Googleは、SMSを通じた大規模なフィッシングキャンペーンの責任を負う国境を越えたサイバー犯罪グループに対し、訴訟を提起しました。提出書類の中で同社は、研究者が「Smishing Triad」と呼ぶグループを特定し、このネットワークの中核が中国に拠点を置いていると主張しています。
Googleは、すでに120か国で100万人以上がこれらのキャンペーンの被害を受けていると推定しており、攻撃インフラは、Lighthouseという、モデル「フィッシング-as-a-service」に基づくフィッシング構築ツールによって運用されているとしています。
告発は米国の3つの法律、RICO(Resisting Organized Crime)、Lanham Act(Trademark and Unfair Competition Act)、そしてCFAA(Computer Fraud and Abuse Act)を根拠としています。同社は、弁護士によれば攻撃者のサービスとLighthouseプラットフォームを停止させるための法的措置を講じようとしており、Lighthouseは個人データを盗むための、あらかじめ用意されたページ一式を生成するとされています。
攻撃の手口はシンプルで効果的です。受信者は「重要なお知らせ」とともに、偽のウェブサイトへのリンクを受け取ります。そこで被害者は、納税者番号や銀行口座情報から、その他の支払い情報に至るまでの機密情報を入力するよう誘導されます。典型的な口実には、カードの停止、政府手数料の「未払い」、配送の「更新」、あるいは「不審な取引」の通知などがあります。
運営者は、E-ZPassをはじめ、米国郵便公社や検索大手のサービスなど、著名ブランドへの信頼を悪用しました。社内監査では、Googleのロゴやデザインを用いて正規のログインを装い、その後パスワードを盗むためのログインページのモックアップが100件以上見つかりました。
同社は被害規模を率直に述べています。米国だけでも、攻撃者は1,270万枚から1億1,500万枚の銀行カード情報を盗んだ可能性があるというのです。この差は情報源や算出方法の違いで説明されますが、下限値であっても当該エコシステムの攻撃性を示しています。
調査は組織面にも及びました。法務顧問によると、約2,500人の参加者が公開Telegramチャンネルで連携しており、そこで請負業者を募集し、戦術を議論し、Lighthouseをテスト・運用していました。組織内では部門が分かれていることも特定され、データブローカーが潜在的被害者のデータベースを提供し、スパマーがメールを運用し、別のグループが入手した認証情報を使って同じプラットフォーム上で後続の窃取を行っていたとされています。
Googleは、これはテクノロジー企業によるSMS経由のフィッシング運用に対する初の訴訟だと強調しています。弁護士は、法的手段に加えて、政治レベルでもルールを変える必要があると主張しています。そのため同社は、議会で超党派の3つの取り組みを支持しました。すなわち、GUARD Act(高齢の貯蓄者を詐欺から守る)、Foreign Robocall Elimination Act(海外発ロボコールに対抗するタスクフォースを創設する)、そしてScam Compound Accountability and Mobilization Act(フィッシング拠点を取り締まり、そうした拠点内で人身取引の被害に遭った人々を支援する)です。
同社は最近、Google メッセージにKey Verifierと人工知能ベースのアルゴリズムを導入し、不審なメッセージをより正確にフィルタリングし、クリックされる前に有害なリンクをブロックできるようにしました。
同社の狙いは明確です。Lighthouseの拡散を止め、これら犯罪者の追随者の熱意を冷ます前例を作り、攻撃者が自らのウェブサイトを「正当化」するために流用したブランドを持つ個人や組織のリスクを低減することです。裁判所が訴えを認めれば、Smishing Triadは中核となるプラットフォームを失い、ISPや法執行機関がこのネットワークの残存ノードを同時に解体しやすくなります。
翻訳元: https://www.redhotcyber.com/post/google-contro-mafia-cinese/