%20(1).webp "Operasyon Kaerb, iserver Phishing-As-A-Service Platformunun Arkasındaki Beyinler Tutuklandı")
Operasyon Kaerb, Arjantin, Şili, Kolombiya, Ekvador, Peru ve İspanya’da 17 siber suçlunun tutuklanmasıyla sonuçlandı. Bu uluslararası operasyon Europol, Group-IB ve Ameripol tarafından koordine ediliyor.
Bu kişiler, dünya genelinde mobil kullanıcıları hedef alan kötü şöhretli iServer kimlik avı hizmeti platformunun arkasındaki kilit oyunculardı.
iServer’ın Alan Adına El Konuldu
iServer platformu beş yıldan uzun süredir faaliyette ve ağırlıklı olarak Kuzey ve Güney Amerika’daki İspanyolca konuşan suçlulara hizmet veriyor.
Ancak, erişimi Avrupa ve diğer bölgelere kadar uzanıyordu. Europol, tipik kimlik avı platformlarının aksine, iServer’ın çalınan telefonların kilidini açmak için kimlik bilgilerini toplama konusunda uzmanlaştığını söyledi.
“Kilit açıcılar” olarak bilinen düşük becerili suçluların bulut tabanlı mobil platformlardan cihaz şifrelerini ve kullanıcı kimlik bilgilerini çalmasına olanak tanıyan bir web arayüzü içeriyordu.
Bu yetenek, onların “Kayıp Modu”nu aşmalarını ve yasadışı yollarla elde edilen telefonların kilidini açmalarını sağladı.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz katılın
Suç Yazılımı Hizmet Modeli
Group-IB’nin soruşturması, Server’ı kullanan suç örgütlerinin karmaşık yapısını ortaya çıkardı.
Platformun sahibi, erişimi “kilidini açanlara” sattı, bu kişiler de çalıntı cihazları kilitli halde bulunduran diğer suçlulara telefon kilidini açma hizmeti sağladı.
Kimlik avı saldırıları, fiziksel mobil cihaza erişim izni veren verileri toplamak için titizlikle tasarlanmıştı.
iServer, popüler bulut tabanlı mobil platformları taklit eden kimlik avı sayfalarının oluşturulmasını ve iletilmesini otomatik hale getirerek siber suçlular için etkili bir araç haline geldi.
Kilit açıcılar, IMEI numaraları, dil ayarları, sahip bilgileri ve iletişim bilgileri gibi telefonların kilidini açmak için kritik öneme sahip bilgileri ele geçirdiler.
Bu verilere genellikle kayıp mod veya bulut tabanlı platformlar aracılığıyla eriştiler. Kilidi açanlar, iServer tarafından sağlanan veya kendilerinin oluşturduğu kimlik avı alan adlarını kullanarak kimlik avı saldırıları düzenlerler.
iServer, bir saldırı senaryosu seçtikten sonra bir kimlik avı sayfası oluşturdu ve kurbana kötü amaçlı bir bağlantı içeren bir SMS gönderdi.
Kimlik Avı Taktikleri Açıklandı
iServer’ın operasyonunun kritik bir bileşeni “yönlendirici” bağlantısı kullanmaktı. Bu bağlantı, ziyaretçileri son kimlik avı sayfasına yönlendirmeden önce filtreliyor ve doğruluyordu; ziyaretçiler belirli kurallara uymazlarsa erişim reddediliyordu.
Mağdurlar, meşru bulut tabanlı mobil hizmet web siteleri gibi görünen bu sayfalara kimlik bilgilerini girdiklerinde, platform bu bilgileri doğruluyor ve OTP kodları gibi ek bilgiler talep edebiliyor.
Tutuklamalar, siber suçları engelleme konusunda dünya çapında kolluk kuvvetlerinin elde ettiği önemli bir zaferi temsil ediyor.
10-17 Eylül 2024 tarihleri arasında gerçekleştirilen operasyonda iServer platformunu yöneten Arjantin uyruklu şahıs yakalandı.
Kolluk kuvvetleri yetkilileri, platformun dünya genelinde 1,2 milyondan fazla cep telefonunu hedef aldığını ve yaklaşık 483.000 kurban aldığını bildirdi.
iServer ağının kaldırılması, siber suçlarla mücadelede uluslararası iş birliğinin önemini vurguluyor.
Ayrıca, düşük becerili suçluların bile karmaşık siber saldırılar gerçekleştirmesine olanak tanıyan suç yazılımı-hizmet olarak modellerinin gelişen doğasına da dikkat çekiliyor.
Yetkililer benzer ağları soruşturmaya ve ortadan kaldırmaya devam ederken, bu operasyon bize siber suçluların oluşturduğu sürekli tehdidi ve güçlü siber güvenlik önlemlerine olan ihtiyacı hatırlatıyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial