Europol zamyka główny schemat phishingu ujawniający platformę iServer PhaaS i globalne operacje cyberprzestępczości
Europol poważnie uderzył w międzynarodową cyberprzestępczość, rozbijając szeroko zakrojoną operację phishingu, której celem były dane uwierzytelniające telefonów komórkowych. Zlikwidowanie platformy phishing-as-a-service (PhaaS), znanej jako iServer, oznacza punkt zwrotny w walce z metodami phishingu, które wykorzystują skradzione i zgubione urządzenia mobilne. W operacji, nazwanej Operation Kaerb, wzięły udział organy ścigania z wielu krajów, co doprowadziło do aresztowania 17 osób i zajęcia setek przedmiotów, w tym urządzeń mobilnych, pojazdów i broni.
Table of Contents
Usługa Phishing-as-a-Service firmy iServer, której celem są dane uwierzytelniające telefonów komórkowych
iServer, zautomatyzowana platforma phishingowa, wyróżniała się na tle innych usług PhaaS, specjalizując się w odblokowywaniu skradzionych lub zgubionych telefonów komórkowych. Przestępcy korzystający z platformy, często określani jako „odblokowujący”, celowali w dane uwierzytelniające użytkowników z platform mobilnych w chmurze, co umożliwiało im ominięcie funkcji bezpieczeństwa, takich jak Lost Mode, i przejęcie kontroli nad urządzeniami. Podszywając się pod zaufane usługi mobilne, oszukiwali ofiary, aby przekazały im poufne informacje, takie jak hasła i kody uwierzytelniania dwuskładnikowego (2FA).
Ta platforma phishingowa była skierowana głównie do użytkowników hiszpańskojęzycznych w Europie, Ameryce Północnej i Południowej, przy czym Chile, Kolumbia, Ekwador i Peru zgłosiły największą liczbę ofiar. Łącznie iServer pochłonął ponad 483 000 ofiar na całym świecie.
Operacja Kaerb: globalny wysiłek mający na celu wyłączenie iServer
Skoordynowane działania, prowadzone przez organy ścigania z Hiszpanii, Argentyny, Chile, Kolumbii, Ekwadoru i Peru, zakończyły się aresztowaniem obywatela Argentyny odpowiedzialnego za rozwój i obsługę iServer od 2018 r. W trakcie operacji dokonano 17 aresztowań, przeprowadzono 28 przeszukań i skonfiskowano 921 przedmiotów, w tym urządzenia mobilne i sprzęt elektroniczny.
Łącznie uważa się, że ponad 1,2 miliona telefonów komórkowych zostało odblokowanych za pośrednictwem platformy phishingowej. Schemat ten nie tylko pomógł przestępcom uzyskać nieautoryzowany dostęp do skradzionych telefonów, ale także ułatwił nielegalną sprzedaż tych usług nabywcom zewnętrznym, w tym złodziejom telefonów.
Jak działał schemat phishingu
iServer stosował wyrafinowane techniki, aby oszukać ofiary i wymusić ujawnienie danych uwierzytelniających ich urządzenia. Przestępcy wysyłali fałszywe wiadomości SMS do ofiar, namawiając je do kliknięcia łącza w celu zlokalizowania zgubionego telefonu. Łącze prowadziło do serii przekierowań, ostatecznie trafiając na fałszywą stronę logowania, która odzwierciedlała popularne platformy oparte na chmurze. Ofiary proszono o podanie danych uwierzytelniających, kodów dostępu do urządzeń i kodów 2FA, które następnie były wykorzystywane przez atakujących do odblokowania i odłączenia telefonów od ich prawowitych właścicieli.
Według singapurskiej firmy zajmującej się cyberbezpieczeństwem Group-IB, automatyzacja tworzenia i dostarczania stron phishingowych przez iServer wyróżnia ją na tle tradycyjnych platform phishingowych. Automatyzując te procesy, iServer umożliwił przestępcom o niskich kwalifikacjach wykonywanie wyrafinowanych ataków phishingowych przy minimalnym wysiłku.
Platforma Ghost również zdemontowana w ramach globalnej akcji
W podobnym rozwoju wydarzeń Europol i Australijska Policja Federalna (AFP) rozbiły inną sieć przestępczą, która obsługiwała zaszyfrowaną platformę komunikacyjną znaną jako Ghost. Podobnie jak usługi takie jak EncroChat i Sky ECC, Ghost pozwalał organizacjom przestępczym prowadzić nielegalne działania, takie jak handel narkotykami, pranie pieniędzy i przemoc, jednocześnie unikając wykrycia.
Ghost, dostępny za pośrednictwem niestandardowych smartfonów z systemem Android, oferował użytkownikom takie funkcje, jak szyfrowane wiadomości i możliwość samozniszczenia wiadomości. Platforma stała się centrum przestępczości zorganizowanej, a tysiące użytkowników wymieniało ponad 1000 wiadomości dziennie. W ramach operacji Kraken dokonano 51 aresztowań, w tym 38 w Australii, a kluczowe postacie powiązane z syndykatami przestępczymi zostały aresztowane.
Ciągła walka Europolu z cyberprzestępczością
Zlikwidowanie iServer i platformy Ghost podkreśla zaangażowanie Europolu w rozmontowywanie sieci cyberprzestępczości, które wykorzystują narzędzia cyfrowe do wykorzystywania ofiar. Jak pokazują te operacje, phishing jako usługa i platformy szyfrowanej komunikacji stały się integralnymi narzędziami cyberprzestępców, co sprawia, że skoordynowane globalne działania organów ścigania są kluczowe dla powstrzymania ich rozprzestrzeniania.
Ponieważ cyberprzestępcy nieustannie rozwijają swoje taktyki, w tym zwracają się ku mniej znanym platformom, organy ścigania i firmy prywatne muszą być o krok przed innymi. Współpraca między narodami, w połączeniu z postępem technologicznym w egzekwowaniu prawa, będzie nadal odgrywać kluczową rolę w trwającej walce z cyberprzestępczością.
Dla osób fizycznych najlepszą linią obrony pozostaje czujność. Ostrożność w stosunku do niechcianych wiadomości, weryfikacja linków przed kliknięciem i korzystanie z uwierzytelniania dwuskładnikowego może pomóc chronić dane osobowe i urządzenia mobilne przed dostaniem się w niepowołane ręce.
