Google ha avviato una causa civile presso il tribunale distrettuale di New York contro un gruppo di hacker basati in Cina, responsabili della piattaforma di Phishing-as-a-Service (PhaaS) chiamata Lighthouse. Questa piattaforma ha colpito oltre un milione di utenti in 120 Paesi, generando profitti illeciti che superano il miliardo di dollari negli ultimi tre anni. Lighthouse si distingue per la facilità d’uso e la capacità di orchestrare attacchi di phishing tramite SMS su larga scala, sfruttando l’immagine di marchi noti come E-ZPass e USPS per ingannare gli utenti e sottrarre dati finanziari sensibili tramite link truffaldini riferiti a presunte multe o spedizioni.

Google segnala che i cybercriminali sfruttano illegalmente il marchio e i servizi dell’azienda, pubblicando loghi e schermate di accesso false per indurre le vittime a credere che i siti siano legittimi. L’azienda ha individuato almeno 107 template di siti web fraudolenti che imitano il brand Google, a testimonianza di un sofisticato livello di ingegneria sociale.

L’azione legale e il contesto del cybercrime

L’azione legale di Google punta a smantellare l’infrastruttura criminale sfruttando il RICO Act, il Lanham Act e il Computer Fraud and Abuse Act, strumenti fondamentali nella lotta contro le organizzazioni dedite al cybercrime. Lighthouse non è un caso isolato: fa parte di un ecosistema criminale più ampio che comprende altre piattaforme, come Darcula e Lucid, tutte con base in Cina. Questo network invia migliaia di messaggi smishing sfruttando servizi come iMessage e Google Messages RCS, con l’obiettivo di rubare dati sensibili a utenti americani e internazionali.

Impatto e portata delle attività criminali

Secondo una recente analisi, Lighthouse e Lucid sono legate ad oltre 17.500 domini di phishing attivi contro 316 brand in 74 nazioni. L’accesso ai template di phishing varia da 88 dollari a settimana fino a 1588 dollari per un abbonamento annuale, rendendo il servizio accessibile e attraente per gruppi di criminali informatici. I sindacati come Smishing Triad utilizzano questi kit per compromettere, solo negli Stati Uniti, tra i 12,7 e i 115 milioni di carte di pagamento, con alcuni gruppi che sviluppano strumenti innovativi come Ghost Tap per aggiungere carte rubate a portafogli digitali su dispositivi mobili.

Nel 2024, sono stati identificati oltre 194.000 domini malevoli riconducibili a questi gruppi, che imitano banche, servizi postali, enti pubblici e piattaforme di criptovalute. La crescente collaborazione e innovazione tra gli attori del PhaaS dimostra quanto sia dinamico e pericoloso il panorama delle minacce, spingendo aziende come Google a ricorrere a ogni strumento legale possibile per tutelare utenti e brand.