Strafverfolgungsbehörden haben die Zerschlagung eines internationalen kriminellen Netzwerks bekannt gegeben, das mithilfe einer Phishing-Plattform gestohlene oder verlorene Mobiltelefone entsperrt hat.
Die Phishing-as-a-Service-Plattform (PhaaS) namens iServer soll weltweit mehr als 483.000 Opfer gefordert haben, angeführt von Chile (77.000), Kolumbien (70.000), Ecuador (42.000), Peru (41.500), Spanien (30.000) und Argentinien (29.000).
„Die Opfer sind hauptsächlich spanischsprachige Staatsangehörige aus europäischen, nordamerikanischen und südamerikanischen Ländern“, sagte Europol in einer Pressemitteilung.
An der Aktion mit dem Namen Operation Kaerb waren Strafverfolgungs- und Justizbehörden aus Spanien, Argentinien, Chile, Kolumbien, Ecuador und Peru beteiligt.
Im Zuge der gemeinsamen Übung, die zwischen dem 10. und 17. September stattfand, wurde ein argentinischer Staatsbürger verhaftet, der für die Entwicklung und den Betrieb des PhaaS-Dienstes seit 2018 verantwortlich ist.
Insgesamt führte die Operation zu 17 Festnahmen, 28 Durchsuchungen und der Beschlagnahme von 921 Gegenständen, darunter Mobiltelefone, elektronische Geräte, Fahrzeuge und Waffen. Es wird vermutet, dass bis heute 1,2 Millionen Mobiltelefone entsperrt wurden.
„Obwohl iServer im Wesentlichen eine automatisierte Phishing-Plattform war, unterschied sie sich durch ihren spezifischen Fokus auf das Abgreifen von Zugangsdaten zum Entsperren gestohlener Telefone von typischen Phishing-as-a-Service-Angeboten“, sagte Group-IB.
Laut dem in Singapur ansässigen Unternehmen bot iServer eine Weboberfläche, über die gering qualifizierte Kriminelle, sogenannte „Unlocker“, Gerätepässe und Benutzeranmeldedaten von cloudbasierten mobilen Plattformen abfangen konnten, wodurch sie den Verlustmodus umgehen und die Geräte entsperren konnten.
Der Administrator des kriminellen Syndikats bewarb den Zugang zu diesen Unlockern, die iServer wiederum nutzten, um nicht nur Phishing-Entsperrungen durchzuführen, sondern ihre Angebote auch an andere Dritte, wie z. B. Telefondiebe, zu verkaufen.
Die Unlocker sind auch dafür verantwortlich, gefälschte Nachrichten an Opfer von Telefondiebstählen zu senden, um Daten zu sammeln, die den Zugriff auf diese Geräte ermöglichen. Dies wird durch das Versenden von SMS-Nachrichten erreicht, die die Empfänger auffordern, ihr verlorenes Telefon zu orten, indem sie auf einen Link klicken.
Dies löst eine Umleitungskette aus, die das Opfer schließlich zu einer Zielseite führt, auf der es aufgefordert wird, seine Zugangsdaten, seinen Gerätepasscode und Zwei-Faktor-Authentifizierungscodes (2FA) einzugeben, die dann missbraucht werden, um sich unrechtmäßigen Zugriff auf das Gerät zu verschaffen, den Verlustmodus zu deaktivieren und die Verknüpfung des Geräts mit dem Konto des Eigentümers aufzuheben.
„iServer automatisiert die Erstellung und Zustellung von Phishing-Seiten, die beliebte cloudbasierte mobile Plattformen imitieren, und verfügt über mehrere einzigartige Implementierungen, die die Effektivität als Cyberkriminalitätswerkzeug erhöhen“, sagte Group-IB.
Ghost-Plattform wird durch globale Aktion lahmgelegt
Die Entwicklung erfolgt, als Europol und die australische Bundespolizei (AFP) die Zerschlagung eines verschlüsselten Kommunikationsnetzwerks namens Ghost („www.ghostchat[.]net“) bekannt gaben, das schwere und organisierte Kriminalität auf der ganzen Welt ermöglichte.
Die Plattform, die in einem maßgefertigten Android-Smartphone für etwa 1.590 US-Dollar für ein sechsmonatiges Abonnement enthalten war, wurde für eine Vielzahl illegaler Aktivitäten genutzt, wie z. B. Menschenhandel, Geldwäsche und sogar Gewalttaten. Sie ist nur der jüngste Neuzugang in einer Liste ähnlicher Dienste wie Phantom Secure, EncroChat, Sky ECC und Exclu, die aus ähnlichen Gründen abgeschaltet wurden.
„Die Lösung verwendete drei Verschlüsselungsstandards und bot die Möglichkeit, eine Nachricht mit einem bestimmten Code zu senden, der zur Selbstzerstörung aller Nachrichten auf dem Zieltelefon führte“, sagte Europol. „Dies ermöglichte es kriminellen Netzwerken, sicher zu kommunizieren, sich der Entdeckung zu entziehen, forensischen Maßnahmen entgegenzuwirken und ihre illegalen Operationen grenzüberschreitend zu koordinieren.“
Es wird vermutet, dass mehrere tausend Menschen die Plattform genutzt haben, wobei vor ihrer Abschaltung täglich rund 1.000 Nachrichten über den Dienst ausgetauscht wurden.
