As autoridades policiais anunciaram a derrubada de uma rede criminosa internacional que usava a plataforma de phishing para desbloquear celulares roubados ou perdidos.
Estima-se que a plataforma de phishing como serviço (PhaaS), chamada iServer, tenha feito mais de 483.000 vítimas em todo o mundo, liderada por Chile (77.000), Colômbia (70.000), Equador (42.000), Peru (41.500), Espanha . (30.000) e Argentina (29.000).
“As vítimas são principalmente cidadãos de língua espanhola de países europeus, norte-americanos e sul-americanos”, afirmou a Europol num comunicado de imprensa.
A ação, denominada Operação Kaerb, envolve a participação de órgãos policiais e judiciais da Espanha, Argentina, Chile, Colômbia, Equador e Peru.
Na sequência do trabalho conjunto ocorrido entre 10 e 17 de setembro, a nação argentina responsável pelo desenvolvimento e utilização do serviço PhaaS está presa desde 2018.
No total, a operação resultou em 17 prisões, 28 buscas e a apreensão de 921 itens, entre celulares, eletrônicos, veículos e armas. Estima-se que 1,2 milhão de telefones celulares tenham sido desbloqueados até agora.
“Embora o iServer fosse essencialmente uma plataforma automatizada de phishing, seu foco na coleta para desbloquear telefones roubados o diferencia das ofertas padrão de phishing”, disse o Group-IB.
O iServer, de acordo com a empresa sediada em Cingapura, forneceu uma interface web que permite que hackers pouco qualificados, conhecidos como “desbloqueadores”, usem senhas de dispositivos e credenciais de usuário em plataformas móveis baseadas em nuvem, permitindo-lhes ignorar o Modo Perdido e desbloquear dispositivos.
O diretor da organização criminosa anunciou o acesso a esses desenvolvedores, que por sua vez usam o iServer não apenas para abrir desbloqueios de phishing, mas também para vender suas ofertas a terceiros, como ladrões de telefones.
Os desbloqueadores também são responsáveis por enviar mensagens falsas às vítimas de roubo de telefone com o objetivo de coletar dados que permitam o acesso a esses dispositivos. Isso é feito através do envio de textos SMS que incentivam os destinatários a encontrar o telefone perdido clicando em um link.
Isso desencadeia uma cadeia de redirecionamentos que eventualmente leva a vítima a uma página de destino que solicita que ela insira suas credenciais, senha do dispositivo e códigos de autenticação de dois fatores (2FA), que são então explorados para obter acesso não autorizado ao dispositivo, desligando Modo Perdido. e remova o dispositivo da conta do proprietário.
“O iServer automatiza a criação e entrega de páginas de phishing que imitam plataformas móveis populares baseadas em nuvem, apresentando vários recursos exclusivos que aumentam sua eficácia como ferramenta de crime cibernético”, disse o Group-IB.
Plataforma Ghost cai em ação global
O desenvolvimento ocorre no momento em que a Europol e a Polícia Federal Australiana (AFP) revelam o desmantelamento de uma rede de comunicações criptografadas chamada Ghost (“www.ghostchat[.]net”) que facilitou o crime grave e organizado em todo o mundo.
A plataforma, que veio instalada em um smartphone Android personalizado por cerca de US$ 1.590 com assinatura de seis meses, foi usada para muitas atividades ilegais, como contrabando, lavagem de dinheiro e até atos de extrema violência. É uma adição recente à lista de serviços semelhantes como Phantom Secure, EncroChat, Sky ECC e Exclu que foram encerrados por motivos semelhantes.
“A solução utilizava três padrões de criptografia e oferecia a opção de enviar uma mensagem seguida de um código específico que causaria a autodestruição de todas as mensagens no telefone alvo”, disse a Europol. “Isto permitiu que as redes criminosas comunicassem de forma segura, evitassem a deteção, resistissem às medidas de investigação e coordenassem as suas atividades ilegais através das fronteiras”.
Acredita-se que vários milhares de pessoas tenham utilizado a plataforma, com cerca de 1.000 mensagens trocadas através do serviço todos os dias antes da sua interrupção.
