Une coalition d’organismes chargés de l’application de la loi a déclaré avoir fermé un service qui facilitait le déverrouillage de plus de 1,2 million de téléphones portables volés ou perdus afin qu’ils puissent être utilisés par quelqu’un d’autre que leur propriétaire légitime.
Le service faisait partie d’iServer, une plate-forme de phishing en tant que service qui fonctionne depuis 2018. iServer, basé en Argentine, vendait l’accès à une plate-forme offrant une multitude de services liés au phishing par courrier électronique, SMS et appels vocaux. . L’un des services spécialisés proposés a été conçu pour aider les personnes en possession d’un grand nombre d’appareils mobiles volés ou perdus à obtenir les informations d’identification nécessaires pour contourner les protections telles que le mode perdu pour les iPhones, qui empêchent l’utilisation d’un appareil perdu ou volé sans entrer. son mot de passe.
012df7e4-bebd-42b2-b0a7-3279be9f1687-image.png
Modèle de phishing en tant que service d’iServer.
La cantine des voleurs peu qualifiés
Une opération internationale coordonnée par le Centre européen de lutte contre la cybercriminalité d’Europol a déclaré avoir arrêté le ressortissant argentin derrière iServer et identifié plus de 2 000 « débloqueurs » qui s’étaient inscrits sur la plateforme de phishing au fil des ans. Les enquêteurs ont finalement découvert que le réseau criminel avait été utilisé pour débloquer plus de 1,2 million de téléphones portables. Les responsables ont déclaré avoir également identifié 483 000 propriétaires de téléphones qui avaient reçu des messages de phishing visant à obtenir les informations d’identification de leurs appareils perdus ou volés.
Selon Group-IB, la société de sécurité qui a découvert le racket de déverrouillage du téléphone et l’a signalé aux autorités, iServer a fourni une interface Web qui a permis aux déverrouillages peu qualifiés d’hameçonner les propriétaires légitimes de l’appareil pour obtenir les codes d’accès de l’appareil et les informations d’identification des utilisateurs à partir du cloud. plateformes mobiles et autres informations personnelles.
Groupe-IB a écrit :
Au cours de leurs enquêtes sur les activités criminelles d’iServer, les spécialistes du Group-IB ont également découvert la structure et les rôles des syndicats criminels opérant avec la plateforme : le propriétaire/développeur de la plateforme vend l’accès à des « débloqueurs », qui à leur tour fournissent des services de déverrouillage de téléphone à d’autres criminels avec appareils volés verrouillés. Les attaques de phishing sont spécifiquement conçues pour collecter des données permettant d’accéder aux appareils mobiles physiques, permettant aux criminels d’acquérir les informations d’identification des utilisateurs et les mots de passe des appareils locaux pour déverrouiller les appareils ou les dissocier de leurs propriétaires. iServer automatise la création et la diffusion de pages de phishing qui imitent les plates-formes mobiles cloud populaires, avec plusieurs implémentations uniques qui améliorent son efficacité en tant qu’outil de cybercriminalité.
Les déverrouillages obtiennent les informations nécessaires au déverrouillage des téléphones mobiles, telles que l’IMEI, la langue, les détails du propriétaire et les coordonnées, souvent accessibles via le mode perdu ou via des plates-formes mobiles basées sur le cloud. Ils utilisent les domaines de phishing fournis par iServer ou créent les leurs pour mettre en place une attaque de phishing. Après avoir sélectionné un scénario d’attaque, iServer crée une page de phishing et envoie un SMS avec un lien malveillant à la victime.
En cas de succès, les clients iServer recevraient les informations d’identification via l’interface Web. Les clients pouvaient alors déverrouiller un téléphone pour désactiver le mode perdu afin que l’appareil puisse être utilisé par une nouvelle personne.
En fin de compte, les criminels ont reçu les informations d’identification volées et validées via l’interface Web iServer, leur permettant de déverrouiller un téléphone, de désactiver le « mode perdu » et de le détacher du compte du propriétaire.
Pour mieux camoufler la ruse, iServer a souvent déguisé les pages de phishing en appartenant à des services basés sur le cloud.
81f9a1e2-cf9d-4151-a8e8-e57cdba2f70a-image.png
Message de phishing demandant un mot de passe.
af63dd9a-7c46-4174-916c-b862e1cd943b-image.png
Le message de phishing se fait passer pour un service basé sur le cloud avec une carte une fois le code d’accès saisi.
Outre l’arrestation, les autorités ont également saisi le domaine iserver.com.
a5c2a496-9d41-43d9-b785-890a6ce45d68-image.png
Le site iServer tel qu’il apparaissait avant le retrait.
Le retrait et les arrestations ont eu lieu du 10 au 17 septembre en Espagne, en Argentine, au Chili, en Colombie, en Équateur et au Pérou. Les autorités de ces pays ont commencé à enquêter sur le service de phishing en 2022.
Source: https://arstechnica.com/security/2024/09/cops-bust-website-crooks-used-to-unlock-1-2-million-stolen-mobile-phones/
Commentaires:
Je ne comprends pas du tout comment ils trouvent les informations du propriétaire pour envoyer des tentatives de phishing. Cela signifie-t-il que si vous signalez la perte de votre téléphone, vos informations seront alors fournies à la partie qui le trouve ?
Non; les informations se trouvent généralement dans la section d’identification médicale du téléphone, accessible sans se connecter. Si ces informations sont vides, ils peuvent rechercher le numéro de téléphone en ligne ou rechercher l’IMEI lorsque le téléphone essaie de se connecter à une tour de téléphonie cellulaire. De plus, si les notifications de l’écran de verrouillage sont activées, elles peuvent collecter toutes sortes d’informations simplement à partir de ce qui apparaît à l’écran. Si le contenu des notifications de l’écran de verrouillage est activé, ils peuvent même voir les codes SMS uniques dès leur arrivée sur le téléphone.
