‘Heb die boomer!’: hoe cybercriminelen eenmalige toegangscodes stelen voor sim-swap-aanvallen en het plunderen van bankrekeningen

‘Heb die boomer!’: hoe cybercriminelen eenmalige toegangscodes stelen voor sim-swap-aanvallen en het plunderen van bankrekeningen

Het binnenkomende telefoongesprek knippert op de telefoon van het slachtoffer. Het duurt misschien maar een paar seconden, maar kan eindigen als het slachtoffer codes overhandigt waarmee cybercriminelen hun online accounts kunnen kapen of hun crypto- en digitale portemonnee kunnen leegmaken.

Dit is het PayPal-beveiligingsteam hier. We hebben ongebruikelijke activiteit op uw account gedetecteerd en bellen u uit voorzorg, zegt de robotstem van de beller. Voer de zescijferige beveiligingscode in die we naar uw mobiele apparaat hebben gestuurd.

Het slachtoffer, zich niet bewust van de kwade bedoelingen van de beller, tikt op het toetsenbord van zijn telefoon de zescijferige code in die hij zojuist per sms heeft ontvangen.



Ik heb die boomer! er wordt een bericht gelezen op de console van de aanvaller.

In sommige gevallen kan de aanvaller ook een phishing-e-mail sturen met als doel het wachtwoord van het slachtoffer te achterhalen. Maar vaak is de code van hun telefoon alles wat de aanvaller nodig heeft om in te breken in het online account van een slachtoffer. Tegen de tijd dat het slachtoffer het gesprek beëindigt, heeft de aanvaller de code al gebruikt om in te loggen op het account van het slachtoffer alsof hij of zij de rechtmatige eigenaar is.

Sinds medio 2023 heeft een onderscheppingsoperatie genaamd Estate honderden leden in staat gesteld duizenden geautomatiseerde telefoontjes uit te voeren om slachtoffers te misleiden tot het invoeren van eenmalige toegangscodes, zo heeft Gadget Insider vernomen. Estate helpt aanvallers beveiligingsfuncties zoals multi-factor authenticatie te omzeilen, die afhankelijk zijn van een eenmalige toegangscode die naar de telefoon of e-mail van een persoon wordt verzonden of vanaf zijn apparaat wordt gegenereerd met behulp van een authenticator-app. Gestolen eenmalige toegangscodes kunnen aanvallers toegang geven tot de bankrekeningen, creditcards, crypto- en digitale portemonnees en online diensten van een slachtoffer. De meeste slachtoffers zijn in de Verenigde Staten gevallen.

Maar een bug in de code van Estate bracht de back-enddatabase van de site bloot, die niet was gecodeerd. De database van Estate bevat details over de oprichter van de site en zijn leden, en regel voor regel logs van elke aanval sinds de lancering van de site, inclusief de telefoonnummers van de slachtoffers die het doelwit waren, wanneer en door welk lid.

Vangelis Stykas, veiligheidsonderzoeker en hoofd technologie bij Atropos.ai, leverde de Estate-database aan Gadget Insider voor analyse.

wie de verliefde prins is, is een blind spel

De back-enddatabase biedt een zeldzaam inzicht in hoe het onderscheppen van een eenmalige toegangscode werkt. Diensten als Estate adverteren hun aanbod onder het mom van het leveren van een ogenschijnlijk legitieme dienst waarmee beveiligingsprofessionals de veerkracht tegen social engineering-aanvallen kunnen testen, maar vallen in een juridische grijze ruimte omdat ze hun leden toestaan ​​deze diensten te gebruiken voor kwaadaardige cyberaanvallen. In het verleden, autoriteiten hebben exploitanten vervolgd van vergelijkbare sites die zich richten op het automatiseren van cyberaanvallen om hun diensten aan criminelen te leveren.

De database bevat logboeken van meer dan 93.000 aanvallen sinds Estate vorig jaar werd gelanceerd, gericht op slachtoffers die rekeningen hebben bij Amazon, Bank of America, Capital One, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (eigenaar van Gadget Insider) en vele anderen.

