Polis, dünya çapında 2.000’den fazla suçlunun kimlik avı saldırılarını başlatmak ve yönetmek için kullandığı bir web hizmetini kapattı.
Metropolitan Polisi, LabHost olarak bilinen dünyanın en büyük hizmet olarak kimlik avı platformunu engellemek için 19 ülkenin polis güçleriyle birlikte çalıştı.
Kolluk kuvvetleri 70’den fazla adreste arama yaptıktan sonra dünya çapında 37 tutuklama gerçekleştirdi; Birleşik Krallık’ta Manchester ve Luton havalimanlarında, Essex’te ve Londra’da tutuklamalar oldu. Birleşik Krallık’taki tutuklamalar arasında sitenin orijinal geliştiricisi de dahil olmak üzere LabHost’u çalıştırmakla bağlantılı dört kişi yer alıyor.
LabHost, kimlik avını, abonelerin mağdurları kandırarak e-posta adresleri, banka bilgileri ve şifreler gibi kişisel bilgileri ifşa etmeleri için tasarlanmış sahte web siteleri oluşturmalarına olanak tanıyan bir hizmet olarak sundu.
70.000 Birleşik Krallık dolandırıcılık kurbanı
Dedektifler, Birleşik Krallık’taki 70.000 kurbanın bilgilerini LabHost’un sahte kimlik avı sitelerinden birine girdiğini tespit etti. Şu ana kadar İngiltere’de yaklaşık 25.000 mağdura verilerinin ele geçirildiği bilgisi verildi.
Web hizmeti dünya çapında 480.000 kart numarası, 64.000 PIN ve bir milyondan fazla şifre elde etmek için kullanıldı, ancak nihai sayıların daha büyük olması muhtemel.
LabHost, 2021’deki kuruluşundan bu yana suçlu kullanıcılardan 1 milyon £’un biraz altında ödeme aldı. Metropolitan Polisi, dedektiflerin hizmeti kullanan birçok suçluyu tespit ettiğini ve soruşturmaların henüz tutuklanmamış olanları bulmaya devam ettiğini söyledi.
Platformun kesintiye uğramasından kısa bir süre sonra 800 kullanıcı, dedektiflerden “kim olduklarını ve ne yaptıklarını biliyoruz” şeklinde bir uyarı mesajı aldı.
Bir hizmet olarak kimlik avı
Hizmet olarak suç, siber suçlulara saldırı gerçekleştirmeleri için araçlar, hizmetler veya uzmanlık sağlamaya yönelik hızla büyüyen bir iş modelidir.
LabHost, birkaç tıklamayla devreye alınabilecek kademeli aylık abonelikler aracılığıyla bir dizi kimlik avı hizmeti sunuyordu.
Müşteriler, kimlik avı e-postaları ve SMS mesajlarıyla finansal kurumları, posta ve telekomünikasyon hizmetlerini hedeflemek için bu hizmeti kullandı. Site, meşru kuruluşlarınkilere benzeyecek şekilde tasarlanmış 170’in üzerinde sahte web sitesinden oluşan bir menü sundu.
Suçlular ayrıca kimlik avı saldırıları gerçekleştirmek ve bunları gerçek zamanlı olarak izleyip kontrol etmek için web sitesi tarafından sağlanan LabRat olarak bilinen bir yönetim aracını da kullandı. LabRat, suçluların güvenlik korumalarını atlamasına olanak tanıyan iki faktörlü kimlik doğrulama kodlarını yakalayacak şekilde tasarlandı.
Europol, kolluk kuvvetlerinin devam eden soruşturmaları desteklemek için kullanılacak “büyük miktarda” veri topladığını söyledi.
LabHost Kanada’da başladı
LabHost, 2021 yılında Kanada’da kuruldu ve Birleşik Krallık, İrlanda ve daha sonra dünyanın geri kalanına genişlemeden önce Kuzey Amerika’da kimlik avı hizmetleri sunuyor.
