Europol chiude un importante schema di phishing che espone la piattaforma PhaaS di iServer e le operazioni globali di criminalità informatica
In un duro colpo alla criminalità informatica internazionale, Europol ha smantellato un'operazione di phishing su larga scala che prendeva di mira le credenziali dei telefoni cellulari. L'smantellamento della piattaforma phishing-as-a-service (PhaaS), nota come iServer, segna una svolta nella lotta contro gli schemi di phishing che sfruttano dispositivi mobili rubati e smarriti. Le forze dell'ordine di diversi paesi hanno partecipato all'operazione, soprannominata Operazione Kaerb, che ha portato all'arresto di 17 individui e al sequestro di centinaia di oggetti, tra cui dispositivi mobili, veicoli e armi.
Table of Contents
Il phishing-as-a-service di iServer prende di mira le credenziali dei telefoni cellulari
iServer, una piattaforma di phishing automatizzata, si è distinta dagli altri servizi PhaaS specializzandosi nello sblocco di telefoni cellulari rubati o smarriti. I criminali che utilizzano la piattaforma, spesso definiti "unlocker", hanno preso di mira le credenziali degli utenti da piattaforme mobili basate su cloud, consentendo loro di aggirare funzionalità di sicurezza come Lost Mode e ottenere il controllo dei dispositivi. Impersonando servizi mobili affidabili, hanno ingannato le vittime inducendole a consegnare informazioni sensibili come password e codici di autenticazione a due fattori (2FA).
Questa piattaforma di phishing ha preso di mira principalmente utenti di lingua spagnola in Europa, Nord America e Sud America, con Cile, Colombia, Ecuador e Perù che hanno segnalato il numero più alto di vittime. In totale, iServer ha causato più di 483.000 vittime in tutto il mondo.
Operazione Kaerb: sforzo globale per abbattere iServer
Lo sforzo coordinato, guidato dalle forze dell'ordine di Spagna, Argentina, Cile, Colombia, Ecuador e Perù, è culminato nell'arresto del cittadino argentino responsabile dello sviluppo e del funzionamento di iServer dal 2018. Nel corso dell'operazione, sono stati effettuati 17 arresti, sono state condotte 28 perquisizioni e sono stati confiscati 921 articoli, tra cui dispositivi mobili e apparecchiature elettroniche.
In totale, si ritiene che siano stati sbloccati più di 1,2 milioni di telefoni cellulari tramite la piattaforma di phishing. Lo schema non solo ha aiutato i criminali a ottenere l'accesso non autorizzato ai telefoni rubati, ma ha anche facilitato la vendita illegale di questi servizi ad acquirenti terzi, inclusi i ladri di telefoni.
Come funzionava lo schema di phishing
iServer ha impiegato tecniche sofisticate per ingannare le vittime e indurle a rivelare le credenziali del loro dispositivo. I criminali inviavano messaggi SMS fraudolenti alle vittime, esortandole a cliccare su un link per localizzare il telefono smarrito. Il link le conduceva attraverso una serie di reindirizzamenti, finendo infine su una pagina di login falsa che rispecchiava le popolari piattaforme basate su cloud. Alle vittime veniva chiesto di inserire le proprie credenziali, i codici di accesso del dispositivo e i codici 2FA, che venivano poi utilizzati dagli aggressori per sbloccare e scollegare i telefoni dai legittimi proprietari.
Secondo la società di sicurezza informatica con sede a Singapore Group-IB, l'automazione della creazione e della distribuzione di pagine di phishing da parte di iServer la distingue dalle tradizionali piattaforme di phishing. Automatizzando questi processi, iServer ha consentito a criminali poco qualificati di eseguire attacchi di phishing sofisticati con il minimo sforzo.
Anche la piattaforma fantasma è stata smantellata nell'azione globale
In uno sviluppo correlato, Europol e la Australian Federal Police (AFP) hanno smantellato un'altra rete criminale che gestiva una piattaforma di comunicazioni crittografate nota come Ghost. Simile a servizi come EncroChat e Sky ECC, Ghost ha consentito alle organizzazioni criminali di condurre attività illegali come traffico di droga, riciclaggio di denaro e violenza, eludendo il rilevamento.
Ghost, accessibile tramite smartphone Android personalizzati, offriva agli utenti funzionalità come la messaggistica crittografata e la possibilità di autodistruggere i messaggi. La piattaforma divenne un hub per la criminalità organizzata, con migliaia di utenti che scambiavano oltre 1.000 messaggi al giorno. Come parte dell'operazione Kraken, furono effettuati 51 arresti, di cui 38 in Australia, con personaggi chiave legati a sindacati criminali presi in custodia.
La lotta continua di Europol contro la criminalità informatica
L'eliminazione di iServer e della piattaforma Ghost sottolinea l'impegno di Europol nello smantellare le reti di criminalità informatica che sfruttano strumenti digitali per sfruttare le vittime. Come dimostrano queste operazioni, il phishing-as-a-service e le piattaforme di comunicazione crittografate sono diventati strumenti integrali per i criminali informatici, rendendo cruciali gli sforzi coordinati delle forze dell'ordine globali per frenarne la diffusione.
Con i criminali informatici che evolvono costantemente le loro tattiche, incluso il ricorso a piattaforme meno note, è essenziale che le forze dell'ordine e le aziende private restino all'avanguardia. La cooperazione tra le nazioni, unita ai progressi tecnologici nelle forze dell'ordine, continuerà a svolgere un ruolo chiave nella lotta in corso contro la criminalità informatica.
Per gli individui, la migliore linea di difesa resta la vigilanza. Essere cauti con i messaggi indesiderati, verificare i link prima di cliccare e utilizzare l'autenticazione a due fattori può aiutare a proteggere i dati personali e i dispositivi mobili dal cadere nelle mani sbagliate.
