Lighthouse et la ‘Triade du smishing’ : Google accuse un kit de phishing-as-a-service

Des SMS frauduleux annonçant un colis qui n’entre pas dans la boîte aux lettres ou un montant de péage impayé sont parmi les scénarios utilisés par des campagnes de smishing. Selon Google, ces arnaques pourraient être largement organisées au moyen d’un kit de phishing commercialisé sous le nom de Lighthouse.

Comment fonctionne Lighthouse ?

Selon une publication de Google le 12 novembre 2025, Lighthouse serait proposé comme un service doté d’un abonnement mensuel donnant accès à des outils clefs pour monter des campagnes d’hameçonnage par SMS. Le mode opératoire rapporté est le suivant :

• Envoi massif de SMS invitant le destinataire à cliquer sur un lien et à saisir des informations sensibles (identifiants, informations bancaires, etc.).
• Usurpation d’identité de marques reconnues pour rendre les pages d’hameçonnage plus convaincantes; Google indique avoir relevé plus de 107 sites imitant différents outils de la société.
• Disponibilité de centaines de modèles de faux sites et d’outils de configuration de domaine pour déployer rapidement de nouvelles pages malveillantes.

Google présente Lighthouse comme un exemple de  »phishing-as-a-service »: un kit clef en main permettant à des opérateurs malveillants de lancer des campagnes sans développer eux-mêmes tous les composants techniques.

La plainte de Google

Le 12 novembre 2025, Google a déposé une plainte visant 25 individus non identifiés, qu’elle soupçonne d’appartenir au groupe surnommé la  » Triade du smishing « . D’après les informations communiquées par l’entreprise :

• Ce groupe, suivi notamment par la société de cybersécurite Silent Push, enverrait plusieurs centaines de milliers de SMS frauduleux par jour dans le monde.
• Plus de la moitié des sites d’hameçonnage associés seraient hébergés par deux fournisseurs chinois, Tencent et Alibaba. Beaucoup de liens ne restent actifs que quelques jours, mais de nouveaux liens apparaissent quotidiennement.
• Les opérateurs auraient créé une communaut en ligne via des chaînes YouTube et des groupes Telegram pour promouvoir l’utilisation de Lighthouse.
• Google accuse également la Triade d’utiliser des informations de cartes de crédit volées pour améliorer leurs opérations, notamment en payant des comptes Google Ads afin de difuser des publicités renvoyant vers leurs sites d’hameçonnage.
• Selon l’accusation, le groupe aurait dérobé entre 12,7 et 115 millions de numéros de cartes de crédit rien qu’aux États-Unis.

Ces faits sont presntés par Google comme des allégations dans le cadre de sa plainte. L’enquête et les procédures judiciaires sont en cours.

Recommandations pratiques

• Ne pas cliquer sur des liens contenus dans des SMS inattendus; contacter directement l’entreprise concernée via des coordonnées officielles.
• Vérifier l’URL d’une page avant de saisir des informations personnelles et rechercher les incohérences.
• Activer l’authentification à deux facteurs lorsque c’est possible et surveiller ses relevés bancaires pour détecter des opérations suspectes.
• Signaler les SMS frauduleux aux opérateurs téléphoniques et aux autorités compétentes.

Face à la multiplication de ces campagnes, la vigilance des utilisateurs et la coordination des acteurs techniques et judiciaires restent des éléments clés pour limiter les dommages.