Google passe à l'offensive contre la cybercriminalité à grande échelle. Le groupe a déposé une plainte en justice aux États-Unis pour démanteler Lighthouse, une plateforme de Phishing-as-a-Service d'origine chinoise.
Cette plateforme est responsable d'une vague massive d'arnaques par SMS. Du smishing qui a ciblé des millions d'utilisateurs en usurpant l'identité de marques de confiance, dont USPS (United States Postal Service) et E-Z Pass (péage électronique) aux États-Unis. Le but est de voler des informations financières et des identifiants.
Quelle est l'ampleur de l'opération Lighthouse ?
L'échelle de Lighthouse est industrielle. Selon Google, cette plateforme fournit aux cybercriminels des kits de phishing prêts à l'emploi, incluant des modèles de sites web frauduleux et l'infrastructure nécessaire pour déployer des campagnes d'attaque.
L'escroquerie repose sur un SMS qui incite la victime à cliquer sur un lien pour régler de faux frais (péage, livraison). Le site imite parfaitement un service légitime pour dérober les numéros de carte de crédit.
Google affirme avoir identifié 107 modèles utilisant sa propre marque pour tromper les utilisateurs. L'impact est de plus d'un million de victimes dans 120 pays, et des estimations allant de 12,7 à 115 millions de cartes de crédit volées rien qu'aux États-Unis.
Qui se cache derrière ce réseau de smishing ?
Lighthouse n'est pas un acteur isolé. Des chercheurs de Cisco Talos ont précédemment lié la plateforme à un acteur malveillant chinois connu sous le nom de Wang Duo Yu, qui vendrait les kits Lighthouse sur des canaux Telegram.
Les abonnements varient de 88 $ par semaine à 1 588 $ par an. L'opération fait partie d'un écosystème cybercriminel chinois plus large, incluant d'autres plateformes Phishing-as-a-Service comme Darcula et Lucid, et des acteurs parfois surnommés Smishing Triad.
BleepingComputer souligne que les groupes exploitent les services iMessage et RCS pour contourner les filtres anti-spam traditionnels.