Europol ve Ameripol, dünya çapında 480.000’den fazla kurbanı etkileyen bir kimlik avı hizmeti ağını çökertmek için benzeri görülmemiş bir hamleyle birlikte çalıştı.
“Kaerb Harekatı” olarak adlandırılan operasyon, kimlik avı saldırıları yoluyla çalıntı cep telefonlarının kilidini açma konusunda uzmanlaşmış bir suç grubunu hedef aldı. Araştırmacılar, suçluların çoğunlukla İspanya ve Latin Amerika’da faaliyet gösterdiği 1,2 milyondan fazla cihazın kilidinin açıldığını doğruladı.
10-17 Eylül tarihleri arasında İspanya, Arjantin, Şili, Kolombiya, Ekvador ve Peru’daki kolluk kuvvetleri bir dizi baskın düzenleyerek 17 kişiyi tutukladı ve cep telefonları, araçlar ve hatta silahlar da dahil olmak üzere 921 eşyaya el koydu.
Bu operasyonun merkezindeki adam, Arjantin uyruklu bir adamdı ve 2018’den beri aktif olan bir kimlik avı platformu işletiyordu. Çalıntı cep telefonlarına sahip olanlara telefon kilidi açma hizmetleri sağlayan suçlular olan “kilid açıcılara” platforma erişim satışı yaparak bir iş kurdu.
Kimlik Avı Hizmeti Modeli
Bu sıradan bir kimlik avı planı değildi. Platform, düşük becerili siber suçlulara kolay erişim sağlayan bir kimlik avı hizmeti (PhaaS) modeli olarak çalışıyordu. “Kilit Açıcılar” kimlik avı SMS ve e-posta şablonları gibi erişim ve ek özellikler için ödeme yapıyordu.
Kimlik avı saldırıları genellikle kurbanları meşru bir hizmet gibi davranarak hassas bilgileri vermeleri için kandırmayı içerir. Bu durumda saldırganlar cihazlarında “Kayıp Modu”nu etkinleştirmiş olan cep telefonu sahiplerini hedef aldı. Çoğunlukla Avrupa ve Latin Amerika ülkelerinden olan kurbanlar, telefonlarına yeniden erişim sağlamak için kimlik bilgilerini vermeleri yönünde onları teşvik eden kimlik avı mesajları aldı.
Saldırı, kurbanların duygusal zaaflarını istismar ederek suçluların hassas verileri çalmasını kolaylaştırdı. Kimlik bilgileri ele geçirildiğinde, suçlular telefonların kilidini açacak ve esasen meşru sahibiyle olan tüm bağlantıları silecekti.
Europol ve Ameripol’ün Rolü
Bu operasyonun uluslararası başarısı, Europol’ün Avrupa Siber Suç Merkezi (EC3) ile Ameripol’ün Uzmanlaşmış Siber Suç Merkezi arasındaki işbirliğine atfedilebilir. Bu, iki kurum arasındaki ilk ortak operasyondur ve sınır ötesi siber güvenlik girişimlerine olan artan ihtiyacı vurgulamaktadır.
Europol, siber güvenlik firması Group-IB’den istihbarat aldıktan sonra 2022’den beri kimlik avı ağını araştırıyordu. Kuruluş, etkilenen ülkelerle yakın bir şekilde çalışarak onlara hayati bilgiler sağladı ve operasyonu baştan sona koordine etti.
Baskın haftasında Europol, hem Arjantin’e hem de İspanya’ya uzmanlar konuşlandırarak yerel yetkililerin ağı çökertmek için gerekli desteğe sahip olmasını sağladı. Ameripol ile koordinasyon halinde, kolluk kuvvetleri altyapıyı söktü, kimlik avı saldırılarına ev sahipliği yapmak için kullanılan iServer etki alanına el koydu ve ağın kilit oyuncularını yakaladı.
Kimlik Avı Ağı Nasıl Çalışır?
iServer adlı kimlik avı platformu beş yıldan uzun süredir faaliyetteydi, öncelikle İspanyolca konuşulan ülkelere hizmet veriyordu ancak Avrupa’ya da genişliyordu. iServer’ı farklı kılan şey otomasyonuydu. Suçluların platformu işletmek için gelişmiş bilgisayar korsanlığı becerilerine ihtiyacı yoktu. Web tabanlı arayüz, kullanıcıların kimlik avı sayfaları oluşturmasını ve SMS yoluyla kötü amaçlı bağlantılar göndermesini kolaylaştırıyordu.
Mağdur bağlantıya tıkladıktan sonra, bir “yönlendirici” belirli kriterleri karşılamayan kullanıcıları filtreledi. Geçenler, meşru bir mobil servis sitesi gibi görünen son bir kimlik avı sayfasına gönderildi. Platform, suçluların daha sonra çalınan telefonların kilidini açmak için kullandığı oturum açma kimlik bilgilerini topladı.
Kilit açıcılar, Kayıp Modu gibi güvenlik özelliklerini atlatmak için IMEI numaraları, sahip bilgileri ve hatta OTP (tek seferlik şifreler) gibi ayrıntıları toplayabiliyordu. Telefonlar kilitleri açıldıktan sonra, orijinal sahibine dair hiçbir iz olmadan yeniden satılabiliyordu ve bu da kurbanların cihazlarını kurtarmasını imkansız hale getiriyordu.
Suç Yazılımı Hizmet Olarak: Yeni Tehdit Modeli
iServer platformu, “suç yazılımı-hizmet-olarak” olarak bilinen daha büyük bir eğilimin parçasıdır. Bu platformlar, siber suçluların dijital suçlar işlemek için ihtiyaç duydukları tüm araçları sağlayarak giriş engellerini düşürür. iServer gibi PhaaS platformları, teknik becerisi az olan suçluların karmaşık kimlik avı saldırıları gerçekleştirmesini kolaylaştırır.
Bu, siber suçun artışta olduğu Latin Amerika gibi bölgelerde özellikle endişe vericidir. Bu platformlara erişim satarak, bireyler kimlik avı veya bilgisayar korsanlığının teknik tarafını anlamak zorunda kalmadan kar elde edebilirler. Bu platformlar yüksek etkili siber suçlara erişimi demokratikleştirdikçe, siber güvenlik uzmanları için giderek artan bir endişe kaynağıdır.
Operasyon Kaerb, kimlik avı hizmeti modellerini kullanan siber suçlulara önemli bir darbe vurdu. Ancak siber güvenlik manzarası gelişmeye devam ettikçe yeni tehditler ortaya çıkacak. iServer platformunun kaldırılması bir zaferi temsil ediyor, ancak çok daha büyük bir mücadelede sadece bir adım. Küresel siber suç ekosistemi büyümeye devam ediyor ve bununla birlikte hem kamu hem de özel sektörlerden sürekli uyanıklık ihtiyacı da artıyor.