As autoridades policiais anunciaram a desativação de uma rede criminosa internacional que utilizava uma plataforma de phishing para desbloquear celulares roubados ou perdidos.
Estima-se que a plataforma de phishing como serviço (PhaaS), chamada iServer, tenha causado mais de 483.000 vítimas em todo o mundo, liderada pelo Chile (77.000), Colômbia (70.000), Equador (42.000), Peru (41.500), Espanha (30.000) e Argentina (29.000).
“As vítimas são principalmente cidadãos de língua espanhola de países europeus, norte-americanos e sul-americanos”, disse a Europol em um comunicado à imprensa.
A ação, batizada de Operação Kaerb, contou com a participação de autoridades policiais e judiciais da Espanha, Argentina, Chile, Colômbia, Equador e Peru.
De acordo com o exercício conjunto realizado entre 10 e 17 de setembro, um cidadão argentino responsável pelo desenvolvimento e operação do serviço PhaaS desde 2018 foi preso.
No complete, a operação levou a 17 prisões, 28 buscas e a apreensão de 921 itens, incluindo celulares, dispositivos eletrônicos, veículos e armas. Acredita-se que até 1,2 milhão de celulares tenham sido desbloqueados até o momento.
“Embora o iServer fosse essencialmente uma plataforma de phishing automatizada, seu foco específico na coleta de credenciais para desbloquear telefones roubados o diferenciava das ofertas típicas de phishing como serviço”, disse o Group-IB.
O iServer, segundo a empresa sediada em Cingapura, oferecia uma interface net que permitia que criminosos pouco qualificados, conhecidos como “unlockers”, desviassem senhas de dispositivos e credenciais de usuários de plataformas móveis baseadas na nuvem, permitindo-lhes essencialmente ignorar o Modo Perdido e desbloquear os dispositivos.
O administrador do sindicato criminoso anunciou o acesso a esses desbloqueadores, que, por sua vez, usaram o iServer não apenas para realizar desbloqueios de phishing, mas também para vender suas ofertas a terceiros, como ladrões de telefone.
Os desbloqueadores também são responsáveis por enviar mensagens falsas para vítimas de roubo de telefone que visam coletar dados permitindo acesso a esses dispositivos. Isso é feito enviando textos SMS que pedem aos destinatários que localizem seus telefones perdidos clicando em um hyperlink.
Isso aciona uma cadeia de redirecionamento que, por fim, leva a vítima a uma página de destino solicitando que ela insira suas credenciais, senha do dispositivo e códigos de autenticação de dois fatores (2FA), que são então usados para obter acesso ilícito ao dispositivo, desativar o Modo Perdido e desvincular o dispositivo da conta do proprietário.
“O iServer automatiza a criação e a entrega de páginas de phishing que imitam plataformas móveis populares baseadas em nuvem, apresentando diversas implementações exclusivas que aumentam sua eficácia como uma ferramenta de combate ao crime cibernético”, disse o Group-IB.
Plataforma fantasma cai em ação international
O desenvolvimento ocorre no momento em que a Europol e a Polícia Federal Australiana (AFP) revelaram o desmantelamento de uma rede de comunicações criptografadas chamada Ghost (“www.ghostchat(.)web”) que facilitava crimes graves e organizados em todo o mundo.
A plataforma, que veio incluída em um smartphone Android personalizado por cerca de US$ 1.590 para uma assinatura de seis meses, foi usada para conduzir uma ampla gama de atividades ilegais, como tráfico, lavagem de dinheiro e até mesmo atos de violência extrema. É apenas a mais recente adição a uma lista de serviços semelhantes, como Phantom Safe, EncroChat, Sky ECC e Exclu, que foram encerrados por motivos semelhantes.
“A solução usou três padrões de criptografia e ofereceu a opção de enviar uma mensagem seguida por um código específico que resultaria na autodestruição de todas as mensagens no telefone alvo”, disse a Europol. “Isso permitiu que redes criminosas se comunicassem com segurança, evitassem a detecção, combatessem medidas forenses e coordenassem suas operações ilegais através das fronteiras.”
Acredita-se que milhares de pessoas tenham usado a plataforma, com cerca de 1.000 mensagens trocadas pelo serviço todos os dias antes de sua interrupção.
