Siber suç hizmetine yönelik uluslararası baskı kapsamında 37 kadar kişi tutuklandı. Laboratuvar Ana Bilgisayarı Bu, suç aktörleri tarafından dünyanın dört bir yanındaki kurbanların kişisel kimlik bilgilerini çalmak için kullanıldı.
En büyük Hizmet Olarak Kimlik Avı (PhaaS) sağlayıcılarından biri olarak tanımlanan LabHost, öncelikle Kanada, ABD ve Birleşik Krallık’ta bulunan bankaları, yüksek profilli kuruluşları ve diğer hizmet sağlayıcıları hedef alan kimlik avı sayfaları sundu
Kod adı PhishOFF ve Nebulae olan (soruşturmanın Avustralya koluna gönderme yapan) operasyonun bir parçası olarak, Melbourne ve Adelaide’den iki LabHost kullanıcısı 17 Nisan’da tutuklandı; diğer üç kişi de uyuşturucuyla ilgili suçlarla suçlanarak tutuklandı.
“Avustralyalı suçluların, LabHost olarak bilinen platformu kullanan, kurbanları çevrimiçi bankacılık oturum açma bilgileri, kredi kartı bilgileri ve şifreleri gibi kişisel bilgilerini, metinler ve e-postalar yoluyla gönderilen kalıcı kimlik avı saldırıları yoluyla kandırmak için kullanan dünya çapında 10.000 siber suçlu arasında olduğu iddia ediliyor. ” Avustralya Federal Polisi (AFP) söz konusu Bir açıklamada.
Europol liderliğindeki koordineli çabalar ayrıca 14 ve 17 Nisan tarihleri arasında 32 kişinin daha tutuklanmasına tanık oldu; bunların arasında, hizmetin geliştirilmesinden ve yürütülmesinden sorumlu olduğu iddia edilen Birleşik Krallık’taki dördü de var. Dünya genelinde toplam 70 adres arandı.
Tutuklamalarla aynı zamana denk gelen LabHost (“laboratuvar sunucusu[.]ru”) ve onunla ilişkili tüm kimlik avı siteleri kümesine el konuldu ve bunların yerine ele geçirildiğini bildiren bir mesaj konuldu.
LabHost, bu yılın başlarında Fortra tarafından belgelendi ve PhaaS’ın dünya çapındaki popüler markaları ayda 179 ile 300 dolar arasında bir fiyatla hedeflemesinin ayrıntılarını verdi. İlk olarak 2021’in dördüncü çeyreğinde, Frappo adlı başka bir PhaaS hizmetinin kullanıma sunulmasıyla aynı zamana denk geldi.
Şirket, “LabHost, mevcut kimlik avı kitlerini iki ayrı abonelik paketine ayırıyor: ABD ve Kanada markalarını kapsayan bir Kuzey Amerika üyeliği ve çeşitli küresel markalardan oluşan (NA markaları hariç) uluslararası bir üyelik” dedi.
Trend Micro’ya göre, kimlik avı pazarının şablon kataloğu aynı zamanda Spotify’ı, DHL ve An Post gibi posta hizmetlerini, araç geçiş ücreti hizmetlerini ve sigorta sağlayıcılarını da kapsayacak şekilde genişledi ve müşterilerin hedef markalar için özel kimlik avı sayfaları oluşturulmasını talep etmelerine olanak tanıdı.
Trend Micro, “Platform, kimlik avı sayfası altyapısının geliştirilmesi ve yönetilmesindeki sıkıcı görevlerin çoğunu üstlendiğinden, kötü niyetli aktörlerin ihtiyacı olan tek şey, dosyaları barındıracak ve platformun otomatik olarak dağıtım yapabileceği bir sanal özel sunucudur (VPS). söz konusu.
Bağlantıları kimlik avı ve smishing kampanyaları aracılığıyla dağıtılan kimlik avı sayfaları, bankaları, devlet kurumlarını ve diğer büyük kuruluşları taklit ederek kullanıcıları kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını girmeleri konusunda aldatacak şekilde tasarlanmıştır.
