Un servizio di phishing cinese noto come Outsider Enterprise è finito nel mirino di una coalizione formata da FBI, Google e Black Lotus Labs di Lumen Technology, che insieme hanno smontato pezzo dopo pezzo l’intera infrastruttura usata per rubare password e dati delle carte di credito. Server sequestrati, wallet di criptovalute bloccati e una denuncia formale depositata dall’azienda di Mountain View contro i truffatori, ancora oggi senza nome. Nel documento spunta un dettaglio che fa riflettere, ovvero l’uso di Gemini per generare i siti fasulli a velocità record.
Come funzionava il servizio di phishing
Outsider Enterprise non era un’operazione improvvisata. Si trattava di un PhaaS, cioè un Phishing-as-a-Service, attivo dal luglio 2023. In pratica i gestori mettevano a disposizione dei cybercriminali meno smaliziati tutto il necessario per costruire pagine truffaldine, tutorial compresi, spiegando passo dopo passo come spremere Gemini per accelerare la scrittura del codice. Il listino era pure abbordabile, circa 80 euro a settimana oppure 185 euro al mese, con la pubblicità affidata a un canale Telegram.
I numeri raccontano una macchina ben oliata. Google ha diffuso alcuni dati che danno la misura del fenomeno, tra cui 2,5 milioni di SMS spediti in appena due settimane di maggio, 9.000 siti fasulli e oltre un milione di URL diversi. Secondo l’FBI i criminali avrebbero messo le mani sui dati di più di 3,8 milioni di carte di credito, con un danno economico che supera 1,9 miliardi di dollari. Cifre che fanno girare la testa.
Bersagli, template e contromisure
A finire nel mirino erano soprattutto i cittadini statunitensi. Per arginare l’ondata, l’azienda di Mountain View ha lavorato fianco a fianco con tre operatori telefonici, ovvero AT&T, T-Mobile e Verizon, così da intercettare gli SMS prima ancora che arrivassero sui telefoni delle vittime. Il catalogo dell’organizzazione contava oltre 290 template, modelli pronti all’uso per replicare il design di banche, agenzie governative e compagnie telefoniche. Il copione era sempre lo stesso, un messaggio con un link che invitava a sistemare un presunto problema con un account o con la consegna di un pacco.
Quando è scattata l’operazione, FBI e partner hanno fatto piazza pulita. Sequestrati i server amministrativi, un negozio online ospitato su Shopify e un account che serviva a testare il servizio. Nel bottino anche circa 100.000 USDT, ovvero criptovalute Tether, prelevate da vari wallet. I domini di phishing registrati presso provider americani adesso reindirizzano verso una pagina che segnala il sequestro avvenuto.
Google ha colto l’occasione per ribadire il proprio appoggio a sette disegni di legge presentati da esponenti politici statunitensi, sia democratici sia repubblicani, pensati per difendere i cittadini dalle truffe online, comprese quelle che sfruttano l’intelligenza artificiale.