Ao longo da investigação iniciada em março de 2022, 51 suspeitos foram presos: 38 na Austrália, 11 na Irlanda, um no Canadá e um na Itália, pertencentes ao grupo mafioso italiano Sacra Corona Unita.
No topo da lista está um homem de 32 anos de Sydney, Nova Gales do Sul, que foi acusado de criar e administrar o Ghost como parte da Operação Kraken, junto com vários outros que foram acusados de usar a plataforma para traficar cocaína e hashish, realizar distribuição de drogas e fabricar um falso plano de terrorismo.
Acredita-se que o administrador, Jay Je Yoon Jung, lançou o empreendimento criminoso há nove anos, rendendo-lhe milhões de dólares em lucros ilegítimos. Ele foi preso em sua casa em Narwee. A operação também resultou na derrubada de um laboratório de drogas na Austrália, bem como no confisco de armas, drogas e € 1 milhão em dinheiro.
A AFP disse que se infiltrou na infraestrutura da plataforma para realizar um ataque à cadeia de suprimentos de software program, modificando o processo de atualização do software program para obter acesso ao conteúdo armazenado em 376 aparelhos ativos localizados na Austrália.
“O cenário de comunicação criptografada se tornou cada vez mais fragmentado como resultado de ações policiais recentes visando plataformas usadas por redes criminosas”, observou a Europol.
“Atores criminosos, em resposta, estão agora se voltando para uma variedade de ferramentas de comunicação menos estabelecidas ou personalizadas que oferecem vários graus de segurança e anonimato. Ao fazer isso, eles buscam novas soluções técnicas e também utilizam aplicativos de comunicação populares para diversificar seus métodos.”
A agência de segurança pública, além de enfatizar a necessidade de acesso às comunicações entre suspeitos para combater crimes graves, pediu às empresas privadas que garantam que suas plataformas não se tornem refúgios seguros para criminosos e forneçam meios para acesso authorized aos dados “sob supervisão judicial e em complete respeito aos direitos fundamentais”.
Alemanha derruba 47 bolsas de criptomoedas
As ações também coincidem com a apreensão pela Alemanha de 47 serviços de câmbio de criptomoedas hospedados no país que permitiram atividades ilegais de lavagem de dinheiro para cibercriminosos, incluindo grupos de ransomware, negociantes de darknet e operadores de botnet. A operação recebeu o codinome Last Trade.
Os serviços foram acusados de não implementar programas Know Your Buyer (KYC) ou antilavagem de dinheiro e de intencionalmente obscurecer a fonte de fundos obtidos criminalmente, permitindo assim que o crime cibernético floresça. Nenhuma prisão foi anunciada publicamente.
“Os serviços de câmbio permitiram transações de escambo sem passar por um processo de registro e sem verificar prova de identidade”, disse o Departamento Federal de Polícia Prison (também conhecido como Bundeskriminalamt). “A oferta tinha como objetivo trocar criptomoedas por outras criptomoedas ou moedas digitais de forma rápida, fácil e anônima, a fim de ocultar sua origem.”
DoJ dos EUA acusa dois por golpe de criptomoeda de US$ 230 milhões
Para encerrar os esforços da polícia para combater o crime cibernético, o Departamento de Justiça dos EUA (DoJ) disse que dois suspeitos foram presos e acusados de conspiração para roubar e lavar mais de US$ 230 milhões em criptomoeda de uma vítima não identificada em Washington DC
Malone Lam, 20, e Jeandiel Serrano, 21, e outros co-conspiradores são acusados de terem realizado roubos de criptomoedas pelo menos desde agosto de 2024, obtendo acesso às contas das vítimas, que eram então lavadas por meio de várias bolsas e serviços de mistura.
Os lucros ilícitos eram então usados para financiar um estilo de vida extravagante, como viagens internacionais, casas noturnas, automóveis de luxo, relógios, joias, bolsas de grife e casas para alugar em Los Angeles e Miami.
“Eles lavaram os lucros, inclusive movimentando os fundos por meio de vários mixers e bolsas usando 'cadeias de peel', carteiras de passagem e redes privadas virtuais (VPNs) para mascarar suas verdadeiras identidades”, disse o DoJ.
