Google ha avviato una causa giudiziaria contro Lighthouse, un network criminale basato in Cina accusato di aver orchestrato una massiccia operazione di smishing e phishing globale, con milioni di vittime e potenziali centinaia di milioni di carte di credito sottratte
È un’azione legale destinata a segnare una svolta: Google ha formalizzato una denuncia negli Stati Uniti contro 25 presunti membri di Lighthouse, un network criminale accusato di aver gestito un sistema di “phishing-as-a-service” (PhaaS), ovvero una piattaforma che vende kit già pronti per truffe online a chiunque voglia usarli.
Secondo la denuncia, negli ultimi anni i membri di Lighthouse avrebbero inviato a utenti in più di 120 Paesi milioni di messaggi ingannevoli mediante SMS, ma anche tramite servizi più sofisticati come RCS (acronimo di Reach Communication System, la tecnologia evoluta degli SMS su Android) o iMessage, la stessa tecnologia evoluta per il sistema operativo iOs.
I messaggi fingevano di arrivare da contatti noti – corrieri, servizi postali, autorità nazionali, fornitori di pedaggi, banche – e contenevano link che rimandavano a siti falsi creati ad hoc per ingannare le vittime e carpire dati sensibili come credenziali di pagamento, codici di autenticazione, informazioni bancarie o della carta di credito.
Al centro del meccanismo c’è la piattaforma software Lighthouse: un kit in abbonamento che offre centinaia di modelli pronti di phishing, domini, hosting, strumenti di gestione backend, meccanismi di evasione dei filtri di sicurezza (come rotazione domini, link temporanei, filtri per IP e user-agent, ecc.). In pratica, consente anche a malintenzionati con poche competenze tecniche di lanciare campagne di truffa su larga scala.
Secondo le analisi di società di cybersecurity citate da Google, in un arco di appena 20 giorni, la Rete avrebbe generato circa 200.000 siti fake e preso di mira potenzialmente utenti in 121 Paesi. La denuncia statunitense, tra i vari numeri allarmanti, stima che tra luglio 2023 e ottobre 2024 siano stati creati oltre 32.000 siti fasulli che fingevano di appartenere al servizio postale statunitense (USPS), e che tra le vittime potrebbero esserci da 12,7 milioni fino a 115 milioni di carte di credito statunitensi compromesse.
La strategia di Google non si limita a chiedere danni: con la causa si richiede un’ingiunzione permanente e un ordine restrittivo per smantellare l’infrastruttura di Lighthouse, non solo nei confronti dei “singoli” imputati, ma dell’intera operazione criminale, inclusi i servizi che la ospitano. L’obiettivo: servire da deterrente, mandare un segnale forte e dare la possibilità ad altri attori (provider, piattaforme, enti regolatori) di intervenire.
Nei giorni successivi alla denuncia, secondo fonti di stampa, alcuni server attribuiti a Lighthouse sono stati bloccati, e alcuni gruppi associati all’organizzazione, ad esempio su Telegram, hanno dichiarato che stavano “aggiustando” le cose: un segnale che l’azione legale potrebbe aver colpito davvero l’infrastruttura.
Questo caso apre uno squarcio sull’evoluzione dei crimini informatici: non più singoli hacker isolati, ma reti internazionali che operano come vere e proprie imprese criminali, con un’offerta “chiavi in mano” (il kit di phishing), divisione dei ruoli (data broker, spammer, backend manager, riciclatori di denaro o dati), marketing e distribuzione — come un’azienda legittima, ma con finalità illecite.
Il pericolo non è solo qualche SMS isolato, ma una vera e propria offensiva globale, costantemente aggiornata. E le garanzie non possono essere soltanto tecnologiche: servono consapevolezza, prudenza e, dove possibile, supporto regolamentare e legale internazionale.
Anche se oggi alcuni server sono stati disattivati, le reti criminali come Lighthouse hanno dimostrato anche in passato una straordinaria capacità di adattamento: nuovi domini, nuovi strumenti, nuovi canali. Ciò significa che la battaglia contro lo smishing e il phishing non è e non sarà episodica, ma dev’essere un impegno continuo.
Con questa causa, Google non punta solo a chiudere un capitolo specifico ma a creare un precedente. Se l’azione avrà successo, potrebbe rendere più semplice per aziende e istituzioni chiedere la chiusura sistematica di infrastrutture criminali digitali, anche quando operano oltre i confini nazionali. E in un mondo dove la maggior parte delle comunicazioni e transazioni passa da device e Reti, spesso senza filtri reali, questa è forse una delle forme di tutela più concrete che ci si possa aspettare.
