Google ging am Mittwoch gegen eine großangelegte Betrugsbande per SMS vor. Weltweit wurden über eine Million Menschen Opfer dieser Kriminellen, die gefälschte SMS verschickten, um persönliche Daten zu stehlen.
Sicherheitsforscher haben einen Namen für sie: die „Smishing-Triade“. Der Großteil der Operationen wird von China aus gesteuert. Sie attackieren Menschen in 120 Ländern mit einer Software namens „Lighthouse“, die gefälschte SMS versendet, um deren Daten zu stehlen.
Googles Chefjustiziarin Halimah DeLaine Prado schilderte gegenüber CNBC die Vorgänge: „Sie haben das Vertrauen der Nutzer in angesehene Marken wie E-ZPass, die US-Post und sogar in uns als Google ausgenutzt“, sagte sie. „Die Software ‚Lighthouse‘ erstellt eine Reihe von Vorlagen, mit denen man gefälschte Websites generieren kann, um Nutzerdaten zu sammeln.“
Google setzt alle verfügbaren Mittel ein. Die Klage beruft sich auf den RICO Act (Racketeer Influenced and Corrupt Organizations Act), den Lanham Act und den Computer Fraud and Abuse Act. Sie wollen, dass die Gerichte die kriminelle Organisation zerschlagen und die Lighthouse-Plattform zerstören.
Das Ausmaß ist gewaltig. Zwischen 12,7 und 115 Millionen Kreditkarten wurden gestohlen. Und das allein in den USA.
„Die Idee ist, eine weitere Verbreitung zu verhindern, andere davon abzuhalten, etwas Ähnliches zu tun, und sowohl die Nutzer als auch die Marken, die auf diesen Webseiten missbraucht wurden, vor künftigem Schaden zu schützen“, sagte.
Gefälschte Webseiten imitieren vertrauenswürdige Marken
Google entdeckte über 100 gefälschte Website-Vorlagen, die ihr Logo auf Anmeldeseiten verwendeten. Die Seiten wurden so gestaltet, dass sie seriös wirkten, um keinen Verdacht zu erregen.
Ermittler von Google und externen Firmen untersuchten den Fall. Rund 2.500 Personen, die mit dem Betrug in Verbindung standen, tauschten sich in einem öffentlichen Telegram-Kanal aus. Sie warben neue Mitglieder an, gaben Ratschläge und sorgten dafür, dass Lighthouse weiterhin funktionierte. Laut DeLaine Prado geschah dies alles ganz offen.
Sie haben das Ganze wie ein Unternehmen aufgebaut. Ein Team von „Datenhändlern“ erstellt Listen mit potenziellen Opfern. Kontaktdaten, alles. Die „Spammer“ versenden die SMS. Anschließend nutzt eine Diebesgruppe die gestohlenen Zugangsdaten für Angriffe. Die Koordination erfolgt über öffentliche Telegram-Kanäle.
Google ist das erste große Unternehmen, das SMS-Betrüger verklagt
hat noch nie jemand eine Klage . Sie gehen direkt gegen SMS-Phishing vor. Doch sie geben sich nicht mit dem Gerichtssaal zufrieden. Drei Gesetzesentwürfe im Kongress werden derzeit von Google unterstützt.
„Obwohl die Klage ein möglicher Ansatzpunkt ist, um dem entgegenzuwirken, sind wir auch der Ansicht, dass diese Art von Cyberaktivitäten einen politikorientierten Ansatz erfordert“, sagte DeLaine Prado.
Das erste Gesetz ist der „Guarding Unprotected Aging Retirees from Deception Act“ (Gesetz zum Schutz ungeschützter älterer Rentner vor Täuschung). Das zweite Gesetz ist der „Foreign Robocall Elimination Act“ (Gesetz zur Bekämpfung ausländischer Werbeanrufe) – es würde eine Task Force zur Bekämpfung illegaler Werbeanrufe aus dem Ausland einrichten. Das dritte Gesetz ist der „Scam Compound Accountability and Mobilization Act“ (Gesetz zur Rechenschaftspflicht und Mobilisierung von Betrugsvermittlern), der Betrugsoperationen verfolgt und Überlebenden von Menschenhandel in diesen Einrichtungen hilft.
Diese Klage ist Teil von Googles Bemühungen, Nutzer für Online-Bedrohungen zu sensibilisieren. Das Unternehmen hat kürzlich neue Sicherheitstools eingeführt, darunter Key Verifier und die KI-gestützte Spam-Erkennung in Google Messages.
