По меньшей мере 37 человек были арестованы в рамках международного подавления киберпреступного сервиса под названием LabHost, который использовался преступными группировками для кражи личных данных жертв по всему миру.
Компания LabHost, известная как один из крупнейших поставщиков фишинга как услуги (PhaaS), предлагала фишинговые страницы, нацеленные на банки, известные организации и других поставщиков услуг, расположенных в основном в Канаде, США и Великобритании.
В рамках операции под кодовыми названиями PhishOFF и Nebulae (имеется в виду австралийское подразделение расследования) 17 апреля были арестованы два пользователя LabHost из Мельбурна и Аделаиды, еще трое арестованы по обвинению в преступлениях, связанных с наркотиками.
"Австралийские правонарушители предположительно входят в число 10 000 киберпреступников по всему миру, которые использовали платформу, известную как LabHost, чтобы обманом вынудить жертв предоставить свою личную информацию, такую как логины для онлайн-банкинга, данные кредитных карт и пароли, посредством постоянных фишинговых атак, отправляемых через текстовые сообщения и электронные письма", - говорится в заявлении Федеральной полиции Австралии (AFP).
В результате скоординированных усилий под руководством Европола в период с 14 по 17 апреля были задержаны еще 32 человека, в том числе четверо в Великобритании, которые предположительно несут ответственность за разработку и запуск сервиса. В общей сложности были проведены обыски по 70 адресам по всему миру.
Одновременно с арестами LabHost ("lab-host[.]ru") и все связанные с ним группы фишинговых сайтов были конфискованы и заменены сообщением об их аресте.
Ранее в этом году компания Fortra задокументировала деятельность LabHost, подробно описав ее PhaaS, нацеленную на популярные бренды по всему миру, за сумму от 179 до 300 долларов в месяц. Впервые он появился в четвертом квартале 2021 года, что совпало с доступностью другого сервиса PhaaS под названием Frappo.
"LabHost делит свои доступные фишинговые наборы на два отдельных пакета подписки: североамериканское членство, охватывающее бренды США и Канады, и международное членство, состоящее из различных мировых брендов (за исключением брендов NA)", - говорится в сообщении компании.
По данным Trend Micro, каталог шаблонов phishing bazaar также распространился на Spotify, почтовые службы, такие как DHL и An Post, службы взимания платы за проезд и страховых компаний, а также позволяет клиентам запрашивать создание фишинговых страниц на заказ для целевых брендов.
"Поскольку платформа берет на себя большинство трудоемких задач по разработке инфраструктуры фишинговых страниц и управлению ею, все, что нужно злоумышленнику, - это виртуальный частный сервер (VPS) для размещения файлов, с которого платформа может автоматически развертываться", - сказали в Trend Micro.
Фишинговые страницы, ссылки на которые распространяются с помощью фишинговых кампаний, предназначены для имитации банков, государственных учреждений и других крупных организаций, обманным путем заставляя пользователей вводить свои учетные данные и коды двухфакторной аутентификации (2FA).
Клиенты фишингового набора, который включает инфраструктуру для размещения мошеннических веб-сайтов, а также сервисы для создания контента электронной почты и SMS, могли затем использовать украденную информацию для получения контроля над онлайн-аккаунтами и осуществления несанкционированных переводов средств с банковских счетов жертв.
Захваченная информация включала имена и адреса, электронные письма, даты рождения, стандартные ответы на контрольные вопросы, номера карт, пароли и PIN-коды.
"Labhost предложил меню из более чем 170 поддельных веб-сайтов, предоставляющих своим пользователям убедительные фишинговые страницы на выбор", - сказал Европол, добавив, что в перебоях участвовали правоохранительные органы из 19 стран.
"Что сделало LabHost особенно разрушительным, так это его интегрированный инструмент управления кампаниями под названием LabRat. Эта функция позволяла киберпреступникам, развертывающим атаки, отслеживать их и контролировать в режиме реального времени. LabRat был разработан для сбора кодов двухфакторной аутентификации и учетных данных, что позволяет преступникам обходить усиленные меры безопасности."
Говорят, что фишинговая инфраструктура LabHost включает более 40 000 доменов. В Австралии идентифицировано более 94 000 жертв, и было обнаружено, что около 70 000 жертв в Великобритании ввели свои данные на одном из поддельных сайтов.
Столичная полиция Великобритании заявила, что с момента запуска LabHost получил около 1 миллиона фунтов стерлингов (1 173 000 долларов) платежей от пользователей-преступников. По оценкам, сервис получил 480 000 номеров карт, 64 000 PIN-кодов, а также не менее миллиона паролей, используемых для веб-сайтов и других онлайн-сервисов.
Платформы PhaaS, такие как LabHost, снижают барьер для входа в мир киберпреступности, позволяя начинающим и неквалифицированным злоумышленникам организовывать масштабные фишинговые атаки. Другими словами, PhaaS позволяет передать разработку и размещение фишинговых страниц на аутсорсинг.
"LabHost - это еще один пример безграничного характера киберпреступности, и ликвидация усиливает мощные результаты, которых можно достичь с помощью единого глобального фронта правоохранительных органов", - сказал AFP исполняющий обязанности помощника комиссара киберкомандования Крис Голдсмид.
Развитие событий происходит после того, как Европол выявил, что организованные преступные сети становятся все более гибкими, безграничными, контролирующими и деструктивными (ABCD), что подчеркивает необходимость "согласованного, устойчивого, многостороннего реагирования и совместного сотрудничества".
