Europol stoppt großes Phishing-Programm, das die iServer PhaaS-Plattform und globale Cybercrime-Operationen offenlegt
In einem schweren Schlag gegen die internationale Cyberkriminalität hat Europol eine groß angelegte Phishing-Operation vereitelt, die auf die Zugangsdaten von Mobiltelefonen abzielte. Die Abschaltung der Phishing-as-a-Service-Plattform (PhaaS), bekannt als iServer, markiert einen Wendepunkt im Kampf gegen Phishing-Systeme, die gestohlene und verlorene Mobilgeräte ausnutzen. Strafverfolgungsbehörden aus mehreren Ländern beteiligten sich an der Operation Kaerb, die zur Festnahme von 17 Personen und der Beschlagnahmung von Hunderten von Gegenständen, darunter Mobilgeräte, Fahrzeuge und Waffen, führte.
Table of Contents
Phishing-as-a-Service von iServer zielt auf Mobiltelefon-Anmeldeinformationen ab
iServer, eine automatisierte Phishing-Plattform, unterschied sich von anderen PhaaS-Diensten dadurch, dass sie sich auf das Entsperren gestohlener oder verlorener Mobiltelefone spezialisierte. Kriminelle, die die Plattform nutzten und oft als „Unlocker“ bezeichnet wurden, zielten auf Benutzeranmeldeinformationen von Cloud-basierten mobilen Plattformen ab, wodurch sie Sicherheitsfunktionen wie den „Verloren-Modus“ umgehen und die Kontrolle über Geräte erlangen konnten. Indem sie sich als vertrauenswürdige mobile Dienste ausgaben, brachten sie ihre Opfer dazu, vertrauliche Informationen wie Passwörter und Zwei-Faktor-Authentifizierungscodes (2FA) herauszugeben.
Diese Phishing-Plattform zielte in erster Linie auf spanischsprachige Benutzer in Europa, Nordamerika und Südamerika ab, wobei Chile, Kolumbien, Ecuador und Peru die meisten Opfer meldeten. Insgesamt forderte iServer weltweit mehr als 483.000 Opfer.
Operation Kaerb: Weltweite Anstrengung zur Abschaltung von iServer
Der koordinierte Einsatz unter der Leitung von Strafverfolgungsbehörden aus Spanien, Argentinien, Chile, Kolumbien, Ecuador und Peru gipfelte in der Festnahme des argentinischen Staatsbürgers, der seit 2018 für die Entwicklung und den Betrieb von iServer verantwortlich ist. Im Laufe der Operation kam es zu 17 Festnahmen, 28 Durchsuchungen wurden durchgeführt und 921 Gegenstände, darunter Mobilgeräte und elektronische Geräte, beschlagnahmt.
Insgesamt sollen über die Phishing-Plattform mehr als 1,2 Millionen Mobiltelefone entsperrt worden sein. Das System verschaffte den Kriminellen nicht nur unbefugten Zugriff auf gestohlene Telefone, sondern erleichterte auch den illegalen Verkauf dieser Dienste an Drittkäufer, darunter auch Telefondiebe.
Wie das Phishing-Schema funktionierte
iServer setzte ausgeklügelte Techniken ein, um Opfer dazu zu bringen, ihre Geräteanmeldeinformationen preiszugeben. Kriminelle schickten den Opfern betrügerische SMS-Nachrichten und forderten sie auf, auf einen Link zu klicken, um ihr verlorenes Telefon zu orten. Der Link führte sie durch eine Reihe von Weiterleitungen und landete schließlich auf einer gefälschten Anmeldeseite, die beliebte Cloud-basierte Plattformen widerspiegelte. Die Opfer wurden aufgefordert, ihre Anmeldeinformationen, Gerätepasscodes und 2FA-Codes einzugeben, die dann von Angreifern verwendet wurden, um die Telefone zu entsperren und von ihren rechtmäßigen Besitzern zu trennen.
Laut dem in Singapur ansässigen Cybersicherheitsunternehmen Group-IB unterscheidet sich iServer durch die Automatisierung der Erstellung und Bereitstellung von Phishing-Seiten von herkömmlichen Phishing-Plattformen. Durch die Automatisierung dieser Prozesse ermöglichte iServer auch weniger erfahrenen Kriminellen, mit minimalem Aufwand ausgeklügelte Phishing-Angriffe durchzuführen.
Auch die Ghost-Plattform wurde im Rahmen einer globalen Aktion demontiert
In einer damit zusammenhängenden Entwicklung haben Europol und die australische Bundespolizei (AFP) ein weiteres kriminelles Netzwerk zerschlagen, das eine verschlüsselte Kommunikationsplattform namens Ghost betrieb. Ähnlich wie Dienste wie EncroChat und Sky ECC ermöglichte Ghost kriminellen Organisationen, illegale Aktivitäten wie Drogenhandel, Geldwäsche und Gewalt durchzuführen und dabei unentdeckt zu bleiben.
Ghost war über spezielle Android-Smartphones zugänglich und bot seinen Nutzern Funktionen wie verschlüsselte Nachrichten und die Möglichkeit, Nachrichten selbst zu zerstören. Die Plattform entwickelte sich zu einem Zentrum der organisierten Kriminalität, wo Tausende von Nutzern täglich über 1.000 Nachrichten austauschten. Im Rahmen der Operation Kraken kam es zu 51 Festnahmen, davon 38 in Australien, und wichtige Personen mit Verbindungen zu kriminellen Syndikaten wurden in Gewahrsam genommen.
Europols anhaltender Kampf gegen Cyberkriminalität
Die Abschaltung von iServer und der Ghost-Plattform unterstreicht Europols Engagement bei der Zerschlagung von Cybercrime-Netzwerken, die digitale Tools nutzen, um ihre Opfer auszubeuten. Wie diese Operationen zeigen, sind Phishing-as-a-Service und verschlüsselte Kommunikationsplattformen zu unverzichtbaren Werkzeugen für Cyberkriminelle geworden. Um ihre Verbreitung einzudämmen, sind koordinierte globale Strafverfolgungsmaßnahmen von entscheidender Bedeutung.
Da Cyberkriminelle ihre Taktiken ständig weiterentwickeln und sich auch weniger bekannter Plattformen zuwenden, ist es für Strafverfolgungsbehörden und private Unternehmen von entscheidender Bedeutung, immer einen Schritt voraus zu sein. Die Zusammenarbeit zwischen den Nationen wird in Verbindung mit technologischen Fortschritten bei der Strafverfolgung auch weiterhin eine Schlüsselrolle im anhaltenden Kampf gegen die Cyberkriminalität spielen.
Für Privatpersonen ist Wachsamkeit die beste Verteidigungslinie. Vorsicht vor unerwünschten Nachrichten, die Überprüfung von Links vor dem Anklicken und die Verwendung einer Zwei-Faktor-Authentifizierung können dazu beitragen, zu verhindern, dass persönliche Daten und Mobilgeräte in die falschen Hände geraten.
