Mercoledì Google ha avviato un'operazione di truffa su larga scala tramite SMS. Oltre un milione di persone in tutto il mondo sono state colpite da questi criminali che hanno inviato falsi messaggi di testo per rubare informazioni personali.
Gli esperti di sicurezza li chiamano "Triade Smishing". La maggior parte dell'operazione parte dalla Cina. Hanno colpito persone in 120 paesi con un software chiamato "Lighthouse", che invia falsi messaggi di testo progettati per rubare informazioni.
Halimah DeLaine Prado, consulente legale generale di Google, ha raccontato alla CNBC cosa sta succedendo. "Si stavano approfittando della fiducia degli utenti in marchi affidabili come E-ZPass, il servizio postale statunitense e persino noi di Google", ha affermato. "L'azienda o il software 'Lighthouse' crea una serie di modelli in cui si creano siti web falsi per estrarre le informazioni degli utenti"
Google sta usando tutte le sue risorse. La causa cita il Racketeer Influenced and Corrupt Organizations Act, il Lanham Act e il Computer Fraud and Abuse Act. Chiedono ai tribunali di bloccare l'attività criminale e distruggere la piattaforma Lighthouse.
La portata è enorme. Tra 12,7 milioni e 115 milioni di carte di credito rubate. Solo negli Stati Uniti.
"L'obiettivo è impedire la sua ulteriore proliferazione, dissuadere altri dal fare qualcosa di simile, nonché proteggere sia gli utenti che i marchi che sono stati utilizzati impropriamente su questi siti web da danni futuri", ha affermato.
I siti web falsi imitano marchi affidabili
Google ha trovato più di 100 modelli di siti web falsi che utilizzavano il loro logo nelle schermate di accesso. Ha fatto sembrare i siti legittimi per evitare che gli utenti si insospettissero.
Gli investigatori, sia di Google che di aziende esterne, hanno indagato sull'operazione. Circa 2.500 persone coinvolte in questa truffa stavano chattando su un canale Telegram pubblico. Reclutavano nuovi membri, condividevano consigli e mantenevano Lighthouse operativo. Tutto alla luce del sole, secondo DeLaine Prado.
Hanno organizzato tutto come un'azienda. C'è un team di "data broker" che crea liste di chi prendere di mira. Informazioni di contatto, tutto. Gli "spammer" inviano i messaggi di testo veri e propri. Poi, un gruppo di "furti" prende le credenziali di accesso rubate e le usa per gli attacchi. Il tutto coordinato tramite i canali pubblici di Telegram.
Google è la prima grande azienda a fare causa ai truffatori degli SMS
nessuno aveva mai intentato una causa del genere prima d'ora. L'azienda sta prendendo di mira direttamente il phishing via SMS, ma non si fermerà alle aule di tribunale. Google sostiene infatti tre proposte di legge attualmente in discussione al Congresso.
"Sebbene la causa legale sia un potenziale vettore attraverso cui possiamo contrastarlo, riteniamo anche che questo tipo di attività informatica richieda un approccio basato sulle politiche", ha affermato DeLaine Prado.
Il primo è il Guarding Unprotected Aging Retirees from Deception Act. Il secondo è il Foreign Robocall Elimination Act, che istituirebbe una task force per contrastare le chiamate automatiche illegali dall'estero. Il terzo è lo Scam Compound Accountability and Mobilization Act, che persegue le operazioni di truffa e aiuta le vittime di tratta di esseri umani in queste strutture.
Questa causa rientra nel lavoro di Google per sensibilizzare le persone sulle minacce online. Ha appena lanciato nuovi strumenti di sicurezza, tra cui Key Verifier. Un altro è il rilevamento dello spam basato sull'intelligenza artificiale in Google Messaggi.
