В результате масштабной международной операции под кодовым названием Kaerb правоохранительные органы нескольких стран успешно ликвидировали крупную преступную группировку, использовавшую автоматизированную фишинговую платформу iServer. Эта платформа применялась для незаконной разблокировки украденных и утерянных смартфонов, затронув более 483 000 жертв по всему миру.
Истоки операции Kaerb и роль компании Group-IB
Операция Kaerb, стартовавшая в 2022 году, объединила усилия правоохранительных и судебных органов Испании, Аргентины, Чили, Колумбии, Эквадора и Перу. Ключевую роль в инициировании расследования сыграла компания Group-IB, предоставившая Европолу критически важную информацию о деятельности преступников. Эксперты Group-IB оказали существенную поддержку в идентификации как жертв, так и злоумышленников, стоявших за масштабной фишинговой кампанией.
Механизм работы платформы iServer
Платформа iServer, функционировавшая с 2018 года, представляла собой передовой инструмент для автоматизации фишинговых атак. Она позволяла создавать вредоносные веб-страницы, имитирующие популярные облачные мобильные сервисы. Основными пользователями iServer были так называемые «разблокировщики» (unlockers) — низкоквалифицированные киберпреступники, специализирующиеся на разблокировке краденых телефонов.
Тактика фишинговых атак
Злоумышленники использовали разнообразные каналы для проведения фишинговых атак, включая электронную почту, SMS-сообщения и даже голосовые звонки. Целью этих атак был сбор конфиденциальной информации, необходимой для разблокировки украденных или потерянных смартфонов. Собранные данные включали пароли устройств, учетные данные пользователей и личную информацию, что позволяло обходить режим «Lost Mode» и полностью отключать устройства от их законных владельцев.
Пример фишинговой схемы
Типичный сценарий атаки выглядел следующим образом: пользователь iServer создавал фишинговую страницу и отправлял жертве SMS с вредоносной ссылкой. Сообщение маскировалось под официальное уведомление от Apple, обещая предоставить информацию о местонахождении утерянного устройства. На самом деле, ссылка вела на поддельную страницу, где происходил сбор учетных данных, необходимых для разблокировки устройства.
Масштабы деятельности iServer и результаты операции
Масштабы деятельности платформы iServer впечатляют: более 2000 зарегистрированных «разблокировщиков» использовали её для атак на владельцев 1,2 миллиона телефонов по всему миру. В ходе операции Kaerb было выявлено 483 000 жертв, преимущественно испаноязычных граждан из стран Европы, Северной и Южной Америки.
Аресты и изъятия
С 10 по 17 сентября 2024 года правоохранительные органы провели серию арестов и обысков:
- 17 подозреваемых арестовано в шести странах
- 28 обысков проведено
- Изъяты многочисленные улики, включая мобильные телефоны, электронные устройства, люксовые автомобили и оружие
Среди задержанных оказался и администратор фишинговой платформы — гражданин Аргентины, управлявший сервисом на протяжении более пяти лет. Этот арест стал ключевым достижением операции, нанеся серьезный удар по инфраструктуре киберпреступников.
Операция Kaerb демонстрирует эффективность международного сотрудничества в борьбе с киберпреступностью. Она подчеркивает важность бдительности пользователей и необходимость постоянного совершенствования методов защиты персональных данных в цифровую эпоху. Ликвидация платформы iServer — это значительный шаг в обеспечении безопасности мобильных устройств и защите пользователей от изощренных фишинговых атак.
