Google Leva Plataforma de Phishing aos Tribunais

Em uma manobra calculada, o Google protocolou uma ação judicial para desmantelar a infraestrutura da "Lighthouse", uma plataforma de origem chinesa que opera no modelo de Phishing-as-a-Service (PhaaS). A acusação é direta: facilitar uma onda de golpes via SMS (smishing) que se passam por serviços conhecidos como o sistema de pedágio E-ZPass e o serviço postal americano (USPS). Segundo as fontes, a operação criminosa já afetou mais de um milhão de vítimas em 120 países e pode ter comprometido até 115 milhões de cartões de crédito somente nos Estados Unidos entre julho de 2023 e outubro de 2024.

A Anatomia de um Golpe "Pronto para Usar"

A lógica da Lighthouse é vender o crime como um serviço. A plataforma, descrita em documentos do processo como um kit de "phishing para leigos", oferece assinaturas que variam de semanais a permanentes, fornecendo aos cibercriminosos um arsenal completo. Se um criminoso contrata o serviço, então ele recebe acesso a centenas de templates de sites falsos, ferramentas para configuração de domínios e a infraestrutura necessária para enganar vítimas em larga escala. A operação é quase um roteiro: o usuário recebe uma mensagem de texto, seja via iMessage ou RCS, alegando uma cobrança de pedágio pendente ou uma taxa para a entrega de um pacote.

A partir daí, a sequência é previsível. Se a vítima clica no link, então é redirecionada para uma página que imita com precisão o site de uma entidade confiável. Uma vez lá, a vítima é induzida a inserir suas informações pessoais e, principalmente, os dados do cartão de crédito. Segundo o processo do Google, os operadores da Lighthouse chegam a usar a marca da empresa em seus templates para conferir uma falsa legitimidade. A análise dos fatos indica que pelo menos 116 modelos de sites fraudulentos exibem logotipos do Google, YouTube, Gmail ou Google Play, um claro abuso de marca para manipular a confiança do usuário.

Análise de Dados: O Prejuízo e a Lógica do Google

Os números associados à Lighthouse são impressionantes. Uma estimativa do Departamento de Segurança Interna dos EUA (DHS), citada pela Ars Technica, aponta que os prejuízos financeiros globais podem ultrapassar a marca de um bilhão de dólares. Para o Google, o problema transcende o dano aos usuários. A lógica da empresa é clara: se a nossa marca é usada para validar fraudes, então a confiança em nossos serviços é diretamente corroída. Por isso, a ação judicial se baseia em estatutos federais robustos, como a Lei RICO (Racketeer Influenced and Corrupt Organizations Act) e a Lei de Fraude e Abuso de Computadores.

Pesquisadores da Cisco Talos já haviam conectado a Lighthouse a um ator de ameaças chinês conhecido como "Wang Duo Yu", que utiliza canais no Telegram para comercializar e dar suporte aos seus kits de phishing. A operação, que segundo Brian Krebs operava anteriormente sob o nome "Smishing Triad", rebatizou-se como Lighthouse em março de 2025, mostrando uma contínua adaptação para evitar ser desmantelada.

Uma Rede Organizada e Surpreendentemente Astuta

A organização por trás da Lighthouse demonstra um nível de sofisticação que vai além do simples golpe. A comunicação e a coordenação acontecem em canais do Telegram, um dos quais, segundo o Google, conta com mais de 2.500 membros. Nesses grupos, os criminosos trocam informações e buscam parceiros com mensagens como "Quem está pescando? Procurando um parceiro".

Contudo, a tática mais reveladora é a sua capacidade de evasão. Fontes indicam que o sistema da Lighthouse foi projetado para consultar automaticamente o Relatório de Transparência do próprio Google a cada 15 minutos. Se um de seus domínios de phishing é marcado como malicioso, então o sistema notifica os operadores, que podem migrar rapidamente para um novo domínio, minimizando o tempo de inatividade. A plataforma também inclui páginas falsas de autenticação de múltiplos fatores (MFA) para roubar códigos de segurança, neutralizando uma das camadas de proteção mais comuns.

Processo Judicial: Efetividade Real ou Declaração de Intenções?

Apesar da ação robusta do Google, uma análise lógica levanta questões sobre sua efetividade prática. O processo mira 25 réus não identificados, referidos como "John Does", que se presume estarem na China, um país com um histórico limitado de extradição para os EUA. Como aponta o The Register, um processo similar do Google contra operadores do botnet BadBox 2.0, também baseados na China, não resultou em prisões.

Portanto, a questão é: o resultado dessa ação será `true` (desmantelamento da rede) ou `false` (apenas uma medida paliativa)? Em paralelo à via judicial, o Google declarou apoio a três projetos de lei bipartidários nos EUA — o GUARD Act, o Foreign Robocall Elimination Act e o SCAM Act — que visam fortalecer o combate a fraudes e crimes cibernéticos com origem estrangeira. Essa frente dupla sugere que, embora a vitória nos tribunais seja incerta, a empresa está pressionando por mudanças estruturais. A batalha contra a Lighthouse é um teste fundamental sobre a capacidade de uma gigante da tecnologia combater uma rede criminosa descentralizada e internacional.