Google ha intentato una causa federale contro un network di cybercriminali identificato come "Lighthouse", un'operazione di Phishing-as-a-Service che avrebbe compromesso tra i 12,7 e i 115 milioni di carte di credito negli Stati Uniti attraverso una piattaforma accessibile anche ai malintenzionati meno esperti. Si tratta di uno dei più grandi colpi contro l'ecosistema del crimine digitale come servizio, un modello di business che ha democratizzato l'accesso a strumenti di attacco sofisticati abbassando drasticamente le barriere tecniche d'ingresso.
Il modello operativo di Lighthouse si basa su un sistema a licenza mensile che fornisce ai subscriber software per SMS e e-commerce comprensivo di centinaia di template pre-configurati. Questi template replicano fedelmente l'aspetto di istituzioni finanziarie, agenzie governative e portali di servizi come USPS o E-Z Pass. Secondo la documentazione legale depositata da Google, in appena 20 giorni il network ha generato 200.000 siti fraudolenti che hanno attirato oltre un milione di potenziali vittime, numeri che testimoniano la scalabilità industriale dell'operazione.
L'aspetto più insidioso della piattaforma risiede nella sua tecnologia di keylogging integrata. Le pagine di phishing tracciano ogni singolo keystroke dell'utente in tempo reale, compromettendo le credenziali anche se la vittima ha ripensamenti e abbandona il form prima di completare l'invio. I dati catturati popolano automaticamente la dashboard del criminale sul backend di Lighthouse, creando un flusso di lavoro ottimizzato per il furto di identità su scala industriale.
La catena d'infezione tipica inizia con SMS apparentemente legittimi che allertano su presunte consegne USPS in sospeso o pedaggi non pagati. Il link embedded reindirizza a una replica pixel-perfect del sito autentico, dove viene richiesto l'inserimento di dati personali e di pagamento. Google sottolinea che alcuni di questi siti contraffatti includono addirittura il proprio logo nelle pagine di login, un'appropriazione indebita che ha motivato le accuse per violazione dei marchi registrati oltre alle imputazioni per frode e violazione del RICO Act, la legge federale che colpisce le organizzazioni criminali.
L'identità degli operatori rimane avvolta nel mistero. Google ha citato in giudizio 25 imputati John Doe, specificando che il numero è rappresentativo e che l'organizzazione potrebbe coinvolgere più individui. L'intelligence dell'azienda suggerisce che il gruppo operi dalla Cina, ma senza conferme definitive. La rete reclutava clienti e forniva supporto tecnico attraverso canali Telegram pubblici e video YouTube, ormai rimossi dopo l'intervento di Google.
Halimah DeLaine Prado, General Counsel di Google, ha chiarito che l'obiettivo legale va oltre il risarcimento finanziario. L'azienda punta a ottenere una dichiarazione giudiziale che certifichi l'illegalità dello schema operativo di Lighthouse, facilitando la rimozione dell'infrastruttura da parte di altri provider tecnologici e fornendo alle forze dell'ordine strumenti investigativi attraverso il processo di discovery. Si tratta di una strategia legale che mira a creare precedenti utilizzabili contro simili operazioni di cybercrime-as-a-Service.
Sul fronte normativo, Google ha pubblicamente endorsato tre proposte di legge federali: il GUARD Act, il Foreign Robocall Elimination Act e lo SCAM Act. Il pacchetto legislativo mirerebbe a finanziare le capacità investigative locali contro le truffe mirate agli anziani, creare task force specializzate per bloccare le robocall illegali provenienti dall'estero e perseguire le organizzazioni transnazionali che gestiscono operazioni di trafficking umano finalizzate a schemi di truffa.
La proliferazione di piattaforme Phishing-as-a-Service rappresenta un'evoluzione preoccupante del panorama delle minacce digitali. Abbassando drasticamente la soglia di competenze tecniche necessarie per lanciare campagne sofisticate, questi servizi moltiplicano esponenzialmente il numero di attori malevoli attivi. DeLaine Prado riconosce che anche con un framework normativo rafforzato, le aziende tecnologiche mantengono una responsabilità diretta nel contrasto a queste minacce, sfruttando la loro capacità di operare su scala globale e di identificare pattern comportamentali attraverso l'analisi dei dati aggregati.
