Europol schaltet Phishing-System und kriminelle Ghost-Chat-Plattform ab
Die Strafverfolgungsbehörden haben die Zerschlagung eines internationalen kriminellen Netzwerks bekannt gegeben, das eine Phishing-Plattform nutzte, um gestohlene oder verlorene Mobiltelefone zu entsperren. Die Phishing-as-a-Service (PhaaS)-Plattform namens iServer hat weltweit schätzungsweise mehr als 483.000 Opfer gefordert.
Die bisher identifizierten Opfer der iServer Phishing-Plattform verteilen sich auf Chile (77.000), Kolumbien (70.000), Ecuador (42.000), Peru (41.500), Spanien (30.000) und Argentinien (29.000). „Bei den Opfern handelt es sich hauptsächlich um spanischsprachige Staatsangehörige aus europäischen, nordamerikanischen und südamerikanischen Ländern“, so Europol in einer Presseerklärung.
An der Aktion „Operation Kaerb“ waren Strafverfolgungs- und Justizbehörden aus Spanien, Argentinien, Chile, Kolumbien, Ecuador und Peru beteiligt.
Bei der gemeinsamen Operation, die zwischen dem 10. und 17. September stattfand, wurde ein Argentinier festgenommen, der seit 2018 für die Entwicklung und den Betrieb eines PhaaS-Dienstes verantwortlich war.
Insgesamt führte die Aktion zu 17 Festnahmen, 28 Durchsuchungen und der Beschlagnahmung von 921 Gegenständen, darunter Mobiltelefone, elektronische Geräte, Fahrzeuge und Waffen. Es wird angenommen, dass bis heute 1,2 Millionen Mobiltelefone entsperrt wurden.
„iServer war im Grunde eine automatisierte Phishing-Plattform, aber das Besondere daran war, dass sie sich darauf konzentrierte, Zugangsdaten zu sammeln, um gestohlene Telefone zu entsperren, was sie von typischen Phishing-as-a-Service-Diensten unterschied“, erklärte Group-IB.
Laut der in Singapur ansässigen Firma bot iServer eine Weboberfläche, die es auch weniger erfahrenen Kriminellen, sogenannten „Unlockern“, ermöglichte, Passwörter und Benutzerdaten von Cloud-basierten Mobilplattformen zu stehlen. Dadurch konnten sie den Lost Mode umgehen und die gestohlenen Geräte entsperren.
Der Administrator des kriminellen Netzwerks vermarktete den Zugang zu diesen „Unlockern“, die iServer nicht nur zum Entsperren von gestohlenen Geräten nutzten, sondern ihre Dienste auch an andere Kriminelle, wie Telefondiebe, weiterverkauften.
Die Unlocker verschickten zudem gefälschte Nachrichten an Opfer von Telefondiebstählen, um Informationen zu sammeln, die ihnen den Zugriff auf die Geräte ermöglichen. Sie sendeten SMS-Nachrichten, die vorgaben, beim Auffinden des verlorenen Handys zu helfen, und forderten die Opfer auf, auf einen Link zu klicken. Dieser Link führte zu einer gefälschten Seite, auf der die Opfer ihre Anmeldedaten, den Gerätepasscode und die Codes für die Zwei-Faktor-Authentifizierung (2FA) eingaben. Diese Informationen wurden dann genutzt, um den Lost Mode zu deaktivieren und das Gerät vom Konto des rechtmäßigen Besitzers zu trennen. „iServer automatisierte den Prozess der Erstellung und Verbreitung von Phishing-Seiten, die populäre Cloud-Plattformen imitierten, und hatte einige besondere Funktionen, die es als Werkzeug für Cyberkriminalität besonders effektiv machten“, so Group-IB.
Ghost Platform wird in einer globalen Aktion platt gemacht
Diese Entwicklung erfolgt zu einem Zeitpunkt, an dem Europol und die australische Bundespolizei (AFP) die Zerschlagung eines verschlüsselten Kommunikationsnetzwerks namens Ghost bekannt gegeben haben. Dieses Netzwerk wurde weltweit für schwere und organisierte Kriminalität genutzt. Die Plattform, die in einem speziell angefertigten Android-Smartphone zum Preis von etwa 1.590 Dollar für ein sechsmonatiges Abonnement enthalten war, wurde für eine breite Palette illegaler Aktivitäten wie Menschenhandel, Geldwäsche und sogar für extreme Gewalttaten genutzt. Damit reiht sich der Dienst in eine Liste ähnlicher Dienste wie Phantom Secure, EncroChat, Sky ECC und Exclu ein, die aus ähnlichen Gründen abgeschaltet wurden.
„Die Lösung nutzte drei verschiedene Verschlüsselungsstandards und erlaubte es, eine Nachricht zu senden, gefolgt von einem speziellen Code, der alle Nachrichten auf dem Zieltelefon unlesbar machte“, so Europol. „Das ermöglichte es kriminellen Netzwerken, sicher zu kommunizieren, Entdeckungen zu vermeiden, polizeilichen Ermittlungen zu entkommen und ihre illegalen Aktivitäten über Ländergrenzen hinweg zu koordinieren.“ Es wird angenommen, dass mehrere tausend Personen die Plattform genutzt haben. Vor der Abschaltung wurden täglich etwa 1.000 Nachrichten über den Dienst ausgetauscht.
