Una coalición de agencias policiales dijo que cerró un servicio que facilitaba el desbloqueo de más de 1,2 millones de teléfonos móviles robados o perdidos para que pudieran ser utilizados por alguien que no fuera su legítimo propietario.
El servicio era parte de iServer, una plataforma de phishing como servicio que ha estado operando desde 2018. iServer, con sede en Argentina, vendió acceso a una plataforma que ofrecía una serie de servicios relacionados con el phishing a través de correo electrónico, mensajes de texto y llamadas de voz. . Uno de los servicios especializados ofrecidos fue diseñado para ayudar a las personas en posesión de una gran cantidad de dispositivos móviles robados o perdidos a obtener las credenciales necesarias para eludir protecciones como la modo perdido para iPhone, que evitan que se utilice un dispositivo perdido o robado sin ingresar su contraseña.
Agrandar/ El modelo de phishing como servicio de iServer.
Grupo-IB
Atendiendo a ladrones poco cualificados
Una operación internacional coordinada por el Centro Europeo de Ciberdelincuencia de Europol dicho arrestó al ciudadano argentino que estaba detrás de iServer e identificó a más de 2.000 “desbloqueadores” que se habían inscrito en la plataforma de phishing a lo largo de los años. Los investigadores finalmente descubrieron que la red criminal se había utilizado para desbloquear más de 1,2 millones de teléfonos móviles. Las autoridades dijeron que también identificaron a 483.000 propietarios de teléfonos que habían recibido mensajes de phishing para obtener credenciales de sus dispositivos perdidos o robados.
De acuerdo a Group-IB, la empresa de seguridad que descubrió el escándalo de desbloqueo de teléfonos y lo informó a las autoridades, iServer proporcionó una interfaz web que permitía a los desbloqueadores poco calificados robar a los propietarios legítimos de los dispositivos los códigos de acceso del dispositivo y las credenciales de usuario de plataformas móviles basadas en la nube. y otra información personal.
Grupo IB escribió:
Durante sus investigaciones sobre las actividades delictivas de iServer, los especialistas de Group-IB también descubrieron la estructura y las funciones de los sindicatos criminales que operan con la plataforma: el propietario/desarrollador de la plataforma vende acceso a “desbloqueadores”, quienes a su vez brindan servicios de desbloqueo de teléfonos a otros delincuentes con Dispositivos robados bloqueados. Los ataques de phishing están diseñados específicamente para recopilar datos que otorgan acceso a dispositivos móviles físicos, permitiendo a los delincuentes adquirir las credenciales de los usuarios y las contraseñas de los dispositivos locales para desbloquearlos o desvincularlos de sus propietarios. iServer automatiza la creación y entrega de páginas de phishing que imitan plataformas móviles populares basadas en la nube, presentando varias implementaciones únicas que mejoran su efectividad como herramienta de cibercrimen.
Los desbloqueadores obtienen la información necesaria para desbloquear los teléfonos móviles, como IMEI, idioma, detalles del propietario e información de contacto, a la que a menudo se accede a través del modo perdido o mediante plataformas móviles basadas en la nube. Utilizan dominios de phishing proporcionados por iServer o crean los suyos propios para configurar un ataque de phishing. Después de seleccionar un escenario de ataque, iServer crea una página de phishing y envía un SMS con un enlace malicioso a la víctima.
Agrandar/ Un ejemplo de mensaje de phishing enviado.
Cuando tenga éxito, los clientes de iServer recibirán las credenciales a través de la interfaz web. Luego, los clientes podrían desbloquear un teléfono para desactivar el modo perdido y así el dispositivo pueda ser utilizado por alguien nuevo.
Al final, los delincuentes recibieron las credenciales robadas y validadas a través de la interfaz web de iServer, lo que les permitió desbloquear un teléfono, desactivar el “modo perdido” y desvincularlo de la cuenta del propietario.
Para camuflar mejor la artimaña, iServer a menudo disfrazaba páginas de phishing como pertenecientes a servicios basados en la nube.
Agrandar/ Mensaje de phishing solicitando una contraseña.
Grupo-IB
Agrandar/ El mensaje de phishing se hace pasar por un servicio basado en la nube con un mapa una vez que se ingresa el código de acceso.
Grupo-IB
Además del arresto, las autoridades también confiscaron el dominio iserver.com.
Agrandar/ El sitio de iServer tal como aparecía antes de la eliminación.
Grupo-IB
Agrandar/ El sitio web de iServer después de la eliminación.
Grupo-IB
El derribo y las detenciones se produjeron del 10 al 17 de septiembre en España, Argentina, Chile, Colombia, Ecuador y Perú. Las autoridades de esos países comenzaron a investigar el servicio de phishing en 2022.
