O longo braço da lei finalmente começa a frustrar o smishing

Como a ação legal e a tecnologia estão a tentar encerrar esquemas de phishing por SMS a nível global

Principais conclusões

• A Google moveu uma ação judicial contra o grupo de cibercrime Smishing Triad, visando a sua plataforma de phishing como serviço, Lighthouse, utilizando o RICO Act, Lanham Act e Computer Fraud and Abuse Act.
• A Lighthouse está a operar desde 2023 e é responsável pela recolha de milhões de números de cartões de crédito, com um aumento de cinco vezes nos ataques desde 2020, afetando vítimas em mais de 120 países.
• A Google está a colaborar com o Congresso em legislação pendente para melhor equipar os estados e agências para combater esquemas fraudulentos, incluindo medidas para investigar fraude financeira, parar chamadas automáticas internacionais e abordar compostos de esquemas fraudulentos.
• A Google melhorou a sua plataforma com ferramentas de IA para detetar e sinalizar proativamente mensagens de esquema comuns, como as relacionadas com taxas de portagem ou entregas de pacotes.

Ao longo dos anos, tem havido muitas queixas sobre os poucos recursos disponíveis no sistema legal, dado o simples facto de que os ciberataques podem originar-se de praticamente qualquer lugar. Demasiadas vezes, há muito pouco que se possa fazer para parar esses ataques, porque os países de onde foram lançados não estão particularmente preocupados com o impacto que possam ter para além das suas fronteiras.

No entanto, de vez em quando, alguma fé no sistema legal é restaurada. Como parte de um esforço multifacetado para frustrar uma operação global de smishing que visava mais de um milhão de vítimas usando mensagens de texto que alertavam sobre pacotes não entregues ou portagens E-ZPass não pagas para solicitar informações pessoais e números de cartões de crédito, a Google apresentou um processo que visa desmantelar uma plataforma de phishing-como-serviço (PhaaS) conhecida como Lighthouse que tem sido usada por um grupo de cibercrime apelidado de Smishing Triad para lançar estas campanhas.

Impacto do processo da Google contra a Tríade Smishing

Especificamente, a Google apresentou uma queixa ao abrigo da Lei das Organizações Corruptas e Influenciadas por Extorsionistas (RICO), da Lei Lanham e da Lei de Fraude e Abuso Informático para encerrar a Lighthouse. Como parte deste esforço, a Google também partilhou uma mensagem publicada pelo anfitrião da entidade Lighthouse que, em chinês, dizia que um "servidor na nuvem foi bloqueado devido a queixas maliciosas."

Não está claro como essa interrupção foi alcançada, porque a Lighthouse e outros fornecedores de plataformas PhaaS semelhantes utilizam múltiplos provedores de serviços na nuvem, mas a suposição é que os provedores dos serviços na nuvem usados para lançar esses ataques não estão muito interessados em ser mencionados em um processo judicial. Como resultado, parece que os provedores de serviços na nuvem estão agora a prestar mais atenção a como esses sindicatos estão a tirar proveito da infraestrutura que disponibilizam e, igualmente importante, a mover-se para bloquear esse tráfego.

Infelizmente, já foi causado muito estrago. O Lighthouse está em operação desde 2023 e, nos últimos dois anos, recolheu entre 12,7 milhões e 115 milhões de cartões de crédito nos Estados Unidos. No total, houve um aumento de cinco vezes nesses ataques desde 2020, afetando vítimas em mais de 120 países.

Ação legislativa e inovação Baseado em IA fortalecem os esforços anti-esquema fraudulento

Além de utilizar as leis existentes para levar à justiça os autores destes esquemas, a Google também revelou que está a trabalhar com membros do Congresso para aprovar três projetos de lei pendentes destinados a proteger os cidadãos dos EUA contra esquemas fraudulentos.

Um é projetado para permitir que os estados utilizem subsídios federais para investigar fraudes financeiras e esquemas fraudulentos que visam reformados, enquanto outro criaria uma força-tarefa que investigaria como bloquear chamadas automáticas que se originam noutro país antes de chegarem aos americanos. O terceiro criaria uma estratégia nacional para abordar os compostos de esquemas fraudulentos, que são locais massivos que atraem pessoas de outros países a participar em esquemas online que envolvem desde romances a investimentos financeiros.

Finalmente, a Google também adicionou à sua plataforma a capacidade de utilizar inteligência artificial (IA) para detetar e sinalizar mensagens de esquema comuns que envolvem, por exemplo, taxas de portagem ou entregas de pacotes.

Pressão crescente para combater esquemas fraudulentos online

É demasiado cedo para dizer qual será o impacto de todos estes esforços em tornar a internet mais segura para o cidadão comum desprevenido, mas, pelo menos, está a ser enviada uma mensagem — particularmente para os provedores de serviços de internet e cloud, que um dia poderão ser acusados de violar os estatutos RICO, caso se prove que sabiam como os seus serviços estavam a ser utilizados por atores maliciosos.

A simples e triste verdade é que, embora seja necessário algum esforço para determinar quem possui a infraestrutura de TI utilizada para lançar estes esquemas fraudulentos, não é impossível determinar. A questão passa então a ser ter a força de vontade não só para informar os provedores destes serviços sobre como estão a ser mal utilizados, mas também para deixar claro que, em última análise, serão responsabilizados.