Google 信任与安全团队发布 2026 年 6 月诈骗通报,概述当前高级钓鱼(含 AITM、Quishing)、利用云平台绕过检测的手法,以及与加密货币投资相关的诈骗新变种,并提供技术与用户层面的防护建议。通报还强调利用 AI 与法律行动并行,破坏诈骗基础设施与服务。
- 概览
- 全球诈骗仍高发,2025 年估计损失近 5800 亿美元,约五分之一成年人曾中招。Google 使用 AI 工具检测并响应新型诈骗,定期公开观察结果。
- 主要诈骗类型与观察
- 对抗者中间人(AITM)与二维码钓鱼(Quishing)
- 攻击者能镜像合法登录流程,窃取密码与会话 cookie,从而绕过多因素认证(MFA)。
- 恶意负载常寄宿在受信任的云服务或文档的“隐形页面”上,规避安全扫描与声誉过滤(reputation bypass)。
- 案例包括伪造的日历续订通知(Calendar Phishing)、冒充品牌窃取会话令牌以及以假浏览器更新诱导安装恶意软件的“ClickFix”行动。
- 滥用云生产力套件
- 攻击者在云日历、云文档或 Google Sites 中嵌入钓鱼内容以规避传统检测。
- 加密货币与 AI 相关投资诈骗
- 诈骗手法包括虚假空投、伪装的被动收益挖矿软件、误导性的节点或机器人搭建教程,受害者按指示运行代码后被掏空钱包。
- 防护与应对措施
- 技术层面
- 部署 Device Bound Session Credentials(DBSC)等机制,保护会话 cookie 不被盗用。
- 中和/拆解支撑钓鱼的基础设施,联合采取法律行动打击 Phishing-as-a-Service(PhaaS)及相关工具。
- 用户层面建议
- 不要用个人手机扫描来自意外邮件的二维码;遇到通知时直接访问服务的官方网站而非点击邮件链接或电话。
- 对所谓“轻松高回报”的加密投资保持高度怀疑,避免运行不明来源代码或软件。
- 行动与倡议
- Google 表示将继续利用 AI 防护能力、发布观测报告、并通过诉讼和技术手段破坏诈骗生态。
对抗现代诈骗已成为技术与法律并行的长期战事,开发者与从业者需优先采用会话绑定等工程手段并强化用户教育。