Trend Micro’nun araştırmasına göre siber suçlular ayda 179 ABD doları karşılığında hizmete kaydolabiliyor. Temel hizmet, kullanıcılara Kanada kurumlarını hedef alan düzinelerce sayfanın yanı sıra üç aktif kimlik avı sayfası da sunuyordu. Aylık 249 ABD Doları tutarındaki premium üyelik kademesi, ABD kurumlarını hedefleyen düzinelerce web sayfasına ek erişim sağlıyordu. Aylık 300 ABD Doları tutarındaki en yüksek üyelik kademesi, yaklaşık 30 ülkedeki kuruluşları hedefleyen 70’in üzerinde kimlik avı sayfası sunuyordu.
Hizmet, birçok büyük Kanada, ABD ve uluslararası banka için kimlik avı sayfaları, müzik akışı hizmeti Spotify, DHL ve İrlanda postanesi dahil posta hizmetleri, sigorta şirketleri ve yol geçiş ücreti hizmetleri sağladı. Kullanıcılar ayrıca hedef kuruluşları taklit etmek için özel kimlik avı sayfaları talep edebilir.
LabHost, müşterilerin adları ve adresleri, e-posta adreslerini, doğum tarihlerini, standart güvenlik sorularının yanıtlarını, kart numaralarını, şifreleri ve PIN’leri istemek için kullanabilecekleri özelleştirilebilir kimlik avı şablonları sundu.
Kimlik avı hizmeti ayrıca Telegram mesajlaşma hizmetindeki özel bir kanal aracılığıyla teknik destek de sundu.
Uluslararası soruşturma
Polis, finansal hizmet kuruluşlarına yönelik kar amacı gütmeyen bir üyelik grubu olan Cyber Defense Alliance’tan istihbarat aldıktan sonra Haziran 2022’de LabHost’u araştırmaya başladı.
Met’in Siber Suç Birimi, Ulusal Suç Ajansı (NCA), Londra Şehri Polisi, Bölgesel Organize Suç Birimleri, Europol ve uluslararası polis güçleriyle işbirliği yapmaya devam etti.
Soruşturmaya Chainalytics, Intel 471, Microsoft, The Shadowserver Foundation ve Trend Micro gibi siber güvenlik şirketleri de katıldı.
Araştırma, dünya çapında 10.000 kullanıcısı olan LabHost’a bağlı en az 40.000 kimlik avı alan adını ortaya çıkardı.
Avustralya’da polis, 200’den fazla memurun katıldığı bir operasyonla ülke çapında 22 arama emri çıkardıktan sonra beş kişiyi tutukladı ve LabHost tarafından oluşturulan sahte kimlik avı sitelerini barındırmak için kullanılan 200’den fazla sunucuyu çökertti. Operasyonun Nebula Operasyonu kod adlı Avustralya kolu, Avustralya’da LabHost kullanan 100’den fazla şüpheliyi tespit etti.
Hollanda polisi beş kullanıcıyı tutukladı ve altı evde arama yaparak 100 SIM arabaya ve beş ateşli silaha el koydu.
Met Police operasyonu İngiltere’nin yeteneklerini gösteriyor
Metropolitan Polis Teşkilatı komiser yardımcısı Lynne Owens şunları söyledi: “Çevrimiçi dolandırıcılar ceza almadan hareket edebileceklerini düşünüyor. LabHost gibi dijital kimliklerin ve platformların arkasına saklanabileceklerine inanıyorlar ve bu sitelerin polis tarafından aşılamaz olduğuna kesinlikle inanıyorlar.”
NCA Ulusal Ekonomik Suç Merkezi müdürü Adrian Searle şunları söyledi: “Dolandırıcılık, mağdurları hem finansal hem de psikolojik olarak etkileyen, başkalarına ve hepimizin güvendiği çevrimiçi hizmetlere olan kolektif güvenimizi baltalayan korkunç bir suçtur.
“Bu operasyon, Birleşik Krallık kolluk kuvvetlerinin, Birleşik Krallık’ı endüstriyel ölçekte hedef alan suç hizmetlerini belirleme, engelleme ve tamamen tehlikeye atma kapasitesine ve niyetine sahip olduğunu bir kez daha gösteriyor.”
Siber Savunma İttifakı sözcüsü şunları söyledi: “Siber Savunma İttifakı ve emniyet teşkilatı ile ortaklık gelişmeye devam ediyor. Birlikte bir kez daha büyük bir uluslararası suç platformunu çökertmeyi başardık ve daha fazla insanın bu dolandırıcılıkların kurbanı olmasını engelledik.”