Google ha avviato una causa federale contro una rete internazionale di cybercriminali chiamata “Lighthouse”, accusata di aver costruito un vasto sistema di Phishing-as-a-Service capace di generare centinaia di migliaia di siti falsi e milioni di messaggi truffa. La denuncia, depositata presso un tribunale degli Stati Uniti e citata da The Verge, descrive Lighthouse come una vera e propria infrastruttura criminale: un servizio a pagamento che offriva kit, modelli e strumenti pronti all’uso per creare campagne di phishing su larga scala.
Secondo le indagini, in appena venti giorni la rete sarebbe riuscita a realizzare 200.000 siti fraudolenti, attirando oltre un milione di potenziali vittime e mettendo a rischio tra 12,7 e 115 milioni di carte di credito solo negli Stati Uniti. I domini imitavano istituti bancari, enti pubblici e aziende note, sfruttando persino marchi e simboli di Google per rendere più credibili le finte pagine di accesso e pagamento.
Come funzionava la truffa Lighthouse
Il sistema iniziava con SMS ingannevoli, simili a quelli che fingono di provenire dal servizio postale americano (USPS) o da società di pedaggio, invitando gli utenti a “completare una consegna” o “pagare una tariffa mancante”. Il link incluso nel messaggio reindirizzava a un sito clonato, graficamente identico all’originale, dove venivano richieste informazioni personali e bancarie.
Le pagine fraudolente, spiega la denuncia, tracciavano persino i tasti digitati dagli utenti, intercettando i dati anche se il modulo non veniva inviato. Tutte le informazioni raccolte confluivano poi in un pannello di controllo riservato ai truffatori, accessibile tramite un’interfaccia che riprendeva lo stile e il logo ufficiale di Google per simulare un ambiente legittimo.
La rete, inoltre, avrebbe promosso pubblicamente i propri strumenti su Telegram e YouTube, canali successivamente rimossi da Google durante l’indagine interna.
L’azione legale e il sostegno alle nuove leggi federali
Nella causa, Google chiede al tribunale di dichiarare illegale l’attività di Lighthouse e di sciogliere la rete, facendo leva sul Racketeer Influenced and Corrupt Organizations Act (RICO), una norma storicamente usata per colpire associazioni criminali organizzate. L’azienda afferma che l’uso illecito del proprio nome e logo abbia danneggiato la reputazione del marchio e minato la fiducia degli utenti nei servizi digitali.
