Google heeft bij de Amerikaanse arrondissementsrechtbank van het zuidelijke district van New York (SDNY) een civiele rechtszaak aangespannen tegen in China gevestigde hackers die achter een gigantisch Phishing-as-a-Service (PhaaS)-platform zitten, Lighthouse genaamd, dat meer dan 1 miljoen gebruikers in 120 landen heeft verstrikt.
De PhaaS-kit wordt gebruikt om grootschalige sms-phishing-aanvallen uit te voeren waarbij vertrouwde merken als E-ZPass en USPS worden misbruikt om de financiële informatie van mensen te stelen door hen te vragen op een link te klikken met behulp van lokmiddelen die verband houden met valse toltarieven of pakketbezorgingen. Hoewel de zwendel op zichzelf vrij eenvoudig is, is het de industriële omvang van de operatie die het mogelijk heeft gemaakt om de afgelopen drie jaar illegaal meer dan een miljard dollar te verdienen.
“Ze exploiteren de reputatie van Google en andere merken door onze handelsmerken en diensten illegaal weer te geven op frauduleuze websites”, zegt Halimah DeLaine Prado, General Counsel bij Google. “We hebben minstens 107 websitesjablonen gevonden met de merknaam van Google op inlogschermen, speciaal ontworpen om mensen te laten geloven dat de sites legitiem zijn.”
Het bedrijf zei dat het juridische stappen onderneemt om de onderliggende infrastructuur te ontmantelen op grond van de Racketeer Influenced and Corrupt Organizations (RICO) Act, de Lanham Act en de Computer Fraud and Abuse Act.
Lighthouse maakt, samen met andere PhaaS-platforms zoals Darcula en Lucid, deel uit van een onderling verbonden ecosysteem voor cybercriminaliteit dat opereert vanuit China en waarvan bekend is dat het duizenden smishing-berichten via Apple iMessage en de RCS-mogelijkheden van Google Messages naar gebruikers in de VS en daarbuiten stuurt in de hoop gevoelige gegevens te stelen. Deze kits zijn in gebruik genomen door een smishing-syndicaat dat bekend staat als Smishing Triad.
In een rapport dat in september werd gepubliceerd, onthulde Netcraft dat Lighthouse en Lucid zijn gekoppeld aan meer dan 17.500 phishing-domeinen die zich richten op 316 merken uit 74 landen. Voor phishing-sjablonen die aan Lighthouse zijn gekoppeld, zijn licenties verkrijgbaar vanaf $ 88 voor een week tot $ 1.588 voor een jaarabonnement.
“Hoewel Lighthouse onafhankelijk van de XinXin-groep opereert, benadrukt de afstemming met Lucid op het gebied van infrastructuur en targetingpatronen de bredere trend van samenwerking en innovatie binnen het PhaaS-ecosysteem”, aldus het Zwitserse cyberbeveiligingsbedrijf PRODAFT in een rapport dat in april werd gepubliceerd.
Er wordt geschat dat Chinese smishing-syndicaten tussen juli 2023 en oktober 2024 alleen al in de VS tussen 12,7 miljoen en 115 miljoen betaalkaarten in gevaar hebben gebracht. De afgelopen jaren hebben cybercriminaliteitsgroepen uit China zich ook ontwikkeld om nieuwe tools te ontwikkelen, zoals Ghost Tap, om gestolen kaartgegevens toe te voegen aan digitale portemonnees op iPhones en Android-telefoons.
Vorige maand nog zei Palo Alto Networks Unit 42 dat de dreigingsactoren achter Smishing Triad sinds 1 januari 2024 meer dan 194.000 kwaadaardige domeinen hebben gebruikt, waarbij een breed scala aan diensten wordt nagebootst, waaronder banken, cryptocurrency-uitwisselingen, post- en bezorgdiensten, politiediensten, staatsbedrijven en elektronische tolheffingen.