Durante a investigação iniciada em março de 2022, 51 suspeitos foram presos: 38 na Austrália, 11 na Irlanda, um no Canadá e um na Itália pertencentes ao grupo mafioso italiano Sacra Corona Unita.
No topo da lista está um homem de 32 anos de Sydney, Nova Gales do Sul, acusado de criar e gerenciar o Ghost como parte da Operação Kraken, junto com vários outros acusados de usar a plataforma para contrabandear cocaína e maconha. , distribuir drogas e cometer uma falsa conspiração terrorista.
Acredita-se que o diretor, Jay Je Yoon Jung, tenha criado uma empresa criminosa há nove anos, ganhando milhões de dólares em lucros ilegais. Ele foi pego em sua casa em Narwee. Esta operação levou também à remoção de um laboratório de drogas na Austrália, bem como à apreensão de armas, drogas e um milhão de euros.
A AFP disse que acessou a infraestrutura da plataforma para atacar o software, modificando o processo de atualização do software para acessar o conteúdo armazenado em 376 aparelhos ativos localizados na Austrália.
“O panorama das comunicações encriptadas está cada vez mais fragmentado devido às recentes ações policiais contra plataformas utilizadas por redes criminosas”, observou a Europol.
“Em resposta, os actores criminosos estão agora a recorrer a ferramentas de comunicação não desenvolvidas ou personalizadas que proporcionam diferentes níveis de segurança e anonimato. Ao fazê-lo, procuram novas soluções tecnológicas e utilizam aplicações de comunicação populares para diferenciar os seus vários métodos”.
O centro jurídico, sem enfatizar a necessidade de acesso às comunicações entre suspeitos para combater crimes graves, apelou às empresas privadas para que garantam que as suas plataformas não se tornem refúgios seguros para maus actores e forneçam formas de acesso legal aos dados “sob a orientação da lei e com pleno respeito pelos direitos fundamentais.”
Alemanha proíbe 47 exchanges de criptomoedas
Estas ações também coincidem com a apreensão, pela Alemanha, de 47 serviços de troca de criptomoedas hospedados no país que permitiram atividades ilegais de lavagem de dinheiro para criminosos cibernéticos, incluindo grupos de ransomware, comerciantes de darknet e operadores de botnet. O projeto tem o codinome Final Exchange.
Os serviços são acusados de não implementarem sistemas Know Your Customer (KYC) ou de combate ao branqueamento de capitais e de ocultarem deliberadamente a fonte dos rendimentos do crime, permitindo assim o florescimento do crime cibernético. Nenhuma prisão foi tornada pública.
“Os Serviços de Câmbio permitiram transações sem passar pelo processo de registro e sem verificação de prova de identidade”, disse a Polícia Criminal Federal (também conhecida como Bundeskriminalamt). “O objetivo é trocar de forma rápida, fácil e anônima uma criptomoeda por outra criptomoeda ou moeda digital, a fim de ocultar sua origem.”
DoJ dos EUA cobra dois em esquema de criptomoeda de US$ 230 milhões
Encerrando os esforços de fiscalização para combater o crime cibernético, o Departamento de Justiça dos EUA (DoJ) disse que dois suspeitos foram presos e acusados de conspirar para roubar e lavar mais de US$ 230 milhões de uma vítima não identificada em Washington DC.
Malone Lam, 20, e Jeandiel Serrano, 21, e outros cúmplices são acusados de terem cometido roubo de criptomoedas pelo menos desde agosto de 2024, obtendo acesso às contas das vítimas, que foram então encaminhadas através de várias bolsas e serviços de mistura.
Os ganhos ilícitos foram então usados para financiar um estilo de vida luxuoso, como viagens ao exterior, boates, carros de luxo, relógios, joias, bolsas de grife e propriedades para alugar em Los Angeles e Miami.
“Eles lavaram os rendimentos, inclusive movimentando dinheiro através de vários misturadores e exchanges usando ‘peel chains’, carteiras e redes privadas (VPNs) para esconder suas verdadeiras identidades”, disse o DoJ.
