Meta Platforms, Microsoft en het Amerikaanse ministerie van Justitie (DoJ) hebben onafhankelijke acties aangekondigd om cybercriminaliteit aan te pakken en diensten te ontwrichten die oplichting, fraude en phishing-aanvallen mogelijk maken.
Daartoe zei de Digital Crimes Unit (DCU) van Microsoft dat het 240 frauduleuze websites in beslag had genomen die verband hielden met een in Egypte gevestigde cybercriminaliteitsfacilitator genaamd Abanoub Nady (ook bekend als MRxC0DER en mrxc0derii), die een phishing-kit genaamd ONNX te koop aanbood. De criminele operatie van Nady dateert naar verluidt al uit 2017.
“Talrijke cybercriminelen en online bedreigingsactoren kochten deze kits en gebruikten ze in wijdverbreide phishing-campagnes om aanvullende beveiligingsmaatregelen te omzeilen en in te breken in Microsoft-klantaccounts”, aldus Steven Masada van Microsoft DCU.
“Hoewel alle sectoren gevaar lopen, is de financiële dienstverleningssector zwaar onder vuur genomen vanwege de gevoelige gegevens en transacties die zij verwerken. In deze gevallen kan een succesvolle phishing-operatie verwoestende gevolgen hebben voor de slachtoffers in de echte wereld.”
ONNX, aangeboden onder het phishing-as-a-service (PhaaS)-model voor ergens tussen $ 150 per maand en $ 550 gedurende zes maanden, werd eerder dit juni gedocumenteerd door EclecticIQ, waarin het vermogen van de phishing-kit werd beschreven om QR-codes weer te geven die zijn ingebed in PDF-bestanden die uiteindelijk de slachtoffers naar valse Microsoft 365-inlogpagina’s leiden.
Het is vermeldenswaard dat Nady’s identiteit rond dezelfde tijd door DarkAtlas werd onthuld, wat hen ertoe aanzette hun activiteiten abrupt te staken. Microsoft volgt de eigenaar en exploitant van ONNX onder de naam Storm-0867.
Vervolgens was het ook het onderwerp van een waarschuwing van de Amerikaanse Financial Industry Regulatory Authority (FINRA), die waarschuwde dat financiële instellingen het doelwit waren van de ONNX-kit, waarin stond dat het tweefactorauthenticatie (2FA) kan omzeilen door 2FA-verzoeken te onderscheppen.
Volgens Microsoft kreeg het PhaaS-platform ook andere namen, zoals Caffeine en FUHRER, waardoor klanten op grote schaal phishing-campagnes konden uitvoeren. De kits, die vrijwel uitsluitend via Telegram werden gepromoot, verkocht en geconfigureerd, bevatten phishing-sjablonen en de bijbehorende technische infrastructuur.
De technologiegigant zei dat het een burgerlijk gerechtelijk bevel in het oostelijke district van Virginia heeft verkregen om de kwaadaardige technische infrastructuur te neutraliseren, waardoor de toegang van bedreigingsactoren effectief wordt afgesloten en wordt voorkomen dat deze domeinen in de toekomst voor phishing-aanvallen worden gebruikt.
De mede-aanklager van Microsoft in haar juridische strijd is LF (Linux Foundation) Projects, LLC, de eigenaar van het handelsmerk van ONNX, een afkorting van Open Neural Network Exchange, een open-source runtime voor het representeren van machine learning-modellen.
De ontwikkeling komt op het moment dat het DoJ de sluiting van PopeyeTools bekendmaakte, een marktplaats die zich bezighield met de verkoop van gestolen creditcards en andere hulpmiddelen voor het plegen van financiële fraude. Tegelijkertijd zijn er aanklachten onthuld tegen drie van zijn bestuurders uit Pakistan en Afghanistan: Abdul Ghaffar, 25; Abdul Sami, 35; en Javed Mirza, 37.
Alle drie de personen zijn beschuldigd van samenzwering om fraude met toegangsapparaten te plegen, toegangsapparaten te verhandelen en iemand anders te benaderen met als doel het verstrekken van toegangsapparaten. Als ze veroordeeld worden, riskeren ze een maximumstraf van 10 jaar gevangenisstraf voor elk van de drie inbreuken op toegangsapparatuur.
Volgens het DoJ functioneerde de marktplaats (www.PopeyeTools.com, www.PopeyeTools.co.uk en www.PopeyeTools.to) sinds 2016 als een online hub voor de verkoop van gevoelige financiële gegevens en andere illegale tools, waardoor duizenden gebruikers werden aangetrokken over de hele wereld, inclusief die welke verband houden met ransomware-activiteiten.
Naar schatting heeft PopeyeTools de toegangsapparaten en persoonlijk identificeerbare informatie (PII) van ten minste 227.000 personen verkocht en ten minste 1,7 miljoen dollar aan inkomsten genereerd. Het motto was: “Wij geloven in kwaliteit, niet in kwantiteit.”
Sommige van de geadverteerde diensten omvatten ongeautoriseerde betaalkaartgegevens om frauduleuze transacties uit te voeren, gestolen bankrekeninggegevens, e-mailspamlijsten, oplichtingssjablonen, educatieve handleidingen en tutorials.
“Om leden naar de markt te lokken, zou PopeyeTools hebben beloofd om gekochte creditcards die op het moment van verkoop niet langer geldig waren, terug te betalen of te vervangen”, aldus het DoJ. “Bovendien bood PopeyeTools klanten op verschillende tijdstippen toegang tot diensten die konden worden gebruikt om de geldigheid te controleren van bankrekening-, creditcard- of debetkaartnummers die via de website worden aangeboden.”
Het ministerie zei verder dat het rechterlijke toestemming heeft verkregen om voor ongeveer $283.000 aan cryptocurrencies in beslag te nemen van een cryptocurrency-account beheerd door Sami.
Gelijktijdig met de inbeslagnames van ONNX en PopeyeTools kondigde Meta aan dat het meer dan twee miljoen accounts had verwijderd die verband hielden met oplichtingscentra in Cambodja, Myanmar, Laos, de Verenigde Arabische Emiraten en de Filippijnen die werden gebruikt om varkensslachtprogramma’s uit te voeren.
De frauduleuze operaties, die plaatsvinden vanuit zwendelcomplexen in Zuidoost-Azië, worden geleid door georganiseerde misdaadsyndicaten en omvatten vaak het online opbouwen van vertrouwde persoonlijke en romantische relaties met potentiële doelwitten wereldwijd, met behulp van sociale-mediaplatforms en dating-apps, en deze te manipuleren om hun harde schijf te storten. -geld verdiende met nepinvesteringen.
“Deze criminele zwendelcentra lokken vaak nietsvermoedende werkzoekenden met vacatures die te mooi zijn om waar te zijn op lokale vacaturesites, forums en wervingsplatforms om hen vervolgens te dwingen als online oplichters te werken, vaak onder de dreiging van fysiek misbruik,” zei Meta.
In mei werkte het bedrijf samen met Coinbase, Ripple en Match Group, eigenaar van Tinder en Hinge, om een coalitie te vormen genaamd Tech Against Scams, die tot doel heeft manieren te bedenken om de transnationale dreiging en andere vormen van online fraude tegen te gaan. Google werkt op zijn beurt samen met de Global Anti-Scam Alliance (GASA) en DNS Research Federation (DNS RF) met vergelijkbare doelen voor ogen.
