Pihak berwenang penegak hukum telah mengumumkan penumpasan jaringan kriminal internasional yang memanfaatkan platform phishing untuk membuka kunci ponsel yang dicuri atau hilang.
Platform phishing-as-a-service (PhaaS), yang disebut iServer, diperkirakan telah menelan lebih dari 483.000 korban di seluruh dunia, dipimpin oleh Chili (77.000), Kolombia (70.000), Ekuador (42.000), Peru (41.500), Spanyol (30.000), dan Argentina (29.000).
“Korban sebagian besar adalah warga negara berbahasa Spanyol dari negara-negara Eropa, Amerika Utara, dan Amerika Selatan,” kata Europol dalam pernyataan pers.
Tindakan tersebut, yang dijuluki Operasi Kaerb, melibatkan partisipasi lembaga penegak hukum dan peradilan dari Spanyol, Argentina, Chili, Kolombia, Ekuador, dan Peru.
Berdasarkan latihan bersama yang berlangsung antara 10 dan 17 September, seorang warga negara Argentina yang bertanggung jawab untuk mengembangkan dan menjalankan layanan PhaaS sejak 2018 telah ditangkap.
Secara keseluruhan, operasi tersebut menghasilkan 17 penangkapan, 28 penggeledahan, dan penyitaan 921 barang, termasuk telepon seluler, perangkat elektronik, kendaraan, dan senjata. Hingga saat ini, diperkirakan sebanyak 1,2 juta telepon seluler telah berhasil dibuka kuncinya.
“Meskipun iServer pada dasarnya merupakan platform phishing otomatis, fokus khususnya pada pengumpulan kredensial untuk membuka kunci ponsel yang dicuri membedakannya dari penawaran phishing-sebagai-layanan pada umumnya,” kata Group-IB.
iServer, menurut perusahaan yang berpusat di Singapura, menawarkan antarmuka web yang memungkinkan penjahat berketerampilan rendah, yang dikenal sebagai “unlocker,” untuk mencuri kata sandi perangkat, kredensial pengguna dari platform seluler berbasis cloud, yang pada dasarnya memungkinkan mereka untuk melewati Mode Hilang dan membuka kunci perangkat.
Administrator sindikat kriminal mengiklankan akses ke para pembuka kunci ini, yang kemudian menggunakan iServer tidak hanya untuk melakukan pembukaan kunci phishing, tetapi juga menjual penawaran mereka ke pihak ketiga lainnya, seperti pencuri telepon.
Pembuka kunci juga bertanggung jawab untuk mengirim pesan palsu kepada korban pencurian ponsel yang bertujuan untuk mengumpulkan data yang memungkinkan akses ke perangkat tersebut. Hal ini dilakukan dengan mengirimkan teks SMS yang mendesak penerima untuk menemukan ponsel mereka yang hilang dengan mengeklik tautan.
Hal ini memicu rangkaian pengalihan yang akhirnya membawa korban ke halaman arahan yang meminta mereka memasukkan kredensial, kode sandi perangkat, dan kode autentikasi dua faktor (2FA), yang kemudian disalahgunakan untuk mendapatkan akses tidak sah ke perangkat, mematikan Mode Hilang, dan memutuskan tautan perangkat dari akun pemilik.
“iServer mengotomatiskan pembuatan dan pengiriman halaman phishing yang meniru platform seluler berbasis cloud yang populer, menampilkan beberapa implementasi unik yang meningkatkan efektivitasnya sebagai alat kejahatan dunia maya,” kata Group-IB.
Ghost Platform Tumbang dalam Aksi Global
Perkembangan ini terjadi setelah Europol dan Kepolisian Federal Australia (AFP) mengungkapkan pembongkaran jaringan komunikasi terenkripsi yang disebut Ghost (“www.ghostchat[.]net”) yang memfasilitasi kejahatan serius dan terorganisasi di seluruh dunia.
Platform tersebut, yang disertakan dalam ponsel pintar Android khusus seharga sekitar $1.590 untuk langganan enam bulan, digunakan untuk melakukan berbagai aktivitas ilegal, seperti perdagangan manusia, pencucian uang, dan bahkan tindakan kekerasan ekstrem. Platform ini hanyalah tambahan terbaru dalam daftar layanan serupa seperti Phantom Secure, EncroChat, Sky ECC, dan Exclu yang telah ditutup dengan alasan serupa.
“Solusi tersebut menggunakan tiga standar enkripsi dan menawarkan opsi untuk mengirim pesan yang diikuti oleh kode tertentu yang akan mengakibatkan penghancuran diri semua pesan di ponsel target,” kata Europol. “Hal ini memungkinkan jaringan kriminal untuk berkomunikasi dengan aman, menghindari deteksi, melawan tindakan forensik, dan mengoordinasikan operasi ilegal mereka lintas batas.”
Diperkirakan beberapa ribu orang telah menggunakan platform tersebut, dengan sekitar 1.000 pesan dipertukarkan melalui layanan tersebut setiap hari sebelum gangguan terjadi.
