Muhtemelen hiç duymadınız”16Dükkan,” ama onu kullanan birisinin sizi dolandırmaya çalışmış olma ihtimali yüksektir.
Apple’ı taklit eden ve Japon kullanıcıları hedefleyen bir 16Shop kimlik avı sayfası. Resim: Akamai.com.
Uluslararası polis teşkilatı İNTERPOL geçen hafta, 2017’de başlatılan ve acemilerin bile karmaşık ve inandırıcı kimlik avı dolandırıcılıkları yürütmesini kolaylaştıran, popüler bir hizmet olarak kimlik avı platformu olan kötü şöhretli 16Shop’u kapattığını söyledi. INTERPOL, Endonezya’daki yetkililerin 21 yaşındaki ev sahibini ve kolaylaştırıcı olduğu iddia edilen birini tutukladığını ve üçüncü bir şüphelinin Japonya’da tutuklandığını söyledi.
INTERPOL bildirisi, platformun 43 ülkede 70.000’den fazla kullanıcıyı tehlikeye atmak için bilgisayar korsanlığı araçları sattığını söylüyor. 16Shop’un ne kadar uzun süredir var olduğu ve yıllar boyunca ne kadar ödeme yapan müşterisi olduğu göz önüne alındığında, bu sayı neredeyse kesinlikle oldukça muhafazakar.
Ayrıca, “hackleme araçlarının” satışı, 16Shop’un neyle ilgili olduğunu tam olarak yansıtmıyor: Binlerce müşterisine kullanmaları için bir dizi markaya özel kimlik avı kiti veren ve gerekli alan adlarını sağlayan tam otomatik bir kimlik avı platformuydu. kimlik avı sayfalarını barındırmak ve çalınan kimlik bilgilerini almak için.
16Shop’u araştıran güvenlik uzmanları, hizmetin kullanıcılarını yönetmek için bir uygulama programlama arabirimi (API) kullandığını tespit etti; bu yenilik, sahiplerinin aylık ücret ödemeyen veya kimlik avını kopyalamaya veya korsanlık yapmaya çalışanlara erişimi kapatmasına olanak tanıyan bir yenilikti. takım.
16Shop ayrıca kimlik avı sayfalarını birden fazla dilde yerelleştirdi ve hizmet, kurbanın coğrafi konumuna bağlı olarak ilgili kimlik avı içeriğini gösterecekti.
Apple kullanıcıları için farklı dillerde çeşitli 16Shop cazibeleri. Resim: Akamai.
Örneğin, 2019’da McAfee Japonya’daki hedefler için 16Shop kitinin ayrıca Web Kimliği ve Kart Parolası topladığını, ABD’li kurbanlara ise Sosyal Güvenlik Numaralarının sorulacağını buldu.
McAfee, “Konuma bağlı olarak, 16Shop kimlik numaralarını (Sivil Kimlik, Ulusal Kimlik ve Vatandaş Kimliği dahil), pasaport numaralarını, sosyal sigorta numaralarını, sıralama kodlarını ve kredi limitlerini de toplayacaktır” diye yazdı.
Buna ek olarak, 16Shop, kullanıcılarının kimlik avı sayfalarının güvenlik şirketlerinin radarından uzak durmasına yardımcı olmak için, güvenlik şirketlerine bağlı İnternet adreslerinin yerel bir “kara listesi” ve kullanıcıların tüm İnternet adres aralıklarının erişimini engellemesine izin veren bir özellik dahil olmak üzere çeşitli hileler kullandı. kimlik avı sayfaları.
INTERPOL duyurusunda, 16Shop soruşturmasıyla bağlantılı olarak tutuklanan şüphelilerin hiçbirinin adı geçmiyor. Ancak aralarında Akamai, McAfee ve ZeroFox’un da bulunduğu bazı güvenlik firmaları daha önce hizmeti Endonezyalı genç bir adama bağlamıştı. Riswanda Noor Saputra16Shop’u hacker kimliğiyle satan “Şeytan Çığlığı”
Endonezya güvenlik bloguna göre Cyberthreat.idSaputra, 16Shop’un yöneticisi olduğunu itiraf etti, ancak yayına projeyi 2020’nin başlarında başkalarına devrettiğini söyledi.
16 Operatörlere kitin nasıl dağıtılacağı konusunda talimat veren mağaza belgeleri. Resim: ZeroFox.
Yine de Cyberthreat, Devilscream’in INTERPOL ile ABD arasındaki işbirliğinin bir parçası olarak 2021’in sonlarında Endonezya polisi tarafından tutuklandığını bildirdi. ABD Federal Soruşturma Bürosu (FBI). Yine de, 16Shop’u başlangıcından beri takip eden araştırmacılar, Devilscream’in kimlik avı platformunun asıl sahibi olmadığını ve sonuncusu da olmayabileceğini söylüyor.
RİSKLİ İŞ
Siber suçluların yanlışlıkla kendi makinelerine parola çalan kötü amaçlı yazılım bulaştırması alışılmadık bir durum değildir ve görünüşe göre 16Shop’un en yeni yöneticilerinden birinin başına gelen de tam olarak buydu.
Bir veri ihlali ve tehdit aktörü araştırma platformu olan Constella Intelligence, artık kullanıcıların popüler siber suç web sitelerine ve bu forumların sakinlerine bilgi çalan truva atları tarafından kasıtsız kötü amaçlı yazılım bulaşmaları ile çapraz referans vermesine olanak tanıyor. 16Shop’un alan adında Constella’da yapılan bir arama, 2022’nin ortalarında, kimlik avı hizmetinin önemli bir yöneticisinin Microsoft Windows masaüstü bilgisayarlarına Redline bilgi hırsızı truva atı bulaştırdığını gösteriyor – görünüşe göre Adobe Photoshop’un kırık (ve gizlice arka kapılı) bir kopyasını indirerek.
Redline enfeksiyonları, kurban makineden son indirmelerin bir listesi, saklanan şifreler ve kimlik doğrulama tanımlama bilgilerinin yanı sıra tarayıcı yer imleri ve otomatik doldurma verileri dahil olmak üzere veri yığınlarını çalar. Bu kayıtlar, 16Shop yöneticisinin “” takma adlarını kullandığını gösteriyor.rudi” Ve “Rizki / Rizki”ve bu takma adlar altında birkaç Facebook profili sürdürdü.
Görünüşe göre bu kullanıcının tam adı (veya en azından bir kısmı) Rizky Mevluna Sidikve Endonezya, Batı Java’daki Bandung’dan. Bu kullanıcının Facebook sayfalarından biri, Rizky’nin CEO’su ve adlı bir varlığın kurucusu olduğunu söylüyor. BandungXploiterFacebook sayfası, esas olarak web sitelerini hacklemeye ve tahrif etmeye odaklanmış bir grup olduğunu gösteriyor.
Rizky’nin bir LinkedIn profili, Bandung’da 2020’de bilgi teknolojisi alanında lisans derecesi almış bir arka uç Web geliştiricisi olduğunu söylüyor. Bay Rizky, yorum taleplerine yanıt vermedi.
