Google揭露中國網釣即服務平臺YY Lai Yu，日本成首要網釣目標

GTIG調查顯示，「YY来鱼」自2024年8月開始活躍，宣稱支援全球119國的網釣活動。其核心目標目前鎖定日本市場，專為中文攻擊者提供滲透日本消費生態系所需的在地化工具。

自2025年11月至今，該平臺已提供超過400種釣魚模板。值得關注的是，這些模板不再僅限於傳統的偽冒銀行頁面，而是深度偽造日本民眾的日常數位服務，品牌涵蓋 Amazon、Apple、PayPay、JR鐵路、任天堂，以及野村、樂天等證券公司與佐川急便等物流業者。同時，該平臺也進一步利用當地消費習慣與時事主題，以積分獎勵兌換、日本冬季電力補助等名義，引誘民眾上當。

在攻擊管道方面，該平臺支援RCS與iMessage加密簡訊發送功能，讓攻擊者得以規避電信業者過濾；此外，「YY来鱼」也提供獨特的真人驗證視窗機制（human verification anti-bot screen），能阻擋資安廠商的自動化掃描，規避偵測並延長釣魚連結的存活時間。

GTIG 強調，雖然「YY来鱼」目前以日本為主要目標，但攻擊活動正向全球擴散，美洲、歐洲、澳洲及中東地區均已出現受害者，顯示此類中文自動化PhaaS體系已成為全球資安威脅。

圖為YY Lai Yu（YY来鱼）平臺偽冒日本最大行動支付PayPay的釣魚頁面。