Lừa đảo trực tuyến (Phishing) đã trở thành một ngành công nghiệp tội phạm mạng thực thụ, được thúc đẩy bởi tự động hóa và các thị trường toàn cầu. Giờ đây, Google đang thực hiện một bước đi bất thường là chiến đấu lại tại tòa án, nhắm vào một công ty mà họ cho rằng đã xây dựng và bán các công cụ giúp các vụ lừa đảo quy mô lớn trở nên khả thi. Google đã phát động một thách thức pháp lý toàn diện chống lại một mạng lưới có trụ sở tại Trung Quốc, bị cáo buộc bán phần mềm đăng ký cho phép các hoạt động lừa đảo trực tuyến (phishing) quy mô lớn. Financial Times notes rằng đơn khiếu nại dân sự của gã khổng lồ tìm kiếm, được đệ trình tại Khu vực phía Nam New York, nêu tên các nhà điều hành của một hệ thống có tên “Lighthouse,” mà Google nói rằng đã tạo điều kiện cho các vụ lừa đảo, làm mất hơn 1 tỷ USD từ khoảng một triệu nạn nhân trên 121 quốc gia.
Lighthouse: Phần mềm lừa đảo theo thuê bao và cơ chế hoạt động
Vụ kiện này đại diện cho một trong những nỗ lực hung hãn nhất của Google nhằm trực tiếp phá vỡ cơ sở hạ tầng tội phạm trực tuyến tại tòa án. Công ty tìm kiếm các khoản bồi thường thiệt hại theo đạo luật tống tiền và gian lận máy tính của Mỹ, và nhằm đảm bảo thẩm quyền của tòa án để phối hợp gỡ bỏ các tên miền và máy chủ làm nền tảng cho nền tảng Lighthouse. “Tội phạm đang lợi dụng sự tin tưởng và danh tiếng của thương hiệu chúng tôi để dụ người dùng vào các cuộc tấn công lừa đảo không an toàn,” Tổng cố vấn của Google, Halimah DeLaine Prado, nói với FT.
Prado cho biết vụ kiện cung cấp cho công ty một cách để bảo vệ người dùng bị nhắm mục tiêu bởi các chiến dịch lừa đảo trực tuyến mạo danh Gmail, YouTube, và các nhà cung cấp dịch vụ khác. Hồ sơ tòa án cáo buộc rằng Lighthouse điều hành một dịch vụ lừa đảo cho thuê, gói gọn gần như mọi thành phần của gian lận trực tuyến vào một gói đăng ký hàng tháng. Những người đăng ký nhận được các bộ công cụ có thể tùy chỉnh, tạo ra các trang đăng nhập giả mạo và các mẫu tin nhắn mạo danh các tổ chức hợp pháp – bao gồm các dịch vụ của Google, Dịch vụ Bưu chính Hoa Kỳ và thậm chí cả các chính quyền thành phố.
Hệ thống chia kiến trúc của mình thành một số đơn vị chuyên biệt. Một nhánh phát triển cập nhật bộ công cụ với hàng trăm mẫu trang web giả mạo được trao đổi bằng thanh toán tiền điện tử. Một đơn vị dữ liệu biên soạn cơ sở dữ liệu về các nạn nhân tiềm năng – thường được cạo hoặc mua trên các diễn đàn dark web – và chuyển chúng cho những kẻ gửi thư rác. Nhóm cuối cùng này sử dụng các hệ thống nhắn tin tự động để gửi hàng triệu tin nhắn lừa đảo SMS (SMS phishing), mỗi tin nhắn liên kết đến các trang web giả mạo nhằm đánh cắp thông tin đăng nhập, thông tin thẻ tín dụng và mã xác thực.
Quy mô tấn công toàn cầu và động thái pháp lý của Google
Đơn khiếu nại của Google nói rằng Lighthouse quảng bá dịch vụ của mình thông qua các diễn đàn trực tuyến, hướng dẫn trên YouTube và các kênh Telegram được mã hóa, nơi các nhà điều hành tuyển dụng khách hàng mới và trao đổi các bản cập nhật kỹ thuật. Một quản trị viên Telegram nổi tiếng được xác định trong hồ sơ đã từ chối bình luận về các cáo buộc. Kênh này vẫn đang hoạt động, với những người tham gia quảng cáo khả năng gửi tới 200.000 tin nhắn văn bản mỗi ngày cho người dùng ở Nhật Bản, Úc và các khu vực khác.
Dữ liệu bảo mật được trích dẫn trong vụ kiện minh họa hành vi lừa đảo ở quy mô trước đây chỉ thấy trong các chiến dịch thông tin sai lệch do nhà nước tài trợ. Công ty an ninh mạng Silent Push đã theo dõi hoạt động bị cáo buộc liên kết với người dùng Lighthouse trong 20 ngày trong năm nay, ghi nhận việc tạo ra 200.000 trang web gian lận, thu hút tổng cộng khoảng 50.000 lượt truy cập hàng ngày. Một nhóm Trung Quốc có tên Smishing Triad được báo cáo là đã kiểm soát nhiều trang web đó, sử dụng các công cụ tự động hóa của Lighthouse để xâm nhập hàng nghìn tài khoản thẻ tín dụng Hoa Kỳ.
Các vụ lừa đảo thường xuyên nhất mạo danh cảnh báo giao hàng bưu điện, lừa người nhận trả một khoản phí nhỏ để “lên lịch lại giao hàng” cho một gói hàng bị bỏ lỡ. Sau khi người dùng nhập chi tiết thanh toán, kẻ tấn công thu thập thông tin đăng nhập và tái sử dụng chúng để truy cập tài khoản ngân hàng, email và ví di động. Mặc dù Google không thể trực tiếp truy tố các vụ án hình sự, vụ kiện của họ theo Đạo luật RICO và Đạo luật Gian lận và Lạm dụng Máy tính (Computer Fraud and Abuse Act) cho phép họ tìm kiếm lệnh tòa án buộc các nhà cung cấp dịch vụ Mỹ phải tháo dỡ cơ sở hạ tầng liên kết với Lighthouse.
Công ty hy vọng rằng hành động pháp lý phối hợp và sự hợp tác của ngành có thể làm xói mòn hoạt động của nhóm nhanh hơn khả năng phục hồi của chúng. “Nó trở thành một trò chơi whack-a-mole, nhưng giờ đây chúng tôi có thể xác định thủ phạm và truy đuổi từng người một,” Prado nói. “Điều đó tạo ra hiệu ứng răn đe lan tỏa.” Vụ kiện diễn ra khi Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ ước tính rằng hơn 3.4 tỷ email lừa đảo được gửi trên toàn cầu mỗi ngày, với hơn 90% các cuộc tấn công mạng thành công bắt đầu bằng một sự lừa dối trong hộp thư đến hoặc tin nhắn văn bản. Kẻ tấn công hiện ngày càng sử dụng nội dung do AI tạo ra và dữ liệu mạng xã hội để tạo ra các mồi nhử được cá nhân hóa cao.