Sommige van de aanvallen laten ook pogingen zien om telefoonnummers te kapen door sim-swap-aanvallen uit te voeren (één campagne had simpelweg de titel 'ur getting sim swapped buddy') en te dreigen met dox-slachtoffers.

De oprichter van Estate, een Deense programmeur van begin twintig, vertelde Gadget Insider vorige week in een e-mail: Ik beheer de site niet meer. De oprichter heeft, ondanks pogingen om de online activiteiten van Estate te verbergen, de server van Estate verkeerd geconfigureerd, waardoor de werkelijke locatie in een datacenter in Nederland zichtbaar werd.

een foto waarop de aanvaller te zien is

De console van de aanvaller in Estate.

PlayStation New Yorkse winkel

Beeldcredits: Gadget-insider

Estate adverteert zichzelf met de mogelijkheid om op maat gemaakte OTP-oplossingen te creëren die perfect aansluiten bij uw behoeften, en legt uit dat onze aangepaste scriptingoptie u de controle geeft. Leden van de landgoederen maken gebruik van het wereldwijde telefoonnetwerk door zich voor te doen als legitieme gebruikers om toegang te krijgen tot upstream-communicatieproviders. Eén provider was Telnyx, wiens CEO David Casem aan Gadget Insider vertelde dat het bedrijf de accounts van Estate blokkeerde en dat er een onderzoek gaande was.

Hoewel Estate ervoor zorgt dat ze naar buiten toe geen expliciete taal gebruiken die kwaadaardige cyberaanvallen zou kunnen aanzetten of aanmoedigen, blijkt uit de database dat Estate vrijwel uitsluitend voor criminaliteit wordt gebruikt.

Dit soort diensten vormen de ruggengraat van de criminele economie, zegt Allison Nixon, hoofdonderzoeker bij Unit 221B, een cyberbeveiligingsbedrijf dat bekend staat om zijn onderzoek naar cybercriminaliteitsgroepen. Ze maken langzame taken efficiënt. Dit betekent dat meer mensen in het algemeen oplichting en bedreigingen ontvangen. Meer ouderen verliezen hun pensioen als gevolg van criminaliteit – vergeleken met de dagen voordat dit soort diensten bestonden.

Estate probeerde zich laag te houden door zijn website te verbergen voor zoekmachines en via mond-tot-mondreclame nieuwe leden aan te trekken. Volgens de website kunnen nieuwe leden zich alleen bij Estate aanmelden met een verwijzingscode van een bestaand lid, waardoor het aantal gebruikers laag blijft en detectie door de upstream-communicatieproviders waarvan Estate afhankelijk is, wordt voorkomen.

Eenmaal binnen biedt Estate leden hulpmiddelen waarmee ze kunnen zoeken naar eerder gehackte accountwachtwoorden van hun potentiële slachtoffers, waarbij eenmalige codes het enige obstakel vormen om de accounts van de doelwitten te kapen. Met de tools van Estate kunnen leden ook op maat gemaakte scripts gebruiken die instructies bevatten om doelen te misleiden om hun eenmalige toegangscodes in te leveren.

Sommige aanvalsscripts zijn in plaats daarvan ontworpen om gestolen creditcardnummers te valideren door het slachtoffer te misleiden de beveiligingscode op de achterkant van zijn betaalkaart om te draaien.

Volgens de database richtte een van de grootste belcampagnes op Estate zich op oudere slachtoffers, in de veronderstelling dat boomers eerder geneigd zijn een ongevraagd telefoontje aan te nemen dan jongere generaties. De campagne, die goed was voor ongeveer duizend telefoontjes, was gebaseerd op een script dat de cybercrimineel op de hoogte hield van elke aanvalspoging.

curri-stuurprogramma-app

De oude f- antwoordde! zou in de console knipperen wanneer het slachtoffer de oproep opnam, en Life support unplugged zou laten zien wanneer de aanval was geslaagd.

