Policja zamknęła usługę internetową, z której korzysta ponad 2000 przestępców na całym świecie do uruchamiania i zarządzania ataki phishingowe.
Metropolitan Police współpracowała z policją z 19 krajów, aby zakłócić działanie największej na świecie platformy phishingu jako usługi, znanej jako LabHost.
Organy ścigania dokonały 37 aresztowań na całym świecie po przeszukaniu ponad 70 adresów, w tym w Wielkiej Brytanii na lotniskach w Manchesterze i Luton, w Essex i Londynie. Aresztowania w Wielkiej Brytanii obejmują cztery osoby powiązane z prowadzeniem LabHost, w tym pierwotnego twórcę witryny.
Oferowany LabHost phishing jako usługaco umożliwiło abonentom tworzenie fałszywych witryn internetowych mających na celu nakłonienie ofiar do ujawnienia danych osobowych, w tym adresów e-mail, danych bankowych i haseł.
70 000 ofiar oszustw w Wielkiej Brytanii
Detektywi ustalili, że 70 000 ofiar w Wielkiej Brytanii wprowadziło swoje dane do jednego z serwisów LabHost. oszukańczy phishing witryny. Do tej pory około 25 000 ofiar w Wielkiej Brytanii zostało poinformowanych, że ich dane zostały naruszone.
Na całym świecie za pomocą usługi internetowej uzyskano 480 000 numerów kart, 64 000 kodów PIN i ponad milion haseł, ale ostateczne liczby są prawdopodobnie większe.
Od momentu powstania w 2021 r. LabHost otrzymał od przestępczych użytkowników płatności na kwotę nieco poniżej 1 miliona funtów. Metropolitan Police podała, że detektywi zidentyfikowali wielu przestępców korzystających z tej usługi, a dochodzenia w dalszym ciągu tropią tych, którzy nie zostali jeszcze aresztowani.
Krótko po zakłóceniach działania platformy 800 użytkowników otrzymało od detektywów ostrzeżenie, w którym informowali ich, że „wiemy, kim są i co robili”.
Phishing jako usługa
Przestępczość jako usługa to szybko rozwijający się model biznesowy zapewniający cyberprzestępcom narzędzia, usługi lub wiedzę specjalistyczną w celu przeprowadzania ataków.
LabHost oferował szereg usług phishingowych w ramach wielopoziomowych miesięcznych subskrypcji, które można wdrożyć za pomocą kilku kliknięć.
Klienci używali tej usługi do atakowania instytucji finansowych oraz usług pocztowych i telekomunikacyjnych za pomocą wiadomości e-mail i SMS phishingowych. Witryna oferowała menu ponad 170 fałszywych witryn zaprojektowanych tak, aby wyglądały jak witryny legalnych organizacji.
Przestępcy wykorzystali także narzędzie do zarządzania udostępniane przez witrynę, znane jako LabRat, do przeprowadzania ataków phishingowych oraz monitorowania i kontrolowania ich w czasie rzeczywistym. LabRat został zaprojektowany do przechwytywania kodów uwierzytelniania dwuskładnikowego, umożliwiając przestępcom ominięcie zabezpieczeń.
Europol stwierdził, że organy ścigania zebrały „ogromną ilość” danych, które zostaną wykorzystane na potrzeby toczących się dochodzeń.
LabHost rozpoczął działalność w Kanadzie
LabHost powstał w Kanadzie w 2021 roku i oferował usługi phishingowe w Ameryce Północnej, a następnie rozszerzył swoją działalność na Wielką Brytanię i Irlandię, a później resztę świata.
Z badań przeprowadzonych przez Trend Micro wynika, że cyberprzestępcy mogą zarejestrować się w usłudze za 179 dolarów miesięcznie. Podstawowa usługa oferowała użytkownikom kilkadziesiąt stron skierowanych do instytucji kanadyjskich oraz trzy aktywne strony phishingowe. Poziom członkostwa premium, wyceniony na 249 dolarów miesięcznie, zapewniał dodatkowy dostęp do kilkudziesięciu stron internetowych skierowanych do instytucji amerykańskich. Najwyższy poziom członkostwa, za 300 dolarów miesięcznie, oferował ponad 70 stron phishingowych, których celem były organizacje w prawie 30 krajach.
