Quante volte ti è arrivato uno di quei messaggi? “Il tuo pacco è in giacenza“, “Devi pagare un pedaggio non pagato“, “La tua consegna richiede un supplemento di 2 euro“. SMS che sembrano legittimi, con loghi familiari e link che ti portano su pagine indistinguibili da quelle ufficiali di corrieri o servizi pubblici. Se hai mai avuto la tentazione di cliccare, o peggio ancora se l’hai fatto davvero, è arrivato il momento di capire cosa si nasconde dietro quella che è diventata una delle truffe digitali più sofisticate e diffuse degli ultimi anni.
Google ha deciso di passare all’attacco, depositando una causa legale contro un’organizzazione criminale chiamata Lighthouse, un nome che suona quasi ironico per un gruppo che opera nell’ombra più totale. Non si tratta di hacker solitari che operano dal garage, ma di un vero e proprio impero del phishing che ha industrializzato la truffa online trasformandola in un servizio chiavi in mano per aspiranti cybercriminali.
La denuncia depositata dal colosso di Mountain View rivela dettagli inquietanti su come funziona questo meccanismo. Lighthouse offre quello che gli esperti chiamano Phishing-as-a-Service, letteralmente phishing come servizio. In pratica, fornisce un kit completo per truffatori che altrimenti non avrebbero le competenze tecniche per orchestrare campagne su larga scala. Dietro un canone mensile di abbonamento, i clienti di Lighthouse ottengono accesso a software per l’invio di SMS in massa e piattaforme e-commerce complete, corredate da centinaia di template pronti all’uso che imitano alla perfezione siti di istituzioni finanziarie, agenzie governative e servizi di consegna. I numeri fanno girare la testa. Secondo le stime di Google, in soli 20 giorni Lighthouse è stata utilizzata per creare 200.000 siti web fraudolenti, che hanno attirato oltre un milione di potenziali vittime. Ma il dato più allarmante riguarda le carte di credito compromesse. Si parla di un range compreso tra 12,7 milioni e 115 milioni di carte solo negli Stati Uniti. Una forbice così ampia testimonia la difficoltà di quantificare l’estensione reale del danno, ma anche nella stima più conservativa parliamo di milioni di persone coinvolte.
Ma cosa succede esattamente quando clicchi su uno di quei link? La denuncia di Google ricostruisce l’intero processo con dovizia di particolari. Immagina di ricevere un SMS che ti avvisa di una consegna in sospeso da parte di UPS. Il messaggio dice che devi pagare una piccola somma per completare la spedizione. Clicchi sul link e ti ritrovi su una pagina che sembra identica al sito ufficiale, con tanto di logo e grafica professionale. Qui inserisci i tuoi dati personali e le informazioni della carta di credito. Ma ecco il particolare più subdolo: la pagina è equipaggiata con un sistema di tracciamento delle battiture sulla tastiera, un keylogger che registra ogni singolo carattere digitato. Questo significa che anche se ti viene un dubbio all’ultimo momento e decidi di non premere il pulsante di invio, è già troppo tardi. I tuoi dati sono stati catturati lettera per lettera, numero per numero, mentre li scrivevi.
Dal lato del truffatore, l’esperienza è altrettanto inquietante nella sua semplicità. Il criminale accede a una dashboard di Lighthouse attraverso una pagina di login che, paradossalmente, mostra il logo di Google come se fosse un’opzione di accesso legittima. Una volta dentro, può configurare la campagna di phishing con pochi click, scegliere il template più adatto tra le centinaia disponibili, inviare migliaia di SMS e poi sedersi a guardare i dati delle vittime che si popolano ordinatamente sul suo pannello di controllo. Un’interfaccia user-friendly per un crimine su scala industriale.
Le truffe orchestrate attraverso Lighthouse non si limitano ai finti servizi postali. La rete criminale offre template che imitano i siti di pagamento pedaggi autostradali come E-Z Pass, home banking di istituzioni finanziarie e persino negozi online. Alcuni di questi siti fraudolenti includono il logo di Google nelle loro pagine di login, una mossa che non solo inganna ulteriormente le vittime ma danneggia anche la reputazione del marchio stesso, motivo per cui l’azienda ha incluso nella denuncia anche violazioni di trademark oltre che frodi e violazioni del RICO Act, la legge federale americana contro il crimine organizzato. Tuttavia Google non sa ancora chi siano esattamente gli imputati. La causa è stata depositata contro John Doe anonimi, venticinque per la precisione, anche se l’azienda specifica che questo numero è rappresentativo e che gli effettivi membri dell’organizzazione potrebbero essere di più o di meno. L’unica certezza, al momento, è che il gruppo opererebbe dalla Cina.
Per gli utenti comuni, la lezione è chiara ma non per questo facile da applicare. I messaggi di phishing sono diventati così sofisticati che distinguerli da quelli legittimi richiede attenzione costante. Nessun servizio serio ti chiederà mai di cliccare su un link ricevuto via SMS per inserire dati sensibili o informazioni di pagamento. Se ricevi una notifica di questo tipo, il modo più sicuro è ignorare il link e accedere direttamente al sito ufficiale del servizio digitandone l’indirizzo o usando l’app ufficiale.
La guerra tra Google e Lighthouse è appena iniziata, e come ammette la stessa azienda nella denuncia, smantellare questa rete richiederà persistenza. Nel frattempo, ogni giorno milioni di SMS fraudolenti continuano a raggiungere telefoni in tutto il mondo, sperando che qualcuno, per distrazione o urgenza, clicchi su quel link e apra le porte ai propri dati personali. Sapere cosa succede dall’altra parte di quel click è il primo passo per proteggere se stessi e rendere il lavoro dei truffatori un po’ più difficile.