Uit de database blijkt dat de oprichter van Estate zich ervan bewust is dat hun klantenkring grotendeels uit criminele actoren bestaat, en Estate belooft al lang privacy voor zijn leden.

We registreren geen gegevens en we hebben geen persoonlijke informatie nodig om onze diensten te gebruiken, zo luidt de website van Estate, een kritiek op de identiteitscontroles die upstream-telecomproviders en technologiebedrijven doorgaans vereisen voordat ze klanten toegang geven tot hun netwerken.

Maar dat is niet helemaal waar. Estate registreerde elke aanval die zijn leden uitvoerden tot in detail, teruggaand tot de lancering van de site medio 2023. En de oprichter van de site behield toegang tot serverlogboeken die een realtime venster boden op wat er op elk moment op de server van Estate gebeurde, inclusief elk telefoontje van zijn leden, evenals elke keer dat een lid een pagina op de website van Estate laadde.

Uit de database blijkt dat Estate ook e-mailadressen van potentiële leden bijhoudt. Een van die gebruikers zei dat ze zich bij Estate wilden aansluiten omdat ze onlangs begonnen waren met het kopen van ccs – verwijzend naar creditcards – en geloofden dat Estate betrouwbaarder was dan het kopen van een bot van een onbekende verkoper. De gebruiker werd later goedgekeurd om lid te worden van de Estate, zo blijkt uit de gegevens.

Uit de blootgelegde database blijkt dat sommige leden de belofte van anonimiteit van Estate vertrouwden door fragmenten van hun eigen identificeerbare informatie – inclusief e-mailadressen en online-gegevens – achter te laten in de scripts die ze schreven en de aanvallen die ze uitvoerden.

De database van Estate bevat ook de aanvalsscripts van haar leden, die de specifieke manieren onthullen waarop aanvallers misbruik maken van zwakke punten in de manier waarop technologiegiganten en banken beveiligingsfuncties implementeren, zoals eenmalige toegangscodes, voor het verifiëren van de identiteit van klanten. Gadget Insider beschrijft de scripts niet in detail, omdat dit cybercriminelen zou kunnen helpen bij het uitvoeren van aanvallen.

Veteraan veiligheidsverslaggever Brian Krebs, die eerder gerapporteerd over een eenmalige toegangscode-operatie in 2021 , zegt dat dit soort criminele operaties duidelijk maakt waarom je nooit informatie mag verstrekken naar aanleiding van een ongevraagd telefoontje.

Het maakt niet uit wie beweert te bellen: als je het contact niet hebt gelegd, hang dan op, schreef Krebs. Dat advies geldt vandaag de dag nog steeds.

BMW i8 uit 2019

Maar hoewel diensten die eenmalige toegangscodes aanbieden nog steeds een betere beveiliging bieden aan gebruikers dan diensten die dat niet doen, toont het vermogen van cybercriminelen om deze verdedigingsmechanismen te omzeilen aan dat technologiebedrijven, banken, crypto-wallets en -uitwisselingen, en telecombedrijven meer werk te doen hebben. Doen.

Nixon van Unit 221B zei dat bedrijven in een eeuwige strijd verwikkeld zijn met slechte actoren die hun netwerken willen misbruiken, en dat de autoriteiten hun inspanningen moeten opvoeren om deze diensten hard aan te pakken.

Het ontbrekende stukje is dat we wetshandhaving nodig hebben om misdaadactoren te arresteren die zichzelf zo lastig maken, zei Nixon. Jongeren maken hier doelbewust hun beroep van, omdat ze zichzelf ervan overtuigen dat ze ‘slechts een platform’ zijn en ‘niet verantwoordelijk voor de misdaad’, gefaciliteerd door hun project.

Ze hopen gemakkelijk geld te verdienen in de zwendeleconomie. Er zijn influencers die onethische manieren aanmoedigen om online geld te verdienen. De rechtshandhaving moet dit stoppen.

Lees meer over Gadget Insider: