Google hat am Mittwoch eine Klage gegen eine ausländische Cyberkriminellen-Gruppe eingereicht, die hinter einer massiven SMS-Phishing-Kampagne („Smishing“) steht, bei der unter anderem E-ZPass und die US-Post (USPS) imitiert wurden. Die Gruppe, die von Sicherheitsforschern als „Smishing Triad“ bezeichnet wird und laut Google hauptsächlich aus China stammt, nutzt eine Phishing-as-a-Service-Software namens „Lighthouse“. Diese ermöglicht es Mitgliedern, gefälschte Websites und betrügerische Nachrichten schnell zu erstellen und zu verteilen. Google gab an, dass die Gruppe bereits über eine Million Opfer in 120 Ländern erfasst hat. Die betrügerischen Textnachrichten täuschen oft dringende Warnungen vor Betrug, Lieferupdates oder unbezahlten staatlichen Gebühren vor und führen über Links zu gefälschten Seiten, auf denen sensible Daten wie Sozialversicherungsnummern, Bankdaten und Kreditkarteninformationen gestohlen werden. Laut Google wurden in den USA zwischen 12,7 Millionen und 115 Millionen Kreditkarten betroffen. Google begründet die Klage mit mehreren US-amerikanischen Gesetzen, darunter das RICO-Gesetz, das Lanham Act und das Computer Fraud and Abuse Act (CFAA), und verfolgt das Ziel, die kriminelle Organisation und die „Lighthouse“-Plattform zu zerschlagen. Die Firma stellte fest, dass über 100 gefälschte Website-Vorlagen mit Google-Branding – etwa bei Anmeldeseiten – verwendet wurden, um Nutzer zu täuschen. Intern und durch Dritte wurden rund 2.500 Mitglieder in einem öffentlichen Telegram-Kanal identifiziert, der als Koordinationsplattform dient: Dort wurden neue Mitglieder geworben, Strategien geteilt und die Software gewartet. Zusätzlich existierten spezialisierte Gruppen: ein „Data Broker“-Team, das Opferlisten lieferte, ein „Spammer“-Team für die SMS-Versendung und ein „Theft“-Team, das gestohlene Daten in Telegram-Gruppen koordiniert weiterverkaufte oder nutzte. Diese Klage markiert den ersten rechtlichen Schritt einer großen Technologiefirma gegen SMS-Phishing-Angriffe. Google betont, dass die Rechtsverfolgung nur ein Teil der Strategie sei – zentrale Bedeutung komme einer politischen und strukturellen Antwort zu. Dazu unterstützt das Unternehmen drei bi-parteiliche Gesetzesvorschläge: den GUARD Act (Schutz älterer Menschen vor Betrug), den Foreign Robocall Elimination Act (Schaffung einer Task Force gegen ausländische illegale Robocalls) und den Scam Compound Accountability and Mobilization Act (Bekämpfung von Betrugszentren und Unterstützung von Opfern von Menschenhandel). Parallel dazu hat Google kürzlich neue Sicherheitsfunktionen in Google Messages eingeführt, darunter einen Key Verifier und KI-gestützte Spam-Erkennung, um Nutzer besser vor solchen Angriffen zu schützen. Branchenexperten begrüßen die Klage als wichtigen Präzedenzfall, der zeigen könne, dass Plattformen Verantwortung für die Missbrauch ihrer Marken übernehmen. Gleichzeitig warnen sie, dass technische Maßnahmen allein nicht ausreichen – eine enge Zusammenarbeit zwischen Regierungen, Unternehmen und internationalen Behörden sei entscheidend, um solche organisierten Cyberkriminellen-Netzwerke effektiv zu bekämpfen. Google positioniert sich damit nicht nur als Sicherheitstech-Player, sondern als treibende Kraft für eine umfassendere Cybersicherheitspolitik.