Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Odak: Birleşik Krallık
Otomatik Hizmet, Abonelerin Kurbanları Tek Seferlik Kodları Paylaşmaya Kandırmasına Yardımcı Oldu
Mathew J. Schwartz (euroinfosec) •
3 Eylül 2024
Üç vatandaş, HSBC, Lloyds ve yalnızca çevrimiçi hizmet veren İngiliz bankası Monzo gibi bankaların çok faktörlü kimlik doğrulama savunmalarını aşma yeteneğini duyuran bir çevrimiçi suç teşkilatı işletmekten İngiliz mahkemesinde suçlu bulundu.
Ayrıca bakınız: APJ’de Siber Güvenliğin Geleceği
İngiltere Ulusal Suç Ajansı Cuma günü, yetkililerin siteyi kapatıp Mart 2021’de üç yöneticisini tutuklamasına kadar OTPAgency’nin Eylül 2019’dan dolandırıcıların sosyal mühendislik hedeflerine, tek seferlik şifreler ve kişisel olarak tanımlanabilir bilgiler elde etmelerine ve kurbanların banka hesaplarını boşaltmalarına yardımcı olmak için tasarlanmış abonelik tabanlı bir hizmet sunduğunu söyledi. Yetkililer, hizmetin 18 aylık çalışması sırasında 12.500’den fazla kişinin bilgilerini hedef aldığını tahmin ediyor.
Londra’daki Snaresbrook Crown Court’ta görülen Callum Picari, 22, Vijayasidhurshan Vijayanathan, 21 ve Aza Siddeeque, 19, her biri suçlu olduklarını kabul etti. Üçü de başlangıçta hizmet hakkında herhangi bir bilgiye sahip olduklarını reddettikten sonra sonunda suçunu kabul etti ve NCA’nın söylediğine göre, siteyi tanıtmak ve suçlu kullanıcılarına teknik destek sağlamakla suçlanan Siddeeque bunu ancak geçen hafta yaptı. Üç adam, dolandırıcılıkta kullanılmak üzere makaleler yapma ve tedarik etme komplosuyla suçlandı.
Siteyi geliştiren, yöneten ve esas olarak bundan kar sağlayan, ayrıca 2.200 üyesi bulunan özel bir Telegram kanalı aracılığıyla düzenli olarak reklamını yapan Picari’ye ayrıca kara para aklama suçlaması da yöneltildi.
“OTP çalma ihtiyaçlarınız için ilk ve son profesyonel hizmet. Hizmetimizi satın aldıktan birkaç dakika sonra kar elde edeceğinizi garanti ediyoruz,” diyor Picari’nin Telegram mesajlarından biri. “Hiç herhangi bir web sitesi için tek seferlik bir şifre almak istediniz mi? Artık yapabilirsiniz! OTPAgency ile vbv, 30’dan fazla site ve ayrıca Apple Pay için bir OTP alabilirsiniz.. haftada sadece 30 £, gerçekten kaçırmak istemezsiniz.”
Hizmete, suçluların çevrimiçi işlemleri tamamlayabilmesi için birden fazla bankanın dolandırıcılık kontrollerini atlatmak üzere tasarlanmış, haftada 30 İngiliz sterlini veya 40 dolar tutarında “temel” bir paket aracılığıyla erişilebilir. Daha sofistike bir “elit” paketin haftada 380 İngiliz sterlini veya 500 dolar tutarında “ve Visa ve Mastercard doğrulama sitelerine erişim hakkı” sağladığını, NCA’nın, Verified by Visa ve MasterCard SecureCode gibi dolandırıcılık karşıtı kontrollere atıfta bulunarak, ek bir kimlik doğrulama katmanı olarak hesap için daha önce kaydettikleri benzersiz bir kodu girmelerini isteyebileceğini söyledi.
NCA, “Bu planlar suçluların kişisel banka hesaplarına erişip para çalmalarına olanak sağlıyordu” dedi.
Polis, Picari’nin Şubat 2021’de siber güvenlik blog yazarı Brian Krebs tarafından ifşa edilmesinin ardından Telegram grubunun fişini çektiğini söyledi.
Krebs, hizmetin nasıl çalıştığını anlatırken, abonelerin OTPAgency portalında oturum açmasını ve bir hedefin telefon numarasını girmesini sağladığını bildirdi. Hizmet otomatik olarak kurbanı aradı, “hesabında yetkisiz bir etkinlik” olduğunu iddia etti ve almak üzere oldukları tek seferlik bir kodu girmeleri talimatını verdi. Gerçekte, tek seferlik kod, suçluların hedefin hesabına yasadışı bir şekilde oturum açmaya çalışmasıyla tetikleniyordu. Kurban tek seferlik kodunu paylaşırsa, abonenin hesabına oturum açmak için kullanması için hemen OTPAgency portalına yönlendirilirdi.
NCA, Krebs’in ifşasının şu diyaloga yol açtığını söyledi:
–Picari: “Kardeşim başımız büyük belada”… “Beni kovduracaksın”… “Kardeşim sohbeti sil”
–Vijayanathan: “Emin misin?”
–Picari: “Orada çok fazla kanıt var”
–Vijayanathan: “%100 emin misin?”
–Picari: “Çok suçlayıcı”…”Bir göz atın ve ‘dolandırıcılık’ı arayın”…”Sadece tüm kanıtları düşünün”…”OTP sohbetinde”…”bulmak için cba’ya başvurduğumuz”…”bulacaklar”
–Vijayanathan: “Eğer HER ŞEYİ kapatırsak tam olarak öyle olur”
–Picari: “İlk mesajımıza gittiler” … “Suçlayıcı görünüyoruz”…”eğer kapatırsak”…”Sohbeti sil derim”…”Sohbetimiz %100 Sahtekarlık”
–Vijayanathan: “Beyni olan herkes sana burada durmanı ve devam etmeni söyleyecektir”
–Picari: “Kapattığımız için yapmadığımız anlamına gelmiyor”…”Ama sohbetimizi silmek”…”Onların soruşturmalarını s*kmek”…”Sitede hileli hiçbir şey yok”
Üç adamın 2 Kasım’da Snaresbrook Crown Court’ta cezalandırılması bekleniyor.
NCA Ulusal Siber Suç Birimi operasyon müdürü Anna Smith, “Picari, Vijayanathan ve Siddeeque dolandırıcıların banka hesaplarına erişip halkın şüphelenmeyen üyelerinden para çalmasının önünü açtı” dedi.
“Bunların mahkumiyetleri, benzer hizmetler sunan herkes için bir uyarı niteliğindedir; NCA, insanların geçim kaynaklarını tehdit eden web sitelerini bozma ve ortadan kaldırma yetkisine sahiptir” dedi.