Googleは火曜日、中国を拠点に活動しているとみられるサイバー犯罪グループに対して訴訟を起こしたと発表しました。
このグループはSmishing Triadとして知られており、少なくとも2023年から活動しており、世界中のユーザーを対象に大規模なSMSフィッシング(スミッシング)キャンペーンを展開しています。
このグループの悪意あるSMSメッセージは、有料道路や宅配サービス(GoogleはE-ZPassやUSPSを例として挙げています)、銀行、医療機関、オンライン決済プラットフォーム、法執行機関、ソーシャルメディアサービスになりすましています。
Googleは、最近登場したフィッシング・アズ・ア・サービス・キット「Lighthouse」を標的にしています。これはサイバー犯罪者がフィッシングサイトへのリンクを含むメッセージを送信できるようにするものです。これらの悪意あるサイトは、ユーザーを騙してメール認証情報や銀行情報、その他の機密情報を渡させるように仕組まれています。
Googleによると、Lighthouseキットは120カ国以上、100万人以上のユーザーを標的にすることを可能にし、米国だけでも推定1,200万枚から1億1,500万枚のクレジットカードが盗まれたとされています。
Palo Alto Networksは最近、Smishing Triadのキャンペーンで19万4,000以上の悪意あるドメインが使われていたと報告しました。
Googleは、自社ブランドやサービスになりすました100以上のフィッシングウェブサイトのテンプレートを特定したと述べています。
「我々の法的措置は、このオペレーションの中核インフラを解体することを目的としています」とGoogleの法務顧問ハリマ・デレイン・プラド氏は説明しています。「我々は組織犯罪取締法(RICO法)、ランハム法、コンピュータ詐欺および乱用防止法に基づく訴えを起こし、これを停止させ、ユーザーや他のブランドを守ります。」
サイバー犯罪者の身元が分からなくても訴訟を起こすことで、大手テック企業は悪意あるドメインの差し押さえを裁判所に命じてもらうことができます。さらに、訴訟によって企業はISPやレジストラ、ホスティングプロバイダーに召喚状を送り、オペレーションや被告に関連するIPやその他の技術情報を取得でき、最終的には彼らの正体を明らかにする手がかりとなります。
Microsoftもまた、サイバー犯罪の活動を妨害するために訴訟を起こしています。最近の例としては、ONNXやRaccoonO365フィッシングサービスがあります。
Googleは訴訟に加え、詐欺師との戦いの一環として、サイバー脅威に対応するための超党派法案をいくつか支持していると述べています。
これには、高齢退職者を詐欺から守るための「GUARD法」、退職者を標的とした詐欺や詐欺の捜査権限を法執行機関に与えるもの、外国からの自動音声通話を阻止するためのタスクフォース設置を求める「外国ロボコール排除法」、そして詐欺拠点への対策を国家戦略として策定する「SCAM法」などが含まれます。
翻訳元: https://www.securityweek.com/google-sues-chinese-cybercriminals-behind-lighthouse-phishing-kit/
