Google mengajukan gugatan hukum untuk membongkar dan menghentikan operasi phishing-as-a-service (PhaaS) bernama Lighthouse, sebuah platform asal Tiongkok yang digunakan penjahat siber untuk mencuri informasi kartu kredit melalui kampanye smishing yang menyamar sebagai layanan USPS dan sistem pembayaran tol E-ZPass di Amerika Serikat.
Menurut Google, infrastruktur Lighthouse telah digunakan untuk menargetkan lebih dari satu juta korban di 120 negara. Di Amerika Serikat saja, berbagai kampanye serupa diperkirakan telah mencuri hingga 115 juta data kartu pembayaran antara Juli 2023 hingga Oktober 2024.
Gugatan ini diajukan dengan dasar pelanggaran sejumlah undang-undang federal, termasuk Racketeer Influenced and Corrupt Organizations (RICO) Act, Lanham Act, serta Computer Fraud and Abuse Act.
Platform PhaaS yang Menyediakan Template Penipuan Siap Pakai
Lighthouse menyediakan template phishing, infrastruktur hosting, dan alat pengiriman pesan kepada pelanggan kriminalnya. Serangan berformat pesan teks tersebut meniru otoritas tol dan layanan paket ternama—termasuk USPS dan E-ZPass—dengan iming-iming tagihan tertunda atau pengiriman tertahan.
Tautan pada pesan tersebut mengarahkan korban ke situs tiruan yang dirancang untuk mencuri informasi pribadi dan nomor kartu kredit. Google menemukan lebih dari 107 template situs phishing yang secara ilegal menggunakan merek dan tampilan antarmuka Google untuk menimbulkan kesan legitimasi.
Cisco Talos sebelumnya mengaitkan Lighthouse dengan Wang Duo Yu, seorang aktor ancaman asal Tiongkok yang mengembangkan dan menjual kit smishing melalui kanal Telegram. Kit Lighthouse dipasarkan dengan harga berlangganan mulai dari $88 per minggu hingga $1.588 per tahun dan mendukung pencurian kredensial maupun kode autentikasi dua faktor (2FA).
Laporan Talos menunjukkan bahwa sejak Oktober 2024, berbagai kelompok kriminal menggunakan kit Lighthouse untuk mengirim pesan E-ZPass palsu kepada pengguna di banyak negara bagian, termasuk Florida, Texas, Virginia, Illinois, dan Ohio. Ribuan domain typosquatting terdeteksi sebagai bagian dari kampanye ini.
Menariknya, Netcraft menemukan bahwa Lighthouse memakai template palsu yang sama dengan kelompok Lucid, menandakan adanya hubungan antara operator PhaaS asal Tiongkok tersebut. Sebelum memakai nama Lighthouse pada Maret 2025, grup ini dikenal sebagai Smishing Triad.
Upaya Google dalam Mendukung Kebijakan Anti-Penipuan
Selain gugatan, Google juga menyatakan dukungan terhadap sejumlah inisiatif kebijakan di AS yang bertujuan memberantas penipuan lintas negara, termasuk:
- GUARD Act – Memberi wewenang lebih pada penegak hukum daerah untuk menyelidiki penipuan terhadap lansia.
- Foreign Robocall Elimination Act – Membentuk gugus tugas khusus untuk memblokir robocall ilegal dari luar negeri.
- SCAM Act – Menetapkan strategi nasional untuk melawan pusat operasi penipuan dan menjatuhkan sanksi kepada operatornya.
Google juga memperluas penggunaan AI untuk mendeteksi pesan penipuan, menambah proteksi baru di Google Messages, memperbaiki fitur Recovery Contacts, serta memperkuat edukasi publik agar pengguna semakin waspada.