Behörden berichten von der Abschaltung von iServer. Dessen Angebot umfasste Phishing von Anmeldeinformationen zum Entsperren von Handys.
Eine Koalition aus Strafverfolgungsbehörden informierte über die Schließung eines Dienstes, der die Entsperrung von über 1,2 Millionen gestohlener oder verlorener Mobiltelefonen ermöglichte. Somit konnte die Handys auch jemand Unbefugtes nutzen, außer den rechtmäßigen Eigentümern. Das Angebot war Teil von iServer, einer Phishing-as-a-Service-Plattform, die seit 2018 in Betrieb war.
Entsperren gestohlener Handys als Phishing-as-a-Service-Angebot
Europol berichtete in einer Pressemitteilung von der Abschaltung eines kriminellen Phishing-Netzwerks als erste gemeinsame Operation zwischen Europol und dem Spezialzentrum für Cyberkriminalität von Ameripol. Die als iServer bekannte Phishing-as-a-Service-Plattform hatte mehr als 2.000 Benutzer, sogenannte Unlocker. Diese boten anderen Kriminellen, die im Besitz gestohlener Handys waren, Dienste zu deren Entsperren an. Diesbezügliche Ermittlungen ergaben, dass das kriminelle Netzwerk bereits über 1,2 Millionen Mobiltelefone entsperrt hatte.
Gemäß Europol zählten über 483.000 Menschen weltweit zu den Opfern der Phishing-Betrüger. Als die rechtmäßigen Eigentümer versucht hatten, wieder Zugriff auf ihre Handys zu erhalten, fielen sie dabei auf Phishing herein. Bei den Opfern handelt es sich hauptsächlich um spanischsprachige Staatsangehörige aus europäischen, nordamerikanischen und südamerikanischen Ländern.
Das in Argentinien ansässige Unternehmen iServer verkaufte Zugang zu ihrer Plattform, die eine Vielzahl von Phishing-bezogenen Diensten per E-Mail, SMS und Sprachanruf anbot. Einer der bereitgestellten Spezialdienste sollte Personen, die im Besitz einer großen Anzahl gestohlener oder verlorener Mobilgeräte waren, dabei helfen, die erforderlichen Anmeldeinformationen zu erhalten. Sie umgingen mit dem Angebot Schutzmaßnahmen wie den „Verloren-Modus“ für iPhones. Dieser verhindert, dass ein verlorenes oder gestohlenes Handy ohne Eingabe seines Passcodes verwendet werden kann.
Operation Kaerb führte zu 17 Festnahmen, 28 Durchsuchungen und der Beschlagnahmung von 921 Gegenständen
In Spanien, Argentinien, Chile, Kolumbien, Ecuador und Peru nahmen die Strafverfolgungsbehörden im Rahmen der Operation Kaerb letzte Woche 17 Personen fest. Sie beschlagnahmten im Zuge von 28 Hausdurchsuchungen 921 Gegenstände. Darunter Handys, elektronische Geräte, Fahrzeuge und Waffen. Der Administrator der Phishing-Plattform, ein argentinischer Staatsbürger, befindet sich laut Europol in Haft.
Spezialisten von Group-IB deckten Struktur und Rollen von Phishing-Dienst iServer auf
Erste Ermittlungen zum Fall nahmen die Behörden 2022 auf, nachdem Europol Informationen von einem privaten Cybersicherheitsunternehmen (Group-IB) erhalten hatte. Weiterführende Untersuchungen führten zur Identifizierung der meisten Opfer und ermöglichten ein Vorgehen gegen das kriminelle Netzwerk. Laut Group-IB nutzten spanischsprachige Kriminelle in Nord- und Südamerika hauptsächlich iServer. Später erstreckte sich dessen Reichweite aber auch auf Europa und andere Gebiete.
Group-IB schätzt ein, dass die Angebote der Unlocker hauptsächlich weniger qualifizierte Cyberkriminelle ansprachen. Ihnen stellte iServer eine Weboberfläche zur Verfügung, über die auch sie den rechtmäßigen Gerätebesitzern Gerätepasswörter, Benutzeranmeldeinformationen von Cloud-basierten mobilen Plattformen und andere persönliche Informationen entlocken konnten. Group-IB informierte:
„Die Phishing-Angriffe sind speziell darauf ausgelegt, Daten zu sammeln, die Zugriff auf physische Mobilgeräte gewähren. So können Kriminelle an die Anmeldeinformationen und lokalen Gerätekennwörter der Benutzer gelangen, um die Geräte zu entsperren oder ihre Besitzer zu trennen. iServer automatisiert die Erstellung und Bereitstellung von Phishing-Seiten, die beliebte Cloud-basierte mobile Plattformen imitieren, und verfügt über mehrere einzigartige Implementierungen, die seine Wirksamkeit als Cybercrime-Tool erhöhen.
Unlocker erhalten die notwendigen Informationen zum Entsperren der Mobiltelefone, wie IMEI, Sprache, Besitzerdetails und Kontaktinformationen, auf die häufig über den verlorenen Modus oder über Cloud-basierte mobile Plattformen zugegriffen wird. Sie verwenden von iServer bereitgestellte Phishing-Domänen oder erstellen eigene, um einen Phishing-Angriff einzurichten. Nach Auswahl eines Angriffsszenarios erstellt iServer eine Phishing-Seite und sendet eine SMS mit einem bösartigen Link an das Opfer.“
Dmitri Volkow, CEO von Group-IB, zeigte sich mit dem Ergebnis zufrieden:
„Es ist uns eine Ehre, Millionen von Cyberangriffen auf mobile Benutzer zu stoppen. Die Festnahme der Syndikatsmitglieder, einschließlich des Drahtziehers, hat einen erheblichen Betrug verhindert und das Privatleben von Menschen in verschiedenen Regionen geschützt. Dies ist ein weiteres großartiges Beispiel für grenzüberschreitende Zusammenarbeit, und wir werden weiterhin die Bemühungen der lokalen und internationalen Strafverfolgungsbehörden unterstützen, Cyberkriminalität weltweit zu bekämpfen.“