Google ha presentado una demanda civil en el Tribunal de Distrito de EE. UU. para el Distrito Sur de Nueva York (SDNY) contra los piratas informáticos con sede en China que están detrás de una plataforma masiva de phishing como servicio (PhaaS) llamada Lighthouse que ha atrapado a más de 1 millón de usuarios en 120 países.
El kit PhaaS se utiliza para llevar a cabo ataques de phishing por SMS a gran escala que explotan marcas confiables como E-ZPass y USPS para robar información financiera de las personas incitándolas a hacer clic en un enlace utilizando señuelos relacionados con tarifas de peaje falsas o entregas de paquetes. Si bien la estafa en sí es bastante simple, es la escala industrial de la operación la que le ha permitido ganar ilegalmente más de mil millones de dólares en los últimos tres años.
«Explotan la reputación de Google y otras marcas al mostrar ilegalmente nuestras marcas y servicios en sitios web fraudulentos», dijo Halimah DeLaine Prado, asesora general de Google. «Encontramos al menos 107 plantillas de sitios web que presentan la marca de Google en pantallas de inicio de sesión diseñadas específicamente para engañar a las personas haciéndoles creer que los sitios son legítimos».
La compañía dijo que está tomando acciones legales para desmantelar la infraestructura subyacente bajo la Ley de Organizaciones Corruptas e Influenciadas por Racketeers (RICO), la Ley Lanham y la Ley de Abuso y Fraude Informático.
Lighthouse, junto con otras plataformas PhaaS como Darcula y Lucid, es parte de un ecosistema de cibercrimen interconectado que opera desde China y que se sabe que envía miles de mensajes smishing a través de las capacidades RCS de Apple iMessage y Google Messages a usuarios en los EE. UU. y más allá con la esperanza de robar datos confidenciales. Estos kits han sido utilizados por un sindicato de smishing rastreado como Smishing Triad.
En un informe publicado en septiembre, Netcraft reveló que Lighthouse y Lucid han estado vinculados a más de 17.500 dominios de phishing dirigidos a 316 marcas de 74 países. Las plantillas de phishing asociadas con Lighthouse tienen licencias desde $ 88 por una semana hasta $ 1588 por una suscripción anual.
«Si bien Lighthouse opera independientemente del grupo XinXin, su alineación con Lucid en términos de infraestructura y patrones de focalización resalta la tendencia más amplia de colaboración e innovación dentro del ecosistema PhaaS», dijo la empresa suiza de ciberseguridad PRODAFT en un informe publicado en abril.
Se estima que los sindicatos de smishing chinos pueden haber comprometido entre 12,7 millones y 115 millones de tarjetas de pago solo en los EE. UU. entre julio de 2023 y octubre de 2024. En los últimos años, los grupos de delitos cibernéticos de China también han evolucionado para desarrollar nuevas herramientas como Ghost Tap para agregar detalles de tarjetas robadas a billeteras digitales en iPhones y teléfonos Android.
El mes pasado, la Unidad 42 de Palo Alto Networks dijo que los actores de amenazas detrás de Smishing Triad han utilizado más de 194.000 dominios maliciosos desde el 1 de enero de 2024, imitando una amplia gama de servicios, incluidos bancos, intercambios de criptomonedas, servicios de correo y entrega, fuerzas policiales, empresas estatales y peajes electrónicos, entre otros.