Selama penyelidikan yang dimulai pada Maret 2022, 51 tersangka telah ditangkap: 38 di Australia, 11 di Irlandia, satu di Kanada, dan satu di Italia yang termasuk dalam kelompok mafia Sacra Corona Unita Italia.
Puncak dari daftar tersebut adalah seorang pria berusia 32 tahun asal Sydney, New South Wales, yang didakwa menciptakan dan mengelola Ghost sebagai bagian dari Operasi Kraken, bersama dengan beberapa orang lain yang dituduh menggunakan platform tersebut untuk menyelundupkan kokain dan ganja, mendistribusikan narkoba, dan merekayasa rencana terorisme palsu.
Diyakini bahwa administratornya, Jay Je Yoon Jung, meluncurkan usaha kriminal tersebut sembilan tahun lalu, yang memberinya jutaan dolar dalam bentuk keuntungan tidak sah. Ia ditangkap di rumahnya di Narwee. Operasi tersebut juga mengakibatkan penggerebekan sebuah laboratorium narkoba di Australia, serta penyitaan senjata, narkoba, dan uang tunai senilai €1 juta.
AFP mengatakan peretas menyusup ke infrastruktur platform untuk melancarkan serangan rantai pasokan perangkat lunak dengan memodifikasi proses pembaruan perangkat lunak guna memperoleh akses ke konten yang tersimpan pada 376 telepon genggam aktif yang berlokasi di Australia.
“Pemandangan komunikasi terenkripsi menjadi semakin terfragmentasi sebagai akibat dari tindakan penegakan hukum baru-baru ini yang menargetkan platform yang digunakan oleh jaringan kriminal,” catat Europol.
“Sebagai tanggapan, pelaku kejahatan kini beralih ke berbagai alat komunikasi yang kurang dikenal atau dibuat khusus yang menawarkan berbagai tingkat keamanan dan anonimitas. Dengan demikian, mereka mencari solusi teknis baru dan juga memanfaatkan aplikasi komunikasi populer untuk mendiversifikasi metode mereka.”
Badan penegak hukum tersebut, selain menekankan perlunya akses komunikasi di antara para tersangka untuk menangani kejahatan serius, juga meminta perusahaan swasta untuk memastikan bahwa platform mereka tidak menjadi tempat berlindung yang aman bagi pelaku kejahatan dan menyediakan cara untuk mengakses data secara sah “di bawah pengawasan peradilan dan dengan sepenuhnya menghormati hak-hak fundamental.”
Jerman Tutup 47 Bursa Kripto
Tindakan tersebut juga bertepatan dengan penyitaan 47 layanan pertukaran mata uang kripto yang diselenggarakan di negara tersebut oleh Jerman yang memungkinkan terjadinya aktivitas pencucian uang ilegal bagi para penjahat dunia maya, termasuk kelompok ransomware, pengedar darknet, dan operator botnet. Operasi tersebut diberi nama sandi Final Exchange.
Layanan tersebut dituduh gagal menerapkan program Know Your Customer (KYC) atau anti pencucian uang dan sengaja mengaburkan sumber dana yang diperoleh secara kriminal, sehingga memungkinkan kejahatan dunia maya berkembang pesat. Tidak ada penangkapan yang diumumkan ke publik.
“Layanan Exchange memungkinkan transaksi barter tanpa melalui proses registrasi dan tanpa memeriksa bukti identitas,” kata Kantor Polisi Kriminal Federal (alias Bundeskriminalamt). “Penawaran ini ditujukan untuk menukar mata uang kripto dengan cepat, mudah, dan anonim ke mata uang kripto atau digital lainnya guna menyembunyikan asal mata uang tersebut.”
Departemen Kehakiman AS Mendakwa Dua Orang Atas Penipuan Mata Uang Kripto Senilai $230 Juta
Menutup upaya penegakan hukum untuk memerangi kejahatan dunia maya, Departemen Kehakiman AS (DoJ) mengatakan dua tersangka telah ditangkap dan didakwa dengan konspirasi untuk mencuri dan mencuci lebih dari $230 juta dalam mata uang kripto dari korban yang tidak disebutkan namanya di Washington DC.
Malone Lam, 20, dan Jeandiel Serrano, 21, serta rekan konspirator lainnya diduga telah melakukan pencurian mata uang kripto setidaknya sejak Agustus 2024 dengan mendapatkan akses ke akun korban, yang kemudian dicuci melalui berbagai bursa dan layanan pencampuran.
Hasil kejahatan itu kemudian digunakan untuk mendanai gaya hidup mewah, seperti perjalanan internasional, klub malam, mobil mewah, jam tangan, perhiasan, tas desainer, dan rumah sewa di Los Angeles dan Miami.
“Mereka mencuci hasil kejahatan tersebut, termasuk dengan memindahkan dana melalui berbagai mixer dan bursa menggunakan 'peel chains', dompet pass-through, dan jaringan privat virtual (VPN) untuk menutupi identitas asli mereka,” kata DoJ.