣(USDT)資產。
數千個由該集團在美國域名註冊商註冊的釣魚網域,目前已被重新導向至 FBI 的警告頁面。FBI 還成功接管了 Outsider Enterprise 用於營運的 Telegram 機器人,從中獲取了該平台客戶的大量情報資料。
FBI 網路部門助理主任 Brett Leatherman 表示:「Outsider Enterprise 背後的犯罪分子建立了一套完整的商業模式,透過冒充受信任的品牌來詐騙數十萬名受害者。」
犯罪營運模式:傻瓜版釣魚工具,每週 88 美元
Outsider Enterprise 的商業模式本質上是一套「釣魚即服務」訂閱平台。根據 Google 在紐約南區聯邦地方法院提起的訴狀內容,犯罪分子只需每週支付 88 美元(約新台幣 2,680 元)或每月 200 美元(約新台幣 6,090 元),即可獲得完整的釣魚攻擊工具組。
Google 在訴狀中將這套工具形容為「傻瓜版釣魚工具」(phishing-for-dummies),內建超過 290 種現成的偽冒網頁範本,涵蓋 Google、YouTube、美國郵政署(USPS)、電信業者、金融機構、州政府監理單位,以及紐約 E-ZPass 等收費系統。訂閱者完全不需要具備程式設計能力,平台透過 Telegram 自動化機器人提供服務,從購買到部署全程自動化。
更危險的是,該平台具備「即時資料擷取」功能,能在受害者輸入資料的瞬間同步竊取簡訊驗證碼、PIN 碼等多因素認證資訊,有效突破雙重認證(2FA)防線。
Gemini 如何被武器化:隱瞞意圖繞過安全機制
這起案件最引人注目的地方,在於犯罪分子如何系統性地利用 Google 自家的 Gemini AI 來對付 Google 的用戶。根據訴狀內容,Outsider Enterprise 的成員會互相分享如何使用 Gemini 等 AI 平台生成客製化釣魚網站程式碼的教學。
他們的手法是透過精心設計的提示詞(Prompt)欺騙 Gemini:在提示詞中故意隱瞞真實意圖,將釣魚頁面偽裝成無害的「禮品兌換網頁」,同時要求 AI 使用行內樣式表(Inline CSS)且不包含 JavaScript 語法。這種看似普通的網頁設計請求成功繞過了 Gemini 的安全過濾機制,使 AI 產出可直接使用的 HTML 原始碼。
買家取得程式碼後,將其匯入 Outsider 系統,即可快速衍生出大量變體釣魚網頁,大幅增加追蹤難度。Google 法務長 Halimah DeLaine Prado 向《紐約時報》表示,這個犯罪網絡有效地將詐騙「工業化」,將技術門檻降到幾乎為零,把 Google 自家的生成式 AI 變成了惡意程式碼的工廠。
攻擊規模驚人:兩週 250 萬則詐騙簡訊
Outsider Enterprise 的攻擊規模令人咋舌。Google 的統計數據顯示,僅在 2026 年 5 月的兩週期間,就有超過 250 萬則包含釣魚連結的簡訊被發送給 Android 用戶,其中 55,000 則被用戶回報為詐騙訊息。
這些詐騙簡訊透過美國三大電信商 AT&T、T-Mobile 和 Verizon 的網路發送,內容偽裝成包裹配送通知、高速公路通行費未繳提醒、停車罰單警告,或是券商帳戶異常、電信業者獎勵積分等各種看似合理的訊息。受害者點擊連結後會被導向高度仿真的偽冒網站,在不知情的狀況下輸入帳號密碼、信用卡資料及驗證碼。
Google 表示,該集團並非單一犯罪組織,而是一個完整的詐騙產業鏈,由釣魚工具開發者、受害者名單供應商、垃圾簡訊發送者,以及負責變現與洗錢的成員共同組成。
Google 提起民事訴訟,承認引渡困難
Google 於 6 月 12 日向紐約南區聯邦地方法院提起民事訴訟,依據《反勒索及受賄組織法》(RICO Act)及商標侵權法規對 Outsider Enterprise 提告。這是 Google 首次因犯罪組織濫用其 AI 平台而採取法律行動。
不過 Google 也坦承,由於被告位於中國,要將他們引渡至美國受審的可能性極低。Google 法務長 Halimah DeLaine Prado 在聲明中指出:「單靠訴訟無法終結這類犯罪。隨著威脅不斷演變,我們的法律也必須跟上。」
除了法律行動,Google 正與 AT&T、T-Mobile、Verizon 等電信業者合作,在詐騙簡訊送達用戶之前加以攔截。Google 也同時推動美國國會通過包含《Stop SCAMS Act》在內的 7 項跨黨派反詐騙法案,希望建立由 FBI 主導的國家級反詐騙策略。
AI 詐騙新時代:技術防禦與立法雙軌並進
這起案件凸顯了一個嚴峻的現實:AI 工具正在被系統性地武器化。過去,發動大規模釣魚攻擊需要具備一定的程式設計能力;如今,犯罪分子只需在 AI 聊天視窗中輸入一段精心包裝的提示詞,就能在幾秒鐘內生成專業級的釣魚網頁。Outsider Enterprise 將這個過程「工業化」,讓零技術背景的犯罪分子也能輕鬆發動攻擊。
Google 表示,公司已部署 AI 驅動的防禦系統來保護 Android 用戶,目前每月可攔截超過 100 億則惡意訊息。但防守端的 AI 與攻擊端的 AI 之間的軍備競賽,才剛剛開始。
對一般用戶而言,最基本的自保方式是對所有未經請求的簡訊連結保持預設懷疑態度,並透過官方管道直接驗證訊息真偽。在 AI 讓詐騙內容變得越來越逼真的時代,「不點擊、先查證」是唯一可靠的防線。