Google подала иск против платформы phishing‑as‑a‑service Lighthouse, которую злоумышленники используют для массовых смс‑кампаний под видом USPS и E‑ZPass, а также других известных брендов. По оценкам компании, от деятельности сервиса пострадало более чем 1 млн пользователей в 120 странах, а в США с июля 2023 по октябрь 2024 года злоумышленники похитили данные приблизительно 115 млн платежных карт. Google требует демонтировать инфраструктуру Lighthouse, ссылаясь на федеральные законы о рэкете, мошенничестве и компьютерных преступлениях.
Масштабы ущерба и мишени атак: от USPS до E‑ZPass
Lighthouse предоставляет «под ключ» фишинговые шаблоны и инструменты рассылки, позволяющие выдавать себя за почтовые и дорожные службы. Типичный сценарий — сообщение о «неоплаченной задолженности» за проезд по платной дороге с ссылкой на поддельный сайт E‑ZPass или USPS, где жертву просят ввести данные карты. По данным Google, в числе приманок также фигурируют банки, медорганизации, платежные системы, правоохранительные органы и социальные сети, что расширяет аудиторию потенциальных жертв.
Как работает PhaaS Lighthouse: конвейер смс‑фишинга
Платформа предлагает кастомизируемые фишинговые страницы и инфраструктуру для массовых рассылок. Доставка ведется через iMessage и RCS, что помогает обходить многие традиционные антиспам‑фильтры, ориентированные на классический SMS‑трафик. Это снижает порог входа для киберпреступников: не требуется собственная инфраструктура, достаточно оформить подписку и выбрать шаблон под нужный бренд или сценарий.
Злоупотребление брендом Google и других компаний
Google зафиксировала как минимум 107 фишинговых шаблонов, где на страницах входа использовались логотипы и визуальные элементы компании. По словам Google, злоумышленники «незаконно эксплуатируют репутацию Google и других брендов, размещая наши товарные знаки на мошеннических ресурсах», что повышает успешность атак за счет доверия к узнаваемым маркам.
Юридическая стратегия: демонтаж инфраструктуры и деанонимизация
Иск направлен на полный демонтаж Lighthouse и доступ к техническим данным через судебные ордера. Даже не зная персоналий операторов, такие иски позволяют добиваться конфискации доменов и обязать регистраторов, хостинг‑провайдеров и платежные сервисы предоставить IP‑адреса, логи и платежные сведения. Подобная тактика уже применялась индустрией: Microsoft в последние годы добивалась решений по ряду фишинговых сервисов, включая ONNX и RaccoonO365, перекрывая их инфраструктурные ресурсы.
Аффилиации и бизнес‑модель: Smishing Triad, Telegram и подписки
По данным Cisco Talos, Lighthouse связывают с китайским злоумышленником под ником Wang Duo Yu, который распространяет и поддерживает фишинговые наборы через Telegram‑каналы. С октября 2024 года несколько групп, использующих его разработки, провели масштабные рассылки в Вашингтоне, Флориде, Пенсильвании, Виргинии, Техасе, Огайо, Иллинойсе и Канзасе — речь шла о массовых псевдоуведомлениях E‑ZPass.
Netcraft характеризует Lighthouse как коммерческий сервис с подписками от $88 в неделю до $1588 в год. Платформа поддерживает гибкую настройку шаблонов и ориентирована на кражу логинов, паролей и кодов 2FA помимо платежных данных. Журналист Брайан Кребс отмечает, что операторы ранее действовали под именем Smishing Triad, а в марте 2025 года провели ребрендинг в Lighthouse.
Что это значит для пользователей и организаций: практические меры защиты
Пользователям рекомендуется не переходить по ссылкам из неожиданных сообщений о «задолженностях», а проверять статус через официальные приложения или сайт, введенный вручную. Для платежных карт полезны уведомления о транзакциях и лимиты, а для аккаунтов — аппаратные ключи или приложения‑аутентификаторы вместо SMS‑кодов. Организациям стоит внедрить мониторинг бренда, фильтрацию мобильного трафика, обучение сотрудников распознаванию смс‑фишинга и политику быстрой блокировки фишинговых доменов.
Судебный иск Google подчеркивает эволюцию борьбы с phishing‑as‑a‑service: акцент переносится на разрушение цепочек поставки и деанонимизацию операторов. Пока суд рассматривает дело, пользователям и компаниям важно укреплять «кибергигиену», а службам безопасности — оперативно реагировать на новые векторы доставки через iMessage и RCS. Чем меньше доверия к ссылкам из сообщений и чем быстрее блокируются инфраструктурные активы злоумышленников, тем ниже их конверсия и экономическая мотивация продолжать атаки.
