Витягнути смартфон з кишені чи сумки – це злочин, який не принесе грошей, якщо смартфон залишиться заблокованим. Програмно хакнути сучасний смартфон можна, але це потребує суттєвих навичок програмування, яких звичайні вуличні злодії не мають. Як таким малограмотним крадіям вдається розблокувати смартфони? Виявилося, вони просто купували послугу розблокування.
Коаліція правоохоронних органів заявила, що закрила службу, яка сприяла розблокуванню понад 1,2 мільйона вкрадених або втрачених мобільних телефонів, щоб ними міг користуватися хтось інший, а не їхній законний власник.
Послуга була частиною iServer, платформи фішингу як послуги, яка працює з 2018 року. Аргентинська iServer продавала доступ до платформи, яка пропонувала безліч послуг, пов’язаних із фішингом, через електронну пошту, текстові повідомлення та голосові дзвінки.
Одна із запропонованих спеціалізованих послуг була розроблена, щоб допомогти людям, які володіють великою кількістю викрадених або втрачених мобільних пристроїв, отримати облікові дані, необхідні для обходу захисту, наприклад режиму втрати для iPhone, який запобігає використанню втраченого або вкраденого пристрою без введення його паролю.
Міжнародна операція, координована Європейським центром боротьби з кіберзлочинністю Європолу, заявила, що заарештувала громадянина Аргентини, який стояв за iServer, і ідентифікувала понад 2000 «розблокувальників», які зареєструвалися на фішинговій платформі протягом багатьох років.
Зрештою слідчі встановили, що злочинна мережа використовувалася для розблокування понад 1,2 мільйона мобільних телефонів. Офіційні особи заявили, що вони також ідентифікували 483 000 власників телефонів, які отримали повідомлення з фішингом облікових даних для своїх втрачених або вкрадених пристроїв.
За словами Group-IB, охоронної фірми, яка виявила рекет із розблокуванням телефону та повідомила про це владі, iServer надав веб-інтерфейс, який дозволив некваліфікованим розблокувальникам за допомогою фішингу викрадати у законних власників пристроїв коди доступу до пристроїв, облікові дані користувачів із хмарних мереж та іншу особисту інформацію.
Розблокувальники отримують необхідну інформацію для розблокування мобільних телефонів, таку як IMEI, мову, відомості про власника та контактну інформацію, доступ до якої часто здійснюється в режимі втрати або через хмарні мобільні платформи. Вони використовують фішингові домени, надані iServer, або створюють власні для організації фішингової атаки. Після вибору сценарію атаки iServer створює фішингову сторінку та надсилає жертві SMS зі шкідливим посиланням.
У разі успіху клієнти iServer отримають облікові дані через веб-інтерфейс. Потім клієнти могли розблокувати телефон, щоб вимкнути режим втрати, щоб пристроєм міг користуватися хтось новий.
Зняття та арешти відбувалися з 10 по 17 вересня в Іспанії, Аргентині, Чилі, Колумбії, Еквадорі та Перу. Влада цих країн почала розслідувати фішинговий сервіс у 2022 році.
