Siber suç hizmetine yönelik uluslararası baskı kapsamında 37 kadar kişi tutuklandı. Laboratuvar Ana Bilgisayarı Bu, suç aktörleri tarafından dünyanın dört bir yanındaki kurbanların kişisel kimlik bilgilerini çalmak için kullanıldı.
En büyük Hizmet Olarak Kimlik Avı (PhaaS) sağlayıcılarından biri olarak tanımlanan LabHost, öncelikle Kanada, ABD ve Birleşik Krallık’ta bulunan bankaları, yüksek profilli kuruluşları ve diğer hizmet sağlayıcıları hedef alan kimlik avı sayfaları sundu
Nebulae kod adlı operasyonun bir parçası olarak, Melbourne ve Adelaide’den iki LabHost kullanıcısı 17 Nisan’da tutuklandı; diğer üç kişi de uyuşturucuyla ilgili suçlarla suçlanarak tutuklandı.
“Avustralyalı suçluların, LabHost olarak bilinen platformu kullanan, kurbanları çevrimiçi bankacılık oturum açma bilgileri, kredi kartı bilgileri ve şifreleri gibi kişisel bilgilerini, metinler ve e-postalar yoluyla gönderilen kalıcı kimlik avı saldırıları yoluyla kandırmak için kullanan dünya çapında 10.000 siber suçlu arasında olduğu iddia ediliyor. “Avustralya Federal Polisi (AFP) yaptığı açıklamada şunları söyledi.
Europol liderliğindeki koordineli çabalar ayrıca 14 ve 17 Nisan tarihleri arasında 32 kişinin daha tutuklanmasına tanık oldu; bunların arasında, hizmetin geliştirilmesinden ve yürütülmesinden sorumlu olduğu iddia edilen Birleşik Krallık’taki dördü de var. Dünya genelinde toplam 70 adres arandı.
Tutuklamalarla aynı zamana denk gelen LabHost (“laboratuvar sunucusu[.]ru”) ve onunla ilişkili tüm kimlik avı siteleri kümesine el konuldu ve bunların yerine ele geçirildiğini bildiren bir mesaj konuldu.
LabHost, bu yılın başlarında Fortra tarafından belgelendi ve PhaaS’ın dünya çapındaki popüler markaları ayda 179 ila 300 ABD Doları arasında bir fiyata hedeflediğini detaylandırdı. İlk olarak 2021’in dördüncü çeyreğinde, Frappo adlı başka bir PhaaS hizmetinin kullanıma sunulmasıyla aynı zamana denk geldi.
Şirket, “LabHost, mevcut kimlik avı kitlerini iki ayrı abonelik paketine ayırıyor: ABD ve Kanada markalarını kapsayan bir Kuzey Amerika üyeliği ve çeşitli küresel markalardan oluşan (NA markaları hariç) uluslararası bir üyelik” dedi.
Trend Micro’ya göre LabHost ayrıca Spotify için kimlik avı sayfaları, DHL ve An Post gibi posta hizmetleri, araç geçiş ücreti hizmetleri ve sigorta sağlayıcıları da sağladı; ayrıca müşterilerin hedef markalar için özel kimlik avı sayfaları oluşturulmasını talep etmelerine olanak tanıdı.
Trend Micro, “Platform, kimlik avı sayfası altyapısının geliştirilmesi ve yönetilmesindeki sıkıcı görevlerin çoğunu üstlendiğinden, kötü niyetli aktörlerin ihtiyaç duyduğu tek şey, dosyaları barındıracak ve platformun otomatik olarak dağıtabileceği sanal bir özel sunucudur (VPS)” dedi. .
Bağlantıları kimlik avı ve smishing kampanyaları aracılığıyla dağıtılan kimlik avı sayfaları, bankaları, devlet kurumlarını ve diğer büyük kuruluşları taklit ederek kullanıcıları kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını girmeleri konusunda aldatacak şekilde tasarlanmıştır.
Sahte web sitelerinin yanı sıra e-posta ve SMS içerik oluşturma hizmetlerini de barındıracak altyapıyı içeren kimlik avı kitinin müşterileri, çalınan bilgileri daha sonra çevrimiçi hesapların kontrolünü ele geçirmek ve kurbanların banka hesaplarından yetkisiz para transferleri yapmak için kullanabilir.
Ele geçirilen bilgiler arasında isimler ve adresler, e-postalar, doğum tarihleri, standart güvenlik sorusu yanıtları, kart numaraları, şifreler ve PIN’ler yer alıyordu.
Europol, “Labhost, kullanıcılarına aralarından seçim yapabileceği ikna edici kimlik avı sayfaları sunan 170’in üzerinde sahte web sitesinden oluşan bir menü sundu” dedi ve kesintiye 19 ülkeden kolluk kuvvetlerinin katıldığını ekledi.
“LabHost’u özellikle yıkıcı yapan şey, LabRat adlı entegre kampanya yönetimi aracıydı. Bu özellik, siber suçluların saldırıları gerçek zamanlı olarak izlemesine ve kontrol etmesine olanak tanıdı. LabRat, iki faktörlü kimlik doğrulama kodlarını ve kimlik bilgilerini yakalayacak ve suçluların bu saldırıları atlatmasına olanak tanıyacak şekilde tasarlandı. Güvenlik tedbirleri artırıldı.”
LabHost’un kimlik avı altyapısının 40.000’den fazla alan adını içerdiği tahmin ediliyor. Avustralya’da 94.000’den fazla kurban tespit edildi ve yaklaşık 70.000 Birleşik Krallık kurbanının sahte sitelerden birine bilgilerini girdiği tespit edildi.
Birleşik Krallık Metropolitan Polisi, LabHost’un piyasaya sürülmesinden bu yana suçlu kullanıcılardan yaklaşık 1 milyon £ (1.173.000 $) ödeme aldığını söyledi. Hizmetin 480.000 kart numarası, 64.000 PIN numarasının yanı sıra web siteleri ve diğer çevrimiçi hizmetler için kullanılan en az bir milyon şifreyi ele geçirdiği tahmin ediliyor.
LabHost gibi PhaaS platformları, siber suç dünyasına giriş engelini azaltarak, hevesli ve vasıfsız tehdit aktörlerinin geniş ölçekte kimlik avı saldırıları düzenlemesine olanak tanır. Başka bir deyişle PhaaS, kimlik avı sayfalarının geliştirilmesi ve barındırılması ihtiyacının dış kaynaklardan sağlanmasını mümkün kılar.
AFP Komiser Yardımcısı Siber Komuta Vekili Chris Goldsmid, “LabHost, siber suçun sınırsız doğasının bir başka örneğidir ve bu saldırının ortadan kaldırılması, birleşik, küresel bir yasa uygulama cephesi aracılığıyla elde edilebilecek güçlü sonuçları güçlendirmektedir” dedi.
Bu gelişme, Europol’ün organize suç ağlarının giderek daha çevik, sınır tanımayan, kontrolcü ve yıkıcı olduğunu (ABCD) ortaya çıkarması ve “uyumlu, sürekli, çok taraflı bir tepki ve ortak işbirliği” ihtiyacının altını çizmesiyle ortaya çıktı.