Eine Koalition aus Strafverfolgungsbehörden erklärte, sie habe einen Dienst geschlossen, der die Entsperrung von über 1,2 Millionen gestohlenen oder verlorenen Mobiltelefonen ermöglichte, sodass diese von jemand anderem als dem rechtmäßigen Besitzer genutzt werden konnten.
Der Dienst war Teil von iServer, einer Phishing-as-a-Service-Plattform, die seit 2018 in Betrieb ist. Der in Argentinien ansässige iServer verkaufte Zugang zu einer Plattform, die eine Vielzahl von Phishing-bezogenen Diensten per E-Mail, SMS und Sprachanruf anbot. Einer der angebotenen Spezialdienste war darauf ausgelegt, Personen, die im Besitz einer großen Anzahl gestohlener oder verlorener Mobilgeräte sind, dabei zu helfen, die erforderlichen Anmeldeinformationen zu erhalten, um Schutzmaßnahmen wie den Verloren-Modus für iPhones, die verhindern, dass ein verlorenes oder gestohlenes Gerät ohne Eingabe des Passcodes verwendet werden kann.
Vergrößern/ Das Phishing-as-a-Service-Modell von iServer.
Gruppe-IB
Ausrichtung auf unerfahrene Diebe
Eine internationale Operation, koordiniert vom Europäischen Zentrum für Cyberkriminalität von Europol sagte Es verhaftete den argentinischen Staatsbürger, der hinter iServer stand, und identifizierte mehr als 2.000 „Unlocker“, die sich im Laufe der Jahre bei der Phishing-Plattform angemeldet hatten. Die Ermittler fanden schließlich heraus, dass das kriminelle Netzwerk zum Entsperren von mehr als 1,2 Millionen Mobiltelefonen verwendet worden war. Beamte sagten, sie hätten auch 483.000 Telefonbesitzer identifiziert, die Nachrichten erhalten hatten, in denen nach Anmeldeinformationen für ihre verlorenen oder gestohlenen Geräte geforscht wurde.
Entsprechend Group-IB, die Sicherheitsfirma, die den Betrug mit der Telefonentsperrung aufgedeckt und den Behörden gemeldet hatte, und iServer stellten eine Weboberfläche bereit, über die auch wenig erfahrene Entsperrer den rechtmäßigen Gerätebesitzern die Gerätepasswörter, Benutzeranmeldeinformationen von Cloud-basierten mobilen Plattformen und andere persönliche Informationen entlocken konnten.
Group-IB schrieb:
Während ihrer Untersuchungen zu den kriminellen Aktivitäten von iServer deckten die Spezialisten von Group-IB auch die Struktur und Rollen der kriminellen Syndikate auf, die mit der Plattform operieren: Der Eigentümer/Entwickler der Plattform verkauft Zugang an „Unlocker“, die wiederum anderen Kriminellen mit gesperrten, gestohlenen Geräten Telefonentsperrungsdienste anbieten. Die Phishing-Angriffe sind speziell darauf ausgelegt, Daten zu sammeln, die Zugriff auf physische Mobilgeräte gewähren, sodass Kriminelle die Anmeldeinformationen der Benutzer und lokale Gerätekennwörter erlangen können, um Geräte zu entsperren oder sie von ihren Besitzern zu trennen. iServer automatisiert die Erstellung und Bereitstellung von Phishing-Seiten, die beliebte cloudbasierte mobile Plattformen imitieren, und verfügt über mehrere einzigartige Implementierungen, die seine Wirksamkeit als Cybercrime-Tool erhöhen.
Unlocker erhalten die notwendigen Informationen zum Entsperren der Mobiltelefone, wie IMEI, Sprache, Besitzerdetails und Kontaktinformationen, auf die häufig über den verlorenen Modus oder über Cloud-basierte mobile Plattformen zugegriffen wird. Sie verwenden von iServer bereitgestellte Phishing-Domänen oder erstellen eigene, um einen Phishing-Angriff einzurichten. Nach Auswahl eines Angriffsszenarios erstellt iServer eine Phishing-Seite und sendet eine SMS mit einem bösartigen Link an das Opfer.
Vergrößern/ Ein Beispiel für eine gesendete Phishing-Nachricht.
Bei erfolgreichem Abschluss erhalten iServer-Kunden die Anmeldeinformationen über die Weboberfläche. Anschließend können sie ein Telefon entsperren, um den Modus „Verloren“ zu deaktivieren, sodass das Gerät von jemand Neuem verwendet werden kann.
Letztlich erhielten die Kriminellen die gestohlenen und validierten Zugangsdaten über die iServer-Weboberfläche, wodurch sie ein Telefon entsperren, den „Verloren-Modus“ deaktivieren und es vom Konto des Besitzers trennen konnten.
Um den Betrug besser zu tarnen, tarnte iServer Phishing-Seiten häufig als Seiten von Cloud-basierten Diensten.
Vergrößern/ Phishing-Nachricht mit der Aufforderung zur Eingabe eines Passcodes.
Gruppe-IB
Vergrößern/ Nach Eingabe des Passcodes tarnt sich die Phishing-Nachricht als Cloud-basierter Dienst mit einer Karte.
Gruppe-IB
Neben der Festnahme beschlagnahmten die Behörden auch die Domäne iserver.com.
Vergrößern/ Die iServer-Site, wie sie vor der Abschaltung aussah.
Gruppe-IB
Vergrößern/ Die iServer-Website nach der Abschaltung.
Gruppe-IB
Die Abschaltung und Festnahmen erfolgten vom 10. bis 17. September in Spanien, Argentinien, Chile, Kolumbien, Ecuador und Peru. Die Behörden dieser Länder begannen 2022 mit der Untersuchung des Phishing-Dienstes.
