ゲッティイメージズ
法執行機関の連合は、盗難または紛失した携帯電話120万台以上のロック解除を容易にし、正当な所有者以外の人が使用できるようにしていたサービスを停止したと発表した。
このサービスは、2018年から運用されているフィッシング・アズ・ア・サービス・プラットフォームであるiServerの一部でした。アルゼンチンに拠点を置くiServerは、メール、テキスト、音声通話を通じてフィッシング関連のサービスを多数提供するプラットフォームへのアクセスを販売していました。提供された専門サービスの1つは、盗難または紛失したモバイルデバイスを大量に所有している人々が、iPhoneの紛失モードなどの保護を回避するために必要な認証情報を入手できるようにするために設計されていました。紛失または盗難されたデバイスは、パスコードを入力しなければ使用できないようにするものです。
グループIB
スキルの低い泥棒を相手にする
ユーロポールの欧州サイバー犯罪センターが調整した国際捜査により、iServer の背後にいたアルゼンチン国籍の男が逮捕され、長年にわたりフィッシング プラットフォームに登録していた 2,000 人以上の「ロック解除者」が特定された。捜査官らは最終的に、この犯罪ネットワークが 120 万台以上の携帯電話のロック解除に使用されていたことを突き止めた。当局者らは、紛失または盗難にあったデバイスの認証情報を盗むフィッシング メッセージを受け取った 483,000 人の携帯電話所有者も特定したと述べた。
携帯電話のロック解除詐欺を発見し、当局に報告したセキュリティ会社 Group-IB によると、iServer は、低スキルのロック解除者が正当なデバイス所有者からデバイスのパスコード、クラウドベースのモバイル プラットフォームからのユーザー認証情報、およびその他の個人情報をフィッシングできる Web インターフェイスを提供していたという。
Group-IB は次のように書いています:
iServer の犯罪行為の調査中に、Group-IB の専門家は、このプラットフォームで活動する犯罪組織の構造と役割も明らかにしました。プラットフォームの所有者/開発者は「ロック解除者」にアクセス権を販売し、その「ロック解除者」は、ロックされた盗難デバイスを持つ他の犯罪者に電話のロック解除サービスを提供します。フィッシング攻撃は、物理的なモバイル デバイスへのアクセスを許可するデータを収集するように特別に設計されており、犯罪者はユーザーの認証情報とローカル デバイスのパスワードを取得してデバイスのロックを解除したり、所有者とのリンクを解除したりできます。iServer は、人気のクラウドベースのモバイル プラットフォームを模倣したフィッシング ページの作成と配信を自動化し、サイバー犯罪ツールとしての有効性を高める独自の実装をいくつか備えています。
ロック解除者は、携帯電話のロック解除に必要な情報(IMEI、言語、所有者の詳細、連絡先情報など)を入手します。これらの情報には、紛失モードやクラウドベースのモバイル プラットフォーム経由でアクセスすることがよくあります。ロック解除者は、iServer が提供するフィッシング ドメインを利用するか、独自のドメインを作成してフィッシング攻撃を仕掛けます。攻撃シナリオを選択すると、iServer はフィッシング ページを作成し、悪意のあるリンクを含む SMS を被害者に送信します。
成功すると、iServer の顧客は Web インターフェイスを通じて認証情報を受け取ります。その後、顧客は携帯電話のロックを解除して紛失モードを無効にし、新しい人がデバイスを使用できるようにします。
最終的に、犯罪者は iServer ウェブ インターフェースを通じて盗まれ検証された資格情報を入手し、携帯電話のロックを解除し、「紛失モード」をオフにして所有者のアカウントから切り離すことができました。
策略をうまく隠蔽するために、iServer はフィッシング ページをクラウドベースのサービスに属するものとして偽装することがよくありました。
グループIB
グループIB
当局は逮捕に加え、iserver.com ドメインも押収した。
グループIB
グループIB
閉鎖と逮捕は9月10日から17日にかけてスペイン、アルゼンチン、チリ、コロンビア、エクアドル、ペルーで行われた。これらの国の当局は2022年にフィッシングサービスの捜査を開始した。