Im Rahmen der Ermittlungen, die im März 2022 begonnen haben, wurden 51 Verdächtige festgenommen: 38 in Australien, 11 in Irland, einer in Kanada und einer in Italien, der zur italienischen Mafia-Gruppe Sacra Corona Unita gehört.
An der Spitze der Verdächtigen steht ein 32-jähriger Mann aus Sydney, New South Wales. Ihm wird vorgeworfen, Ghost im Rahmen der Operation Kraken erstellt und verwaltet zu haben. Zusammen mit mehreren anderen wird ihm vorgeworfen, die Plattform für den Handel mit Kokain und Cannabis sowie für den Drogenvertrieb und die Herstellung eines Fake-Terrorplans genutzt zu haben.
Es wird vermutet, dass der Administrator, Jay Je Yoon Jung, das kriminelle Unternehmen vor neun Jahren gegründet hat, das ihm Millionen von Dollar an illegalen Gewinnen eingebracht hat. Er wurde in seinem Haus in Narwee festgenommen. Im Rahmen der Operation wurde außerdem ein Drogenlabor in Australien entdeckt, und es wurden Waffen, Drogen sowie 1 Million Euro in bar beschlagnahmt.
Die australische Bundespolizei (AFP) erklärte, dass sie in die Infrastruktur der Plattform eingedrungen ist, um einen Angriff auf die Software-Lieferkette zu planen. Dabei wurde der Prozess der Softwareaktualisierung verändert, um Zugang zu den Inhalten auf 376 aktiven Mobiltelefonen in Australien zu erhalten.
„Die Landschaft der verschlüsselten Kommunikation wird durch die jüngsten Maßnahmen der Strafverfolgung, die sich gegen von kriminellen Netzwerken genutzte Plattformen richten, zunehmend unübersichtlich“, erklärte Europol.
In Reaktion auf diese Maßnahmen wenden sich Kriminelle nun einer Vielzahl weniger bekannter oder speziell entwickelter Kommunikationsmittel zu, die unterschiedliche Sicherheits- und Anonymitätsgrade bieten. Dabei suchen sie nach neuen technischen Lösungen und nutzen auch beliebte Kommunikationsanwendungen, um ihre Methoden zu diversifizieren.
Die Strafverfolgungsbehörde betonte die Notwendigkeit, auf die Kommunikation von Verdächtigen zuzugreifen, um schwere Straftaten zu bekämpfen. Außerdem forderte sie private Unternehmen auf, sicherzustellen, dass ihre Plattformen nicht zu Rückzugsorten für Kriminelle werden, und Wege für rechtmäßigen Datenzugriff „unter richterlicher Aufsicht und unter voller Achtung der Grundrechte“ zu schaffen.
Deutschland schaltet 47 Kryptowährungsbörsen ab
Die Maßnahmen fallen auch zeitlich mit der Beschlagnahmung von 47 Kryptowährungsbörsen in Deutschland überein, die illegale Geldwäscheaktivitäten für Cyberkriminelle ermöglichten, darunter Ransomware-Gruppen, Darknet-Händler und Botnetz-Betreiber. Diese Operation trägt den Code-Namen „Final Exchange“.
Den Diensten wird vorgeworfen, keine Programme zur Identitätsüberprüfung (Know Your Customer, KYC) oder zur Bekämpfung von Geldwäsche eingeführt zu haben. Zudem sollen sie absichtlich die Herkunft kriminell erlangter Gelder verschleiert haben, wodurch Cyberkriminalität begünstigt wurde. Es wurden keine Festnahmen öffentlich bekannt gegeben.
„Die Wechselservices ermöglichten Tauschgeschäfte, ohne dass ein Registrierungsprozess stattfand und ohne eine Überprüfung der Identität“, erklärte das Bundeskriminalamt. „Das Angebot richtete sich darauf, Kryptowährungen schnell, einfach und anonym in andere Kryptowährungen oder digitale Währungen umzutauschen, um deren Herkunft zu verbergen.“
US-Justizministerium erhebt Anklage gegen zwei Kryptowährungs-Betrüger
Zum Abschluss der Maßnahmen gegen Cyberkriminalität gab das US-Justizministerium (DoJ) bekannt, dass zwei Verdächtige verhaftet wurden. Sie werden beschuldigt, über 230 Millionen US-Dollar in Kryptowährung von einem unbekannten Opfer in Washington D.C. gestohlen und gewaschen zu haben.
Die beiden Verdächtigen, Malone Lam (20) und Jeandiel Serrano (21), sowie weitere Komplizen sollen seit August 2024 Kryptowährungen gestohlen haben, indem sie Zugang zu den Konten ihrer Opfer erlangten. Das Geld wurde dann über verschiedene Börsen und Mischdienste gewaschen. Dabei nutzten die jungen Männer Methoden wie „Peel Chains“, „Pass-Through Wallets“ und virtuelle private Netzwerke (VPNs) verwendeten, um ihre echten Identitäten zu verbergen.
Mit den illegal erlangten Geldern finanzierten sie einen luxuriösen Lebensstil, der internationale Reisen, Besuche in Nachtclubs, Luxusautos, teure Uhren, Schmuck, Designerhandtaschen und Mietwohnungen in Los Angeles und Miami umfasste.