De meedogenloze stroom valse bezorgwaarschuwingen en onbetaalde tolmeldingen die de sms-inboxen overspoelen, is wereldwijd een veel voorkomend probleem. Het land kan echter binnenkort voor een grote uitdaging komen te staan. In een recente ontwikkeling heeft Google een baanbrekende rechtszaak aangespannen tegen een cybercriminele organisatie, die grotendeels vanuit China opereert en een enorm sms-phishing- of ‘smishing’-netwerk beheert.
Deze organisatie, ook wel de ‘Smishing Triad’ genoemd, levert haar diensten via een platform genaamd ‘Lighthouse’. Google beweert dat Lighthouse functioneert als een “phishing voor dummies”-toolkit. Het zou een kant-en-klare oplossing bieden voor cybercriminelen. Voor een maandelijks bedrag biedt het platform honderden kant-en-klare websitesjablonen en de infrastructuur die nodig is om snel grootschalige campagnes te lanceren.
Google spant een rechtszaak aan tegen de groep achter de USPS- en E-ZPass-tekstfraude
De omvang van de operatie is aanzienlijk. Google meldt dat Lighthouse met succes meer dan een miljoen slachtoffers in 120 landen heeft aangevallen. Alleen al in de VS heeft de criminele onderneming naar schatting tussen de 12,7 miljoen en 115 miljoen creditcardnummers gecompromitteerd. De oplichting doet zich vaak voor als urgente meldingen van zeer vertrouwde merken. De lijst omvat E-ZPass, de US Postal Service (USPS) en zelfs Google zelf, die azen op het vertrouwen van gebruikers.
Wat gebeurt er nadat een slachtoffer op een frauduleuze link klikt? Het Lighthouse-platform heeft tot doel gevoelige gegevens te stelen, waaronder bankgegevens en burgerservicenummers. Volgens de klacht beschikt het systeem over een dashboard waarop operators de aanvallen gemakkelijk kunnen beheren. Dit omvat onder meer het opzetten van vervalste pagina’s (zoals een nep-USPS-site die een kleine vergoeding voor herbezorging vraagt) en het volgen van toetsaanslagen die door het slachtoffer zijn ingevoerd. Google heeft meer dan 100 sjablonen geïdentificeerd die hun eigen branding en inlogschermen gebruikten om gebruikers te laten geloven dat de sites legitiem waren.
Google’s aantijgingen
Om de organisatie te ontmantelen, dient Google claims in op grond van verschillende belangrijke Amerikaanse wetten. De beschuldigingen omvatten de Racketeer Influenced and Corrupt Organizations (RICO) Act en de Computer Fraud and Abuse Act (CFAA). Het doel is niet alleen om schadevergoeding te eisen, maar ook om een gerechtelijk bevel te verkrijgen dat het Lighthouse-platform effectief afsluit. Dit zou een grote bijdrage kunnen leveren aan het voorkomen van de verdere verspreiding ervan.
Naast de rechtszaak pleit Google voor een bredere beleidsaanpak. Het bedrijf keurt in het Congres drie tweeledige wetsvoorstellen goed die gericht zijn op het bestrijden van verschillende soorten fraude en cyberaanvallen. Deze wetsvoorstellen richten zich op alles, van financiële fraude tegen gepensioneerden tot buitenlandse illegale robocalls en de complexen waar oplichtingsoperaties zijn ondergebracht. Het lijkt erop dat Google van mening is dat de strijd tegen grootschalige cybercriminaliteit zowel juridische stappen als wetgevende ondersteuning vereist.
