El gigante tecnológico mundial Google, LLC, ha emprendido acciones legales contra un presunto grupo internacional de ciberdelincuentes que, según afirma, ha dañado la reputación de Google y perjudicado a sus clientes al robar su información personal y financiera mediante estafas en Internet.
Aunque Google aún desconoce los nombres reales de los acusados, el litigio indica que tienen su sede en China.
En una demanda presentada el 12 de noviembre en la Corte de Distrito de Estados Unidos para el Distrito Sur de Nueva York, Google solicita una orden judicial para detener al grupo criminal, al que se refiere en la demanda como "DOES 1-25". La demanda afirma que, en conjunto, el grupo estafó a miles de víctimas por valor de millones de dólares y también perjudicó a Google mediante el uso no autorizado de sus marcas comerciales y servicios.
El litigio describe los ataques de phishing disfrazados de anuncios, correos electrónicos o mensajes de texto que alertan a consumidores desprevenidos sobre algún tipo de problema con una entrega, un peaje impagado o un sitio web de comercio electrónico que en realidad es fraudulento. Una vez que los clientes hacen clic en el enlace de pago, pierden no solo su dinero, sino también toda su información privada. Los sitios suelen mencionar una opción falsa de Google Pay.
La demanda afirma que los acusados utilizan un kit de software de phishing llamado "Lighthouse", que ofrece a los usuarios un plan de "phishing para principiantes" a cambio de una cuota mensual de licencia. El plan supuestamente incluye cientos de plantillas para sitios web falsos, herramientas de configuración de dominios y otras funciones para atraer a los consumidores.
"La magnitud de los ataques de phishing de Lighthouse es asombrosa. En un periodo de 20 días, aproximadamente 200,000 sitios web fraudulentos creados con Lighthouse se utilizaron para atraer a más de 1000,000 de víctimas potenciales en al menos 121 países", afirma la demanda.
Google sostiene que, como resultado, hasta 115 millones de tarjetas de crédito podrían haber sido comprometidas solo en Estados Unidos. Estos sitios web respaldados por Lighthouse reciben un promedio de 50,000 visitas diarias.
Google afirma que las acciones de Lighthouse Enterprise y su grupo de ciberdelincuentes también han causado daños económicos y de reputación a la empresa y que ha dedicado "recursos sustanciales" a investigar y hacer frente a esta actividad delictiva.
"Los demandados han incorporado logotipos de Google en sitios web falsos que se utilizan para solicitar información financiera personal de las víctimas en Nueva York y en todo Estados Unidos", afirma la demanda. También describe las actividades de los demandados como "intencionadas, ilícitas e ilegales".
El litigio describe cómo funciona cada facción de Lighthouse Enterprise para llevar a cabo sus elaborados planes de phishing. Identifica cinco grupos específicos: el grupo de desarrolladores, que suministra el software de phishing; el grupo de corredores de datos, que suministra las listas de posibles objetivos; el grupo de spammers, que configura las herramientas para enviar mensajes fraudulentos en gran volumen; el grupo de ladrones, que ayuda a monetizar la información robada; y el grupo administrativo, que gestiona una comunidad en línea para la colaboración y el reclutamiento de nuevos miembros.
Una de las estrategias más populares de Lighthouse es la "estafa de la entrega falsa", en la que los estafadores se hacen pasar por representantes del Servicio Postal de Estados Unidos y solicitan a los consumidores que paguen una tasa para garantizar la entrega de su paquete.
El "plan de peajes" consiste en una factura falsa de cobradores de peajes como E-ZPass. Los planes de instituciones financieras tienen como objetivo engañar a los consumidores para que inicien sesión en un sitio web falso que imita a su banco para obtener acceso a la información de su cuenta. Otra estafa popular es el plan de comercio electrónico, que dirige a los consumidores desprevenidos a un sitio web falso con productos falsos.
"La empresa utiliza plataformas publicitarias en línea, entre ellas Google Ads, para crear anuncios que distribuyen enlaces a sus sitios web de comercio electrónico fraudulentos", señala la demanda. "Google ha suspendido las cuentas de Google Ads que ha identificado como asociadas a la empresa".
Además de solicitar una indemnización por daños y perjuicios a los demandados, Google también solicita una orden de restricción contra los demandados y sus directivos, oficiales y empleados, así como contra cualquier persona que participe activamente con ellos.
