İspanyol Guardia Civil, Group-IB araştırma firmasının yardımıyla dünyanın en aktif çevrimiçi suç ağlarından biri olan GXC Ekibini başarıyla çökertti. İspanya genelinde altı koordineli aramanın yapıldığı ülke çapındaki bu operasyon, planın beyni olduğu iddia edilen kişinin 20 Mayıs 2025’te tutuklanmasıyla sonuçlandı.
Cantabria, San Vicente de la Barquera’da tutuklanan kişi, internette GoogleXcoder olarak bilinen 25 yaşında Brezilya vatandaşı. Yetkililer ayrıca yasadışı araçlarını aktif olarak kullanan diğer suçluları da gözaltına aldı. Geçtiğimiz yıl boyunca bu grubun eylemlerinin milyonlarca avro tutarında mali kayba yol açtığına inanıldığını belirtmek gerekir.
Suç Araçlarını Hizmet Olarak Satmak
2023’ün başlarında ortaya çıkan şüpheli GoogleXcoder, bir Hizmet Olarak Suç (CaaS) operasyonu yürütüyordu. Bu, insanları soyan kişinin her zaman kendisi olmadığı, bunun yerine suçluların büyük dolandırıcılıklar gerçekleştirmek için ihtiyaç duyduğu özel araçları sattığı anlamına geliyor.
Bu tehlikeli araçlar, aralarında İspanya, Slovakya, İngiltere, ABD ve Brezilya’nın da bulunduğu birçok ülkedeki bankalar, ulaşım şirketleri ve çevrimiçi mağazalar gibi kurumları hedef alıyordu. Bu kitleri yeraltı kanallarında sundu, hatta utanmadan “Büyükannelerden her şeyi çal” adını taşıyan bir Telegram grubu kurdu, bu da onların vicdan eksikliğini gösteriyor.
Hizmet, aşağıdakiler de dahil olmak üzere çok sayıda yüksek teknoloji ürünü araç sunuyordu:
Kimlik avı kitleri: Bu kitler, diğer suçluların, 10 İspanyol bankasının ve 30’dan fazla uluslararası kurumun ve hükümet portalının çevrimiçi sayfalarını mükemmel bir şekilde kopyalayan sahte web siteleri oluşturmasına olanak sağladı.
Android Kötü Amaçlı Yazılım: Bu, basit bir bankacılık uygulaması görünümüne bürünmüş kötü amaçlı bir programdı. Kurulduktan sonra telefonun ana mesajlaşma uygulaması haline geldi ve metin yoluyla aldığınız güvenlik kodları olan Tek Kullanımlık Şifreleri (OTP’ler) çalabiliyordu.
Yapay Zeka Ses Dolandırıcılıkları: Yenilikçi bir eklenti olan bu araçlar, kurbanları, güvendiğimiz ekstra güvenlik katmanı olan İki Faktörlü Kimlik Doğrulama (2FA) kodlarından vazgeçmeleri için kandırmak üzere otomatik olarak gerçekçi sesli aramalar oluşturur.
Soruşturma ve Tutuklama
Operasyon ancak Grup-IB’nin ekibin tüm kurulumunu haritalandırıp 250’den fazla sahte dolandırıcılık sitesi ve dokuz farklı türde kötü yazılım bulmasıyla mümkün oldu. Bu istihbarat Guardia Civil’in Siber Suçlarla Mücadele Dairesi ile paylaşıldı.
Soruşturma ayrıca, GoogleXcoder’ın dijital bir göçebe olarak yaşadığını, sürekli İspanyol bölgeleri arasında hareket ettiğini ve çalıntı kimlikleri kullanarak ev kiralamak ve yeni telefon hatları almak için kullanıldığını ve bu durumun onu takip etmeyi zorlaştırdığını ortaya çıkardı.
Kanıt izini takip eden Guardia Civil, yalnızca Cantabria’ya değil Valladolid, Barselona ve Zaragoza gibi şehirlere de baskınlar düzenledi. Yetkililer, sahte web sitelerinin kaynak kodunu, suçlu müşterileriyle olan iletişim kayıtlarını ve mali ayrıntıları içeren elektronik cihazlara el koydu. Bir yıl süren soruşturma aynı zamanda çeşitli dijital para birimleri aracılığıyla taşınan çalıntı fonları da takip edip kurtardı ve sonunda programları yürütmek için kullanılan kanalları da ortadan kaldırdı.
Group-IB’nin Avrupa’daki siber suç soruşturması başkanı Anton Ushakov, blog yazısını şu şekilde tamamladı: “‘GXC Ekibi’ vakası, yapay zekanın dolandırıcılık ve kimliğe bürünmeyi benzeri görülmemiş bir ölçekte sanayileştirmek için nasıl kötüye kullanılabileceğini gösteriyor. Group-IB, bu yapay zeka destekli çerçeveyi araştıran ilk kişi oldu ve bu, yayılmasını önleme ve etkisini hafifletme konusunda kolluk kuvvetlerine destek olmamızı sağladı.”