Un’operazione congiunta delle forze dell’ordine ha smantellato una rete criminale internazionale che utilizzava la piattaforma automatizzata di phishing-as-a-service iServer per Phone unlock. E cioè per sbloccare i telefoni cellulari rubati o smarriti di 483.000 vittime in tutto il mondo.
L’operazione Kaerb ha coinvolto le forze dell’ordine e le autorità giudiziarie di Spagna, Argentina, Cile, Colombia, Ecuador e Perù.
“Ho avuto diversi casi di clienti i quali hanno subito il furto di un iPhone ei ladri lo hanno poi sbloccato, tramite phone unlock, ottenuto mediante phishing“, commenta Paolo Dal Checco, informatico forense.
Ecco come funziona la truffa e come evitarla.
Indice degli argomenti
Phone unlock: circa mezzo milione di vittime del phishing
L’operazione globale, denominata in codice Operazione Kaerb è iniziata nel 2022 dopo che Europol ha ricevuto informazioni dalla società di sicurezza informatica Group-IB, che aveva contribuito a identificare le vittime e i criminali dietro la rete di phishing.
Secondo le scoperte di Group-IB, la piattaforma iServer automatizzava gli attacchi di phishing creando pagine malevole che imitavano popolari piattaforme mobili basate su cloud.
“Il problema (del Phone unlock, ndr) è che il messaggio che avvisa del ritrovamento pare realistico, così come il sito che emula la pagina del sito Apple dove si richiede d’inserire le credenziali per poter ritrovare il proprio dispositivo“, spiega Dal Checco.
L’operazione ha scoperto quasi 500 mila vittime a livello globale, principalmente persone di lingua spagnola provenienti da Europa, Nord America e Sud America. Vittime di phishing mentre cercavano di riottenere l’accesso ai loro dispositivi.
Inoltre, “la truffa funziona meglio poi quando la vittima ha attivato la modalità Smarrito perché si aspetta un contatto da parte di Apple al ritrovamento, cosa che effettivamente riceve ma – come pare ormai chiaro – tale messaggio non proviene da Apple“, mette in guardia l’informatico forense.
I dettagli dell’Operazione Kaerb
Durante una settimana di azione coordinata dal 10 al 17 settembre, le autorità di polizia hanno arrestato 17 sospetti in Argentina, Cile, Colombia, Ecuador, Perù e Spagna, hanno condotto 28 perquisizioni e sequestrato 921 oggetti, tra cui telefoni cellulari, dispositivi elettronici, veicoli e armi.
L’operazione ha portato anche all’arresto dell’amministratore della piattaforma di phishing, un cittadino argentino che gestiva il servizio da cinque anni.
“Il criminale vendeva l’accesso al suo sito web e addebitava costi aggiuntivi per il phishing, gli SMS, le e-mail o l’esecuzione di chiamate”, ha dichiarato Europol. “Gli utenti criminali della piattaforma – o “sbloccatori” – fornivano servizi di sblocco del telefono ad altri criminali in possesso di telefoni rubati”.
Il Centro europeo per la criminalità informatica (EC3) di Europol e il Centro specializzato per la criminalità informatica di Ameripol hanno coordinato l’operazione internazionale, segnando la prima volta che le due organizzazioni hanno lavorato insieme su un caso del genere.
Come mitigare il rischio del Phone unlock
Il Phone unlock è un meccanismo ingegnoso, ma basato sul phishing e dunque fa leva sulla mancanza di consapevolezza ed attenzione degli utenti.
“Da un lato questo meccanismo ci deve tranquillizzare circa il fatto che non pare non esistano ancora sistemi per aggirare il blocco antifurto impostato da Apple“, conferma Dal Checco, “oppure esistono ma sono meno noti e più costosi di una piattaforma di phishing per emulare servizi di recupero del proprio dispositivo”.
Infatti, dal 2018, la piattaforma di phishing iServer ha fornito phishing-as-a-service a criminali poco qualificati noti come “sbloccatori”, che l’hanno sfruttata per rubare le credenziali alle vittime tramite e-mail di phishing, SMS o chiamate vocali.
“In ogni caso, bisogna mettere in guardia gli utenti nei confronti di messaggi sospetti, soprattutto quando questi arrivano in momenti critici, quando vi è urgenza, timore, preoccupazione e quindi si tende più facilmente ad abbassare le proprie difese”, precisa Dal Checco.
Si contano oltre 2.000 sbloccatori registrati sulla piattaforma. L’indagine ha rivelato che la rete criminale aveva preso di mira oltre 1,2 milioni di telefoni a livello globale, mietendo circa mezzo milione di vittime in totale.
In questi attacchi di phishing, hanno raccolto tutti i dati necessari per sbloccare i telefoni (comprese le password dei dispositivi, le credenziali utente e le informazioni personali), bypassare la modalità del telefonino smarrito e scollegare illegalmente i dispositivi dai loro proprietari.
Un consiglio da tenere a mente
“Un consiglio sempre utile per ritardare le potenzialità dei ladri nel momento in cui si ritrovano con il nostro dispositivo”, evidenzia Dal Checco, “è quello di attivare – ovviamente prima del furto – la modalità ‘Protezione del dispositivo rubato‘”.
Questa modalità infatti permette “alle operazioni più critiche di richiedere un ritardo per motivi di sicurezza oltre che il riconoscimento visivo, cosa che un ladro ovviamente non può ottenere”, sottolinea Dal Checco, “mentre invece può più facilmente ottenere i codici”.
“Il ritardo di sicurezza aiuta a impedire che qualcuno apporti modifiche a impostazioni che possono impedire l’accesso al dispositivo al proprio account oltre a dare alla vittima del tempo in più per permetterle di attivare la modalità ‘Smarrito’ utilizzando l’app Dov’è o trovare il proprio iPhone sul sito Apple iCloud”, conclude Dal Checco.
