Actu

Phishing de masse : Google attaque Lighthouse, la plateforme chinoise qui a volé 115 millions de cartes bancaires !

Google passe à l’offensive contre Lighthouse, le « phishing-as-a-service » chinois

Google a officiellement déposé plainte pour faire tomber Lighthouse, une plateforme de phishing développée et exploitée par des cybercriminels basés en Chine. Identifiée comme l’un des services les plus élaborés de type « Phishing-as-a-Service » (PhaaS), Lighthouse fournit à ses abonnés les outils clés en main pour mener des attaques massives, ciblant la collecte de données bancaires et personnelles. En s’appuyant sur le RICO Act, le Lanham Act et le Computer Fraud and Abuse Act, Google vise à interrompre l’infrastructure technique et juridique derrière ces agissements.

Un kit complet pour « phisher » en deux clics

Lighthouse est conçu pour démocratiser le phishing, en proposant aux malfaiteurs, même débutants, :

  • Des modèles de sites frauduleux prêts à l’emploi pour imiter des services tels que USPS, E-ZPass ou des institutions financières réputées,
  • Un panneau de configuration pour changer instantanément de nom de domaine et contourner les blocages,
  • Une interface de pilotage des campagnes, incluant l’envoi automatisé de SMS et d’e-mails trompeurs,
  • Une fonction d’interception des codes à usage unique (OTP) pour éluder l’authentification à deux facteurs.

    • Disponible sous forme d’abonnement, le service se vend via un canal Telegram privé, fort de 2 500 membres. Cette messagerie sert également de support client, confirmant l’ambition de ses concepteurs de proposer un « phishing for dummies ».

    Plus d’un million de victimes recensées

    Dans sa plainte, Google révèle avoir identifié 107 sites factices portant son logo, utilisés pour subtiliser les identifiants de connexion. Les estimations les plus conservatrices indiquent :

    Article à lire  Impact du changement climatique sur les ressources en eau douce
  • Plus de 1 000 000 de victimes à travers le monde,
  • Au moins 115 000 000 de cartes bancaires compromises rien qu’aux États-Unis,
  • Des pertes financières cumulées dépassant plusieurs millions de dollars.

    • Les cybercriminels s’emparent de mots de passe, coordonnées bancaires, accès à des portefeuilles de crypto-monnaies et autres données sensibles.

    Une menace transsectorielle

    Les campagnes de Lighthouse n’ont pas épargné un seul secteur : institutions publiques, fournisseurs de services routiers, e-commerce et même géants de la tech. Cette agilité découle notamment :

  • De la facilité de création de faux sites à l’apparence quasiment indiscernable,
  • Des mises à jour régulières des templates pour copier les dernières interfaces légitimes,
  • De la rotation rapide des domaines pour échapper aux listes noires.

    • La riposte juridique de Google

    En déposant sa plainte, Google réclame le démantèlement de l’infrastructure technique de Lighthouse et la saisie des serveurs hébergeant la plateforme. L’action se fonde sur :

  • Le RICO Act (Racketeer Influenced and Corrupt Organizations Act) pour sanctionner les actes criminels organisés,
  • Le Lanham Act pour contrefaçon de marques, en raison de l’usage illégal du logo Google,
  • Le Computer Fraud and Abuse Act, visant l’accès illégal et les fraudes informatiques.

    • Ces dispositifs, combinés, visent à frapper le service tant sur le plan civil que pénal, en espérant en dissuader les concepteurs et les utilisateurs.

    Un soutien législatif et politique

    Parallèlement à sa plainte, Google encourage le Congrès américain à adopter trois lois phares :

  • Le « Guarding Unprotected Aging Retirees from Deception Act », pour financer la lutte contre la fraude ciblant les seniors,
  • Le « Foreign Robocall Elimination Act », pour alourdir les sanctions contre les appels automatisés malveillants,
  • Le « Scam Compound Accountability and Mobilization Act », instaurant des taskforces dédiées et des soutiens financiers aux équipes anti-phishing.
    • Article à lire  Choc sur le lac d’Iseo : une baigneuse de 65 ans percutée par un bateau, les détails glaçants

    Ces projets de loi, soutenus par des élus républicains et démocrates, visent à renforcer la coopération entre services de justice, régulateurs et acteurs privés pour contrer phishing, scamming et autres escroqueries numériques.

    Impacts et conseils aux internautes

    Face à l’essor de ces plateformes PhaaS, chaque internaute se retrouve potentiellement menacé. Pour limiter les risques :

  • Vérifier systématiquement l’URL des sites avant de saisir un identifiant,
  • Activer l’authentification à deux facteurs via une application dédiée plutôt que par SMS,
  • Installer un bloqueur de scripts et d’adresses suspectes sur le navigateur,
  • Utiliser un gestionnaire de mots de passe pour générer des codes forts et uniques.

    • Les entreprises, quant à elles, doivent renforcer leurs systèmes de détection des faux domaines et multiplier les campagnes de sensibilisation auprès des clients. Seule une défense coordonnée, alliant technique et vigilance humaine, permettra de contrer efficacement des services aussi conviviaux pour les cybercriminels que Lighthouse.

    Related Posts

    You May Have Missed