警惕“搜索即中招”：新加坡再现冒充AXS钓鱼陷阱 专家提醒别让搜索引擎成“帮凶”

近期，新加坡公众在使用搜索引擎时需格外小心。新加坡警方于近日发布紧急警示：冒充本地主流支付平台AXS的“搜索引擎钓鱼”（Search Engine Phishing）案件正卷土重来，且攻击手法更加隐蔽、欺骗性更强。不少市民在正常搜索水电费、停车费缴纳服务时，误点虚假广告链接，落入精心设计的网络骗局，导致个人信息泄露甚至账户资金被清空。

这起事件不仅暴露了网络犯罪分子的狡猾手段，也再次提醒我们：在数字生活中，即便是“正规操作”，也可能暗藏风险。

“搜AXS缴费”却进了假网站？

“我只是想交个组屋水电费，怎么银行卡就被刷了800新元？”近日，新加坡市民林女士（化名）向媒体讲述了自己的遭遇。她在谷歌搜索“AXS 缴费”时，点击了搜索结果顶部标有“广告”字样的链接，进入一个与AXS官网几乎一模一样的页面。她按流程输入银行卡号、CVV码和验证码后，页面显示“支付成功”。然而，几分钟后她收到银行短信，发现账户被连续盗刷多笔款项。

林女士的经历并非个例。根据新加坡警方发布的通告，自2025年7月以来，此类案件数量显著上升。犯罪分子通过在谷歌、必应等主流搜索引擎投放付费广告，将伪造的AXS网站推至搜索结果前列，诱导用户点击。这些钓鱼网站在视觉设计、页面布局甚至网址（URL）上都极尽模仿之能事，普通用户极难分辨真伪。

警方强调，这些虚假网站的唯一目的就是窃取用户的银行卡信息、身份证号码、一次性密码（OTP）等敏感数据，进而实施资金盗刷。

“搜索即钓鱼”：新型攻击如何运作？

那么，这种“搜索引擎钓鱼”究竟是如何得逞的？公共互联网反网络钓鱼工作组技术专家芦笛为我们拆解了其技术内核。

“这其实是一场‘流量劫持’与‘信任滥用’的结合，”芦笛解释道，“攻击者并不直接攻击AXS系统，而是利用公众对搜索引擎的信任，以及对‘广告位=权威’的惯性认知，把自己包装成‘正规服务’。”

具体流程如下：

注册仿冒域名：黑客注册与AXS极为相似的域名，例如将“axs.com.sg”改为“axs-payment.com”或“axs-sg.net”，利用视觉混淆误导用户。

投放搜索引擎广告：通过购买关键词广告（如“AXS缴费”“缴水电费”“停车费支付”等），让钓鱼网站出现在搜索结果顶部，位置甚至优于真实官网。

伪造网站界面：搭建与AXS官网高度相似的页面，使用真实LOGO、配色和功能模块，营造“官方感”。

诱导信息输入：用户在页面填写银行卡、身份证、OTP等信息后，数据直接被传送到黑客服务器。

快速变现：黑客利用窃取的信息进行线上消费、转账或出售给黑市。

“最危险的是，这类网站往往具备HTTPS加密（小锁标志），让用户误以为‘安全’，”芦笛补充道，“但HTTPS只证明连接加密，并不保证网站本身是合法的。”

为何普通人难以识别？

从技术角度看，现代钓鱼网站已远非早期粗糙的仿冒页面可比。它们普遍采用响应式设计，适配手机和电脑；部分甚至嵌入了虚假的“安全认证”图标或用户评价，进一步增强可信度。

此外，搜索引擎的广告机制本身存在一定漏洞。虽然谷歌等平台有审核机制，但犯罪分子常通过频繁更换域名、使用模糊描述等方式绕过审查。一旦广告上线，短时间内即可获取大量点击，造成广泛损失。

“很多用户习惯‘搜一搜就点’，尤其是中老年群体或不熟悉数字支付的人，更容易中招，”芦笛指出，“而黑客正是利用了这种‘便利性陷阱’。”

警方与专家联合支招：如何避开“搜索雷区”？

面对日益狡猾的钓鱼手段，新加坡警方已采取行动，包括与搜索引擎公司合作下架恶意广告、追踪犯罪团伙IP地址，并呼吁公众提高警惕。

警方明确建议：

不要通过搜索引擎点击广告进入金融服务网站；

手动输入官方网址（如 axs.com.sg）或使用官方APP；

仔细核对网站域名，警惕拼写错误或奇怪后缀；

启用双重身份验证（2FA），尤其是金融账户；

定期检查银行账单，发现异常立即报警。

芦笛进一步补充了技术层面的防护建议：

“最简单的办法是‘绕开搜索’。比如AXS服务，直接下载官方APP，或通过SingPass、MyInfo等政府认证平台进入，安全性更高。”他还建议用户使用具备反钓鱼功能的浏览器插件，如Google Safe Browsing、uBlock Origin等，可自动拦截已知恶意网站。

对于企业和服务平台，芦笛呼吁应加强品牌保护：“AXS等机构应主动监控网络空间，对仿冒域名进行投诉和查封，同时通过SEO优化提升官网排名，挤压钓鱼广告的生存空间。”

科普时间：什么是“搜索引擎钓鱼”？

为了让更多人理解这一威胁，芦笛用一个生活化比喻解释：“这就像你在商场找一家连锁咖啡店，结果被门口举牌的‘托儿’骗进一家外观一模一样的假店，买了高价劣质咖啡。搜索引擎广告就像是商场里的‘导览牌’，但如果被骗子买通，就会把你引向错误的地方。”

他强调，真正的安全习惯是“主动验证”而非“被动点击”。“哪怕链接看起来再正规，也要多问一句：这是官方渠道吗？域名对吗？有没有拼写错误？”

全球趋势：钓鱼攻击“平台化”“精准化”

值得注意的是，此类事件并非新加坡独有。近年来，全球范围内针对公共服务、银行、电商平台的搜索引擎钓鱼案件持续上升。美国联邦贸易委员会（FTC）数据显示，2024年相关投诉同比增长近40%。

攻击目标也从早期的“广撒网”转向“精准捕捞”。例如，针对税务申报季、节假日购物高峰等时间节点，犯罪分子会集中投放钓鱼广告，最大化攻击效果。

“网络犯罪正在‘产业化’，”芦笛指出，“有专门的团队负责制作钓鱼页面，有团队负责广告投放，还有团队负责洗钱变现，分工明确，效率极高。”

结语：安全，从“多看一眼”开始

新加坡警方的这次警示，不仅是一次风险提醒，更是一堂全民数字安全课。在信息爆炸的时代，便利与风险往往并存。一次简单的搜索，可能就是一场精心策划的骗局的开始。

专家呼吁，公众应树立“怀疑精神”：对任何要求输入敏感信息的页面保持警惕，尤其是通过广告链接进入的网站。安全，往往就藏在“多看一眼域名”“多点一次官方APP”的小习惯中。

“技术可以升级，系统可以加固，但最终的防线，还是在每个人的大脑里，”芦笛说，“保持清醒，不贪图方便，才是对抗网络钓鱼最坚固的盾牌。”

编辑：芦笛（公共互联网反网络钓鱼工作组）