Im Laufe der im März 2022 begonnenen Ermittlungen wurden 51 Verdächtige festgenommen: 38 in Australien, 11 in Irland, einer in Kanada und einer in Italien, der zur italienischen Mafia-Gruppe Sacra Corona Unita gehört.
An der Spitze der Liste steht ein 32-jähriger Mann aus Sydney, New South Wales, der im Rahmen der Operation Kraken wegen der Erstellung und Verwaltung von Ghost angeklagt wurde, zusammen mit mehreren anderen, die beschuldigt werden, die Plattform für den Handel mit Kokain und Cannabis, die Durchführung von Drogenhandel und die Planung eines falschen Terroranschlags genutzt zu haben.
Es wird vermutet, dass der Administrator, Jay Je Yoon Jung, das kriminelle Unternehmen vor neun Jahren gründete und damit illegale Gewinne in Millionenhöhe erzielte. Er wurde in seinem Haus in Narwee festgenommen. Die Operation führte auch zur Aushebung eines Drogenlabors in Australien sowie zur Beschlagnahme von Waffen, Drogen und 1 Million Euro in bar.
Die AFP gab an, die Infrastruktur der Plattform infiltriert zu haben, um einen Software-Lieferkettenangriff zu starten, indem sie den Software-Aktualisierungsprozess modifizierte, um Zugriff auf die Inhalte von 376 aktiven Mobiltelefonen in Australien zu erhalten.
„Die Landschaft der verschlüsselten Kommunikation ist durch die jüngsten Maßnahmen der Strafverfolgungsbehörden gegen Plattformen, die von kriminellen Netzwerken genutzt werden, zunehmend fragmentiert“, stellte Europol fest.
„Kriminelle Akteure wenden sich als Reaktion darauf nun einer Vielzahl weniger etablierter oder maßgeschneiderter Kommunikationstools zu, die ein unterschiedliches Maß an Sicherheit und Anonymität bieten. Dabei suchen sie nach neuen technischen Lösungen und nutzen auch gängige Kommunikationsanwendungen, um ihre Methoden zu diversifizieren.“
Die Strafverfolgungsbehörde betonte nicht nur die Notwendigkeit des Zugangs zur Kommunikation zwischen Verdächtigen, um schwere Straftaten zu bekämpfen, sondern forderte auch private Unternehmen auf, dafür zu sorgen, dass ihre Plattformen nicht zu sicheren Häfen für Kriminelle werden, und Wege für einen rechtmäßigen Datenzugriff „unter gerichtlicher Aufsicht und unter vollständiger Achtung der Grundrechte“ zu schaffen.
Deutschland schaltet 47 Kryptowährungsbörsen ab
Die Maßnahmen fallen auch mit der Beschlagnahmung von 47 Kryptowährungsbörsen in Deutschland zusammen, die illegale Geldwäscheaktivitäten für Cyberkriminelle, darunter Ransomware-Gruppen, Darknet-Händler und Botnetz-Betreiber, ermöglichten. Die Operation trägt den Codenamen Final Exchange.
Den Diensten wird vorgeworfen, keine Know-Your-Customer (KYC)- oder Anti-Geldwäsche-Programme implementiert und die Herkunft kriminell erlangter Gelder absichtlich versch obscured zu haben, wodurch Cyberkriminalität ermöglicht wurde. Es wurden keine Verhaftungen öffentlich bekannt gegeben.
„Die Exchange-Dienste ermöglichten Tauschgeschäfte, ohne dass ein Registrierungsprozess durchlaufen und ein Identitätsnachweis erbracht werden musste“, teilte das Bundeskriminalamt mit. „Das Angebot richtete sich darauf, Kryptowährungen schnell, einfach und anonym in andere Krypto- oder digitale Währungen umzutauschen, um ihre Herkunft zu verschleiern.“
Das US-Justizministerium klagt zwei Personen wegen Kryptowährungsbetrugs in Höhe von 230 Millionen Dollar an
Zum Abschluss der Strafverfolgungsbemühungen zur Bekämpfung der Cyberkriminalität gab das US-Justizministerium (DoJ) bekannt, dass zwei Verdächtige verhaftet und wegen Verschwörung zum Diebstahl und zur Wäsche von über 230 Millionen Dollar in Kryptowährung von einem ungenannten Opfer in Washington D.C. angeklagt wurden.
Malone Lam (20), Jeandiel Serrano (21) und weitere Mitverschwörer sollen seit mindestens August 2024 Kryptowährungsdiebstähle durchgeführt haben, indem sie sich Zugang zu den Konten von Opfern verschafften, die dann über verschiedene Börsen und Mixing-Dienste gewaschen wurden.
Die unrechtmäßig erlangten Erlöse wurden dann zur Finanzierung eines extravaganten Lebensstils verwendet, wie z. B. für Auslandsreisen, Nachtclubs, Luxusautos, Uhren, Schmuck, Designerhandtaschen und Miethäuser in Los Angeles und Miami.
„Sie haben die Erlöse gewaschen, unter anderem indem sie die Gelder über verschiedene Mixer und Börsen unter Verwendung von ‚Peel Chains‘, Durchgangsgeldbörsen und virtuellen privaten Netzwerken (VPNs) transferierten, um ihre wahre Identität zu verschleiern“, so das DoJ.