Operacija Kaerb rezultirala je hapšenjem 17 sajber kriminalaca u Argentini, Čileu, Kolumbiji, Ekvadoru, Peruu i Španiji. Ovu međunarodnu operaciju koordiniraju Europol, Group-IB i Ameripol.
Ovi pojedinci bili su ključni igrači iza ozloglašene platforme iServer phishing-as-a-service , koja je globalno ciljala mobilne korisnike.
Zaplijenjena domena iServera
Platforma iServer je operativna više od pet godina i prvenstveno je služila kriminalcima koji govore španski u Sjevernoj i Južnoj Americi.
Međutim, njegov domet se proširio na Evropu i druge regije. Za razliku od tipičnih phishing platformi, navodi Europol , iServer je specijalizovan za prikupljanje kredencijala za otključavanje ukradenih telefona.
Imao je web sučelje koje je omogućilo niskokvalifikovanim kriminalcima, poznatim kao “otključavači”, da ukradu lozinke uređaja i korisničke kredencijale s mobilnih platformi zasnovanih na oblaku.
Ova mogućnost im je omogućila da zaobiđu “Lost Mode” i otključaju telefone dobijene na nezakonit način.
Model Crimeware-as-a-Service
Istraga Grupe-IB otkrila je sofisticiranu strukturu kriminalnih sindikata koji koriste Server.
Vlasnik platforme je prodao pristup “otključavačima”, koji su zatim pružali usluge otključavanja telefona drugim kriminalcima sa zaključanim ukradenim uređajima.
Napadi phishinga bili su pomno osmišljeni za prikupljanje podataka koji omogućavaju fizički pristup mobilnom uređaju.
iServer je automatizovao kreiranje i isporuku phishing stranica koje su oponašale popularne mobilne platforme zasnovane na oblaku, što ga čini efikasnim alatom za sajber kriminalce.
Unlockers su dobili ključne informacije za otključavanje telefona, kao što su IMEI brojevi, postavke jezika, detalji vlasnika i kontakt informacije.
Često su pristupali ovim podacima putem izgubljenog načina rada ili platformi baziranih na oblaku. Unlockers postavljaju phishing napade koristeći phishing domene koje pruža iServer ili one koje su sami kreirali.
Nakon odabira scenarija napada, iServer je generisao phishing stranicu i žrtvi poslao SMS sa zlonamjernim linkom.
Predstavljena taktika phishinga
Kritična komponenta iServerovog rada bila je korištenje veze “preusmjerivača”. Ova veza je filtrirala i verifikovala posjetitelje prije nego što ih je dovela do konačne phishing stranice; pristup je odbijen ako posjetitelji nisu poštovali određena pravila.
Jednom kada žrtve unesu svoje kredencijale na ovim stranicama – prerušene u legitimne web stranice mobilnih usluga bazirane na oblaku – platforma ih provjerava i može zatražiti dodatne informacije kao što su OTP kodovi.
Hapšenja označavaju značajnu pobjedu agencija za provođenje zakona širom svijeta u suzbijanju sajber kriminala.
Argentinski državljanin koji je upravljao iServer platformom uhapšen je tokom operacije sprovedene između 10. i 17. septembra 2024. godine.
Zvaničnici za provođenje zakona izvještavaju da je platforma ciljala preko 1,2 miliona mobilnih telefona i da je odnijela oko 483.000 žrtava širom svijeta.
Ukidanje iServer mreže naglašava važnost međunarodne saradnje u borbi protiv sajber kriminala.
Takođe naglašava evoluirajuću prirodu modela kriminalnog softvera kao usluge koji čak i niskokvalifikovanim kriminalcima daju moć da se uključe u sofisticirane sajber napade.
Kako vlasti nastavljaju da istražuju i rastavljaju slične mreže, ova operacija nas podsjeća na stalnu prijetnju koju predstavljaju sajber kriminalci i potrebu za snažnim mjerama kibernetičke sigurnosti .
Izvor: CyberSecurityNews