Operação Kaerb, os mentores por trás da plataforma de phishing como serviço iserver são presos

Operação Kaerb, os mentores por trás da plataforma de phishing como serviço iserver são presos
Compartilhe

Kaerb

A Operação Kaerb resultou na prisão de 17 cibercriminosos na Argentina, Chile, Colômbia, Equador, Peru e Espanha. Esta operação internacional é coordenada pela Europol, Group-IB e Ameripol.

Phishing

Esses indivíduos foram os principais responsáveis ​​pela notória plataforma de phishing como serviço iServer , que tinha como alvo usuários móveis no mundo todo.

Operação Kaerb, os mentores por trás da plataforma de phishing como serviço iserver são presos

Domínio do iServer apreendido

A plataforma iServer está em operação há mais de cinco anos e atende principalmente criminosos de língua espanhola na América do Norte e do Sul.

No entanto, seu alcance se estendeu para a Europa e outras regiões. Ao contrário das plataformas típicas de phishing, a Europol disse que o iServer é especializado em coletar credenciais para desbloquear telefones roubados.

Ele apresentava uma interface web que permitia que criminosos pouco qualificados, conhecidos como “unlockers”, roubassem senhas de dispositivos e credenciais de usuários de plataformas móveis baseadas em nuvem.

Essa capacidade permitiu que eles ignorassem o “Modo Perdido” e desbloqueassem telefones obtidos por meios ilegais.

Modelo de Crimeware como Serviço

A investigação do Grupo IB revelou a estrutura sofisticada dos sindicatos criminosos que usam o Server.

O proprietário da plataforma vendeu acesso a “desbloqueadores”, que então forneciam serviços de desbloqueio de telefones para outros criminosos com dispositivos roubados bloqueados.

Os ataques de phishing foram meticulosamente projetados para coletar dados que permitissem acesso físico a dispositivos móveis.

O iServer automatizou a criação e a entrega de páginas de phishing que imitavam plataformas móveis populares baseadas em nuvem, tornando-o uma ferramenta eficaz para criminosos cibernéticos.

Os desbloqueadores obtiveram informações cruciais para desbloquear telefones, como números IMEI, configurações de idioma, detalhes do proprietário e informações de contato.

Eles frequentemente acessavam esses dados por meio do modo perdido ou de plataformas baseadas em nuvem. Os desbloqueadores configuram ataques de phishing usando domínios de phishing fornecidos pelo iServer ou aqueles que eles mesmos criaram.

Após selecionar um cenário de ataque, o iServer gerou uma página de phishing e enviou à vítima um SMS com um link malicioso.

Táticas de Phishing Reveladas

Um componente crítico da operação do iServer era usar um link “redirecionador”. Esse link filtrava e verificava os visitantes antes de levá-los à página final de phishing; o acesso era negado se os visitantes não cumprissem regras específicas.

Depois que as vítimas inserem suas credenciais nessas páginas — disfarçadas como sites legítimos de serviços móveis baseados em nuvem — a plataforma as verifica e pode solicitar informações adicionais, como códigos OTP .

As prisões marcam uma vitória significativa para as agências de segurança pública em todo o mundo na redução do crime cibernético.

O argentino que administrava a plataforma iServer foi detido durante a operação realizada entre 10 e 17 de setembro de 2024.

Autoridades policiais relatam que a plataforma teve como alvo mais de 1,2 milhão de celulares e fez aproximadamente 483.000 vítimas em todo o mundo. 

O desmantelamento da rede iServer ressalta a importância da cooperação internacional no combate ao crime cibernético.

Ele também destaca a natureza evolutiva dos modelos de crimeware como serviço, que capacitam até mesmo criminosos pouco qualificados a se envolver em ataques cibernéticos sofisticados.

À medida que as autoridades continuam investigando e desmantelando redes semelhantes, esta operação nos lembra da ameaça persistente representada pelos criminosos cibernéticos e da necessidade de medidas robustas de segurança cibernética .

Fontes: cybersecuritynews