Maxi truffa degli SMS denunciata da Google

Una rete cinese di criminali, nota come Lighthouse, inonda il mondo di sms truffaldini spacciandosi per banche e servizi postali, rubando dati e soldi a utenti di tutto il mondo. Tuttavia Google ha citato in giudizio 25 persone accusate di far parte dell'organizzazione, che sfrutta un software di phishing-as-a-service con centinaia di modelli di truffa. La rete criminale di lingua cinese è però attiva da anni. Si tratta di smishing, la versione via messaggio del phishing: migliaia di persone ricevono notifiche apparentemente ufficiali su pacchi, conti correnti o pratiche in sospeso tramite SMS, RCS (il sistema di messaggistica evoluta di Google) o iMessage di Apple. Ogni messaggio contiene un link che rimanda a un sito fasullo. Chi inserisce lì i propri dati consegna in tempo reale ai truffatori informazioni personali e coordinate bancarie. In alcuni casi vengono allestiti anche finti siti di e-commerce per spingere le vittime a digitare dati di pagamento. Secondo quanto ricostruito da «Wired», Lighthouse è solo uno dei gruppi di smishing cinesi emersi negli ultimi anni, ma tra i più estesi e strutturati. Secondo la denuncia presentata da Google, citando in giudizio 25 persone che ritiene coinvolte nell’operazione, i criminali hanno preso di mira utenti in più di 120 Paesi sfruttando logo, nome e servizi dell’azienda per rendere credibili i messaggi e i siti fraudolenti. La causa civile è stata presentata il 12 novembre al tribunale federale di New York. Al centro della macchina truffaldina c’è un software che porta lo stesso nome della rete: Lighthouse, una piattaforma di phishing-as-a-service venduta in abbonamento a truffatori meno esperti. Il sistema offre modelli di pagine di login e siti falsi chiavi in mano, strumenti per gestire il backend e funzioni per l’invio massivo di messaggi su SNS, RCS e iMessage. Gli esperti citati da «Wired» spiegano che la piattaforma integra tecniche avanzate per eludere i controlli, come filtri basati su indirizzo IP e dispositivo, link che scadono dopo poco tempo e rotazione continua dei domini. Dai documenti depositati in tribunale emerge anche la struttura interna della rete: broker che vendono liste di potenziali vittime, spammer che mettono a disposizione l’infrastruttura per l’invio degli SMS, gruppi incaricati di usare i dati rubati per svuotare conti e carte, e infine amministratori che coordinano l’intera operazione. La piattaforma conterrebbe oltre 600 modelli di phishing che imitano più di 400 organizzazioni reali, incluse agenzie governative statunitensi e servizi Google come Gmail, YouTube e Google Play. Intervistata da Wired, Halimah DeLaine Prado, responsabile degli affari legali di Google, sottolinea che l’obiettivo dell’azione legale non è soltanto identificare i responsabili, molti dei quali si troverebbero in Cina e difficilmente perseguibili, ma ottenere strumenti giuridici per intervenire sull’infrastruttura stessa della rete, chiedendo ad altre piattaforme di rimuoverne i contenuti. Gli esperti avvertono però che, anche in caso di successo, operazioni come Lighthouse potrebbero riorganizzarsi rapidamente. Il software è infatti in continuo aggiornamento e sfrutta metodi sempre più sofisticati per aggirare i controlli: dalle phone farm, reti di telefoni che inviano messaggi in parallelo, ai dispositivi portatili capaci di spedire migliaia di messaggi in pochi minuti. Come ricorda un ricercatore citato da «Wired», la capacità di innovazione di queste reti criminali resta «straordinaria», e il fenomeno continua a essere un problema globale destinato a restare al centro delle preoccupazioni di aziende e autorità. Tuttavia secondo gli esperti rileva Giovanni D'Agata, presidente dello “Sportello dei Diritti”, nonostante l’azione legale, i gruppi criminali si evolvono rapidamente ed è molto difficile fermarli.