Google hat Klage gegen die phishing-as-a-service-Plattform Lighthouse eingereicht. Der Dienst wird von Kriminellen für großangelegte Smishing-Kampagnen genutzt, die u. a. USPS und E‑ZPass imitieren. Nach Unternehmensangaben sind mehr als 1 Mio. Nutzer in 120 Ländern betroffen; in den USA wurden zwischen Juli 2023 und Oktober 2024 etwa 115 Mio. Zahlungskartendaten abgegriffen. Google fordert die Demontage der Infrastruktur unter Berufung auf Gesetze zu Racketeering, Betrug und Computerkriminalität.
Google-Klage gegen Phishing-as-a-Service Lighthouse: Umfang, Opferbilder und Ziele
Lighthouse stellt Schlüsselkomponenten eines Angriffs „out of the box“ bereit: Phishing-Templates, Hosting und Versand-Tools. Typisch sind SMS- oder Chat-Benachrichtigungen über „offene Mautgebühren“ mit Links zu Fälschungen von E‑ZPass oder USPS, wo Opfer Kartendaten eingeben sollen. Neben Verkehrs- und Postdiensten missbrauchen die Betreiber auch Banken, Gesundheitsorganisationen, Zahlungsdienste, Strafverfolgungsbehörden und soziale Netzwerke als Köder.
Taktiken und technische Merkmale: Smishing über iMessage und RCS
Die Zustellung erfolgt laut Google gezielt über iMessage und RCS. Diese Kanäle umgehen häufig klassische SMS‑Filter, da sie andere Protokolle, Absendermechanismen und Inhaltsformate nutzen. Das senkt die Eintrittsbarriere: Angreifer müssen keine eigene Infrastruktur betreiben, sondern wählen ein Template, buchen ein Paket und starten Massenversand – der typische PhaaS‑Effekt, der Phishing industrialisiert.
Missbrauch prominenter Marken, darunter Google
Google dokumentiert mindestens 107 Phishing‑Vorlagen, die Logos und Gestaltungselemente des Konzerns nachahmen. Dieses Brand Impersonation steigert die Konversionsrate, weil visuelle Vertrautheit Vertrauen simuliert. Die gleiche Methode wird laut Google gegen weitere bekannte Marken eingesetzt.
Juristische Hebel: Infrastruktur zerschlagen, Betreiber identifizieren
Die Klage zielt auf den Abbau der gesamten Lighthouse‑Infrastruktur und die Offenlegung technischer Spuren: Domainbeschlagnahme, Herausgabe von IP‑Adressen, Server‑Logs und Zahlungsdaten durch Registrare, Hoster und Payment‑Provider. Solche zivilrechtlichen Eingriffe sind in der Branche bewährt: Auch Microsoft erwirkte in der Vergangenheit Entscheidungen gegen Phishing‑Dienste wie ONNX und RaccoonO365, um deren Operationsketten zu stören.
Akteure, Abo-Modell und Reichweite der Kampagnen
Laut Cisco Talos wird Lighthouse mit dem chinesischen Akteur „Wang Duo Yu“ in Verbindung gebracht, der Phishing‑Kits über Telegram verbreitet und unterstützt. Seit Oktober 2024 wurden großflächige E‑ZPass‑Smishing‑Wellen in US‑Bundesstaaten wie Washington, Florida, Pennsylvania, Virginia, Texas, Ohio, Illinois und Kansas registriert.
Netcraft beschreibt Lighthouse als kommerziellen Dienst mit Abos zwischen 88 US‑Dollar pro Woche und 1.588 US‑Dollar pro Jahr. Neben Zahlungsdaten sind die Kits auf die Abfrage von Logins, Passwörtern und 2FA‑Codes ausgelegt. Der Journalist Brian Krebs berichtet, dass die Betreiber zuvor unter „Smishing Triad“ agierten und im März 2025 in Lighthouse umbenannten – ein typisches Rebranding‑Muster, um Druck durch Ermittlungen zu entgehen.
Risiko-Reduktion: Pragmatiche Schutzmaßnahmen für Nutzer und Unternehmen
Nutzer sollten Links aus unerwarteten „Schulden“- oder „Zahlungs“-Nachrichten nicht anklicken. Stattdessen: Status in offiziellen Apps prüfen oder URLs manuell eintippen. Für Kartenkonten sind Transaktionsalarme und Limits sinnvoll. Für Online‑Konten erhöhen Hardware‑Sicherheitsschlüssel oder App‑basierte Authenticator die Sicherheit gegenüber SMS‑2FA, die gezielt angegriffen wird.
Organisationen profitieren von Brand‑Monitoring, der Filterung mobilen Traffics, Mitarbeitertrainings zum Erkennen von Smishing und beschleunigten Takedown‑Prozessen für Phishing‑Domains. In Kombination mit schneller Incident‑Response lässt sich die Verweildauer betrügerischer Kampagnen signifikant reduzieren.
Der Fall verdeutlicht die Entwicklung im Kampf gegen phishing‑as‑a‑service: Der Fokus liegt zunehmend auf dem Ausschalten von Lieferketten und der De‑Anonymisierung von Betreibern. Während Gerichte über Maßnahmen gegen Lighthouse entscheiden, bleibt es entscheidend, die Cyberhygiene zu stärken und neue Zustellvektoren wie iMessage und RCS in Erkennungs- und Abwehrstrategien einzubeziehen. Wer derartige Nachrichten kritisch prüft und werthaltige Infrastruktur der Angreifer schnell blockiert, senkt die Erfolgsquote – und damit die wirtschaftliche Anreizstruktur hinter diesen Angriffen.
