Google ha presentano una denuncia contro i cybercriminali cinesi che gestiscono Lighthouse, una delle più grandi piattaforme PaaS (Phishing-as-a-Service) del mondo. È stata utilizzata per colpire milioni di utenti attraverso falsi messaggi, email e siti web. Lo scopo principale è rubare i dati personali e di pagamento (carte di credito). L’azienda di Mountain View invita il Congresso ad approvare tre disegni di legge presentati da democratici e repubblicani.
Come funziona Lighthouse
Lighthouse può essere definito un kit “phishing for dummies”. È un pacchetto completo, offerto in abbonamento, che permette anche agli cybercriminali meno esperti di effettuare attacchi di phishing. Sono disponibili numerosi template (modelli) che consentono di creare velocemente siti fasulli di organizzazioni e istituti finanziari. Le vittime ricevono SMS o email apparentemente legittime.
Il kit permette di scrivere messaggi che sembrano di USPS (US Postal Service), E-ZPass (società di riscossione dei pedaggi autostradali) e altre aziende. Google ha scoperto 107 siti fasulli che mostrano una schermata di login con il suo logo. In base ad una stima per difetto, le vittime sono oltre un milione in tutto il mondo. Solo negli Stati Uniti, il numero di carte di credito rubate potrebbe essere oltre 115 milioni.
I cybercriminali cercano di rubare le credenziali di account, conti bancari, wallet di criptovalute e vari dati personali. Le perdite economiche sono superiori ad un milione di dollari. Lighthouse permette di cambiare facilmente il dominio dei siti e può intercettare i codici OTP dell’autenticazione in due fattori.
Il kit viene principalmente pubblicizzato tramite un canale Telegram con oltre 2.500 iscritti. Il servizio di messaggistica viene utilizzato anche come supporto clienti. L’obiettivo di Google è smantellare l’infrastruttura della piattaforma sulla base di tre leggi (Racketeer Influenced and Corrupt Organizations Act, Lanham Act, Computer Fraud and Abuse Act).
L’azienda di Mountain View ha deciso inoltre di appoggiare tre disegni di legge (Guarding Unprotected Aging Retirees from Deception Act, Foreign Robocall Elimination Act e Scam Compound Accountability and Mobilization Act) che prevedono finanziamenti, sanzioni e taskforce per contrastare phishing e truffe in generale.