Sahte web sitelerinin yanı sıra e-posta ve SMS içerik oluşturma hizmetlerini de barındıracak altyapıyı içeren kimlik avı kitinin müşterileri, çalınan bilgileri daha sonra çevrimiçi hesapların kontrolünü ele geçirmek ve kurbanların banka hesaplarından yetkisiz para transferleri yapmak için kullanabilir.
Ele geçirilen bilgiler arasında isimler ve adresler, e-postalar, doğum tarihleri, standart güvenlik sorusu yanıtları, kart numaraları, şifreler ve PIN’ler yer alıyordu.
Europol, “Labhost, kullanıcılarının aralarından seçim yapabileceği ikna edici kimlik avı sayfaları sağlayan 170’in üzerinde sahte web sitesinden oluşan bir menü sundu.” söz konusukesintiye 19 ülkeden kolluk kuvvetlerinin katıldığını da ekledi.
“LabHost’u özellikle yıkıcı yapan şey, LabRat adlı entegre kampanya yönetim aracıydı. Bu özellik, siber suçluların saldırıları gerçek zamanlı olarak izlemesine ve kontrol etmesine olanak tanıdı. LabRat, iki faktörlü kimlik doğrulama kodlarını ve kimlik bilgilerini yakalayacak şekilde tasarlandı ve suçluların Gelişmiş güvenlik önlemlerini atlayın.”
Grup-IB, kurmak referanslar Telegram’da LabHost 17 Ağustos 2021’e dayanan bir rapor, LabRat’ın grup tarafından tanıtılan birçok hizmetten biri olduğunu, diğerlerinin LabCVV (kredi kartı mağazası), LabSend (SMS/MMS spam dağıtım sistemi) ve LabRefund (Telegram kanalları ve özel gruplar) olduğunu söyledi. suçluların müşterilerine çalınan verileri nasıl kullanacaklarını öğrettiği yer).
LabHost’un kimlik avı altyapısının 40.000’den fazla alan adını içerdiği söyleniyor. Avustralya’da 94.000’den fazla kurban tespit edildi ve yaklaşık 70.000 Birleşik Krallık kurbanının sahte sitelerden birine bilgilerini girdiği tespit edildi.
Birleşik Krallık Metropolitan Polisi söz konusu LabHost, piyasaya sürülmesinden bu yana suçlu kullanıcılardan yaklaşık 1 milyon £ (1.173.000 $) ödeme aldı. Hizmetin 480.000 kart numarası, 64.000 PIN numarasının yanı sıra web siteleri ve diğer çevrimiçi hizmetler için kullanılan en az bir milyon şifreyi ele geçirdiği tahmin ediliyor.
LabHost gibi PhaaS platformları, siber suç dünyasına giriş engelini azaltarak, hevesli ve vasıfsız tehdit aktörlerinin geniş ölçekte kimlik avı saldırıları düzenlemesine olanak tanır. Başka bir deyişle PhaaS, kimlik avı sayfalarının geliştirilmesi ve barındırılması ihtiyacının dış kaynaklardan sağlanmasını mümkün kılar.
AFP Komiser Yardımcısı Siber Komuta Vekili Chris Goldsmid, “LabHost, siber suçun sınırsız doğasının bir başka örneğidir ve bu saldırının ortadan kaldırılması, birleşik, küresel bir yasa uygulama cephesi aracılığıyla elde edilebilecek güçlü sonuçları güçlendirmektedir” dedi.
Gelişme Europol olarak geliyor açıklığa kavuşmuş organize suç ağlarının giderek daha çevik, sınırsız, kontrolcü ve yıkıcı hale geldiğini (ABCD), “uyumlu, sürekli, çok taraflı bir tepki ve ortak işbirliğine” duyulan ihtiyacın altını çiziyor.