Usługa udostępniała strony phishingowe dla kilku głównych banków kanadyjskich, amerykańskich i międzynarodowych, usługę strumieniowego przesyłania muzyki Spotify, usługi pocztowe, w tym DHL i irlandzką pocztę, firmy ubezpieczeniowe i usługi opłat drogowych. Użytkownicy mogą również żądać spersonalizowanych stron phishingowych, aby naśladować organizacje docelowe.
LabHost zaoferował klientom konfigurowalne szablony phishingu, za pomocą których mogli żądać nazwisk i adresów, adresów e-mail, dat urodzenia, odpowiedzi na standardowe pytania zabezpieczające, numerów kart, haseł i kodów PIN.
Usługa phishingowa oferowała także pomoc techniczną za pośrednictwem dedykowanego kanału w serwisie komunikacyjnym Telegram.
Międzynarodowe śledztwo
Policja rozpoczęła dochodzenie w sprawie LabHost w czerwcu 2022 r. po otrzymaniu informacji od Sojusz Cyberobronygrupa członkowska non-profit zrzeszająca organizacje świadczące usługi finansowe.
Jednostka ds. cyberprzestępczości Met współpracowała następnie z Narodową Agencją ds. Przestępczości (NCA), policją miasta Londyn, regionalnymi jednostkami ds. przestępczości zorganizowanej, Europolem i międzynarodowymi siłami policyjnymi.
W dochodzeniu wzięły udział firmy zajmujące się bezpieczeństwem cybernetycznym, w tym Chainalytic, Intel 471, Microsoft, The Shadowserver Foundation i Trend Micro.
Dochodzenie ujawniło co najmniej 40 000 domen phishingowych powiązanych z LabHost, z którego korzystało 10 000 użytkowników na całym świecie.
W Australii policja aresztowała pięć osób i zniszczyła ponad 200 serwerów używanych do hostowania fałszywych witryn phishingowych utworzonych przez LabHost po wykonaniu 22 nakazów przeszukania na terenie całego kraju w operacji, w której wzięło udział ponad 200 funkcjonariuszy. Australijski oddział operacji o kryptonimie Operacja Nebulae zidentyfikował ponad 100 podejrzanych korzystających z LabHost w Australii.
Policja w Holandii aresztowała pięciu użytkowników i przeszukała sześć domów, konfiskując 100 samochodów z kartą SIM i pięć sztuk broni palnej.
Operacja Met Police pokazuje możliwości Wielkiej Brytanii
Lynne Owens, zastępca komisarza Metropolitan Police Service, powiedziała: „Oszuści internetowi myślą, że mogą działać bezkarnie. Wierzą, że mogą ukryć się za tożsamościami cyfrowymi i platformami takimi jak LabHost, i mają absolutną pewność, że te witryny są nieprzeniknione przez policję”.
Adrian Searle, dyrektor Krajowego Centrum ds. Przestępczości Gospodarczej przy NCA, powiedział: „Oszustwo to straszliwe przestępstwo, które wpływa na ofiary zarówno finansowo, jak i psychicznie, podważając nasze zbiorowe zaufanie do innych i do usług internetowych, na których wszyscy polegamy.
„Ta operacja po raz kolejny pokazuje, że brytyjskie organy ścigania mają możliwości i zamiary identyfikowania, zakłócania i całkowitego narażania na szwank usług przestępczych, których celem jest Wielka Brytania na skalę przemysłową”.
Rzecznik Cyber Defense Alliance powiedział: „Partnerstwo z Sojuszem Cyberobrony i organami ścigania stale się rozwija. Wspólnie po raz kolejny udało nam się rozbić główną międzynarodową platformę przestępczą i zapobiec ofiarom tych oszustw większej liczby osób”.