Google ініціювала судовий позов проти Lighthouse — комерційної платформи phishing-as-a-service (PhaaS), яку кіберзлочинці використовують для масових мобільних розсилок від імені USPS, E‑ZPass та інших брендів. За оцінками компанії, діяльність сервісу торкнулася понад 1 млн користувачів у 120 країнах, а у США між липнем 2023 та жовтнем 2024 року зловмисники викрали дані приблизно 115 млн платіжних карт. Позов опирається на федеральні норми щодо рекету (RICO), шахрайства та комп’ютерних злочинів і спрямований на демонтаж інфраструктури Lighthouse.
Масштаби збитків та вектори атак: USPS, E‑ZPass і не лише
Ключовий сценарій — повідомлення про «борг» за платний проїзд або проблеми з доставкою. Жертву перенаправляють на підробний сайт E‑ZPass чи USPS і спонукають ввести дані картки. Поза цими брендами як приманки використовуються банки, медичні організації, платіжні сервіси, правоохоронні органи та соціальні мережі, що істотно розширює коло потенційних цілей.
Як працює Lighthouse: конвеєр PhaaS та доставка через iMessage/RCS
Lighthouse надає «з коробки» фішингові шаблони, інструменти масових розсилок і хостинг підробних сторінок. Доставка здійснюється через iMessage та RCS — сучасні месенджерні канали, які часто оминають класичні антиспам-фільтри, орієнтовані на SMS. Такий підхід знижує бар’єр входу: не потрібні власні сервери та домени — достатньо оформити підписку і вибрати потрібний бренд чи сценарій.
Зловживання довірою до брендів і підміна ідентичності
Google зафіксувала щонайменше 107 шаблонів, що використовують її логотипи та візуальні елементи на сторінках входу. Підміна бренду підсилює соціальну інженерію: знайомий інтерфейс підвищує конверсію введення логінів, паролів, кодів 2FA та платіжних даних.
Юридична тактика: демонтаж інфраструктури та деанонімізація операторів
Мета позову — не лише блокування сайтів, а й системне руйнування ланцюга поставки: конфіскація доменів, відключення хостингу, відсікання платіжних каналів. Через судові ордери Google прагне зобов’язати реєстраторів, провайдерів і платіжні сервіси надати IP-адреси, журнали доступу та білінгові дані для ідентифікації операторів. Подібну стратегію раніше застосовувала індустрія: Microsoft домагалася рішень проти низки фішингових сервісів, зокрема ONNX та RaccoonO365, обмежуючи їх інфраструктурні ресурси.
Афіліації та бізнес-модель: Smishing Triad, Telegram і підписки
Cisco Talos пов’язує Lighthouse з китайським актором під псевдонімом Wang Duo Yu, який поширює та підтримує фішингові набори через канали Telegram. З жовтня 2024 року кілька груп, що використовують ці інструменти, проводили масштабні кампанії у Вашингтоні, Флориді, Пенсільванії, Вірджинії, Техасі, Огайо, Іллінойсі та Канзасі, імітуючи сповіщення E‑ZPass.
Netcraft описує Lighthouse як сервіс за підпискою в діапазоні $88 на тиждень — $1588 на рік. Платформа підтримує гнучку кастомізацію та орієнтована на крадіжку облікових даних і кодів 2FA поряд із даними платіжних карт. За спостереженнями журналіста Брайана Кребса, раніше оператори діяли під назвою Smishing Triad, а у березні 2025 року провели ребрендинг у Lighthouse.
Практичні поради з кіберзахисту для користувачів та організацій
Перевіряйте повідомлення незалежними каналами. Не переходьте за посиланнями з «боргових» або несподіваних сповіщень. Статус рахунків і доставок перевіряйте у мобільних застосунках або на офіційних сайтах, введених вручну.
Захист платіжних карт і акаунтів. Увімкніть миттєві сповіщення про транзакції та ліміти операцій. Для входу використовуйте апаратні ключі FIDO2 або застосунки-аутентифікатори замість SMS-кодів.
Захист у компаніях. Впроваджуйте моніторинг бренду і швидкі процедури блокування фішингових доменів, фільтрацію мобільного трафіку (включно з iMessage/RCS), навчання персоналу щодо ознак смс-фішингу та перевірки URL перед введенням даних.
Позов Google демонструє еволюцію протидії PhaaS: фокус зміщується від «гри в кішки-мишки» з окремими доменами до руйнування інфраструктури та ідентифікації операторів. Поки судовий процес триває, користувачам і організаціям варто підвищувати кібергігієну та бути обачними до посилань у iMessage й RCS. Чим швидше блокуються активи зловмисників і чим менше довіри до непроханих повідомлень, тим нижча їхня конверсія і економічна мотивація продовжувати атаки.
