Al termine di un’indagine durata oltre un anno, le forze dell’ordine di 19 paesi (coordinate da Europol) hanno smantellato LabHost, una delle più grandi piattaforme di Phishing-as-a-Service (PhaaS) del mondo. Tra il 14 e il 17 aprile sono state arrestate 37 persone, incluse quattro persone che hanno sviluppato e gestito il servizio attivo dalla fine del 2021.
Phishing kit con abbonamento mensile
All’operazione internazionale, guidata dalla Metropolitan Police del Regno Unito, hanno partecipato le forze di polizia di altri 18 paesi. I servizi come LabHost sono molto popolari perché offrono tutti gli strumenti per effettuare un attacco di phishing e quindi sono accessibili anche a cybercriminali con poche competente. In pratica sono l’equivalente di un servizio di web hosting gestito.
Pagando un abbonamento medio di 249 dollari/mese era possibile ottenere i phishing kit, ospitare le pagine di phishing, contattare le vittime e valutare il successo degli attacchi. Le pagine erano personalizzabili in base ai siti legittimi da imitare (oltre 170). Durante l’indagine sono stati scoperti circa 40.000 domini con quasi 10.000 utenti nel mondo.
Una delle funzionalità offerte era LabRat, un tool per l’esecuzione e il monitoraggio degli attacchi in tempo reale che consentiva di intercettare i codici dell’autenticazione in due fattori. Un altro tool, denominato LabSend, permetteva l’invio degli SMS di smishing. All’operazione hanno collaborato anche Microsoft, Intel 471, Chainalysis, The Shadowserver Foundation e Trend Micro (che ha pubblicato alcuni dettagli tecnici).
Le quattro persone sono state arrestate nel Regno Unito dalla Metropolitan Police che, dopo la chiusura della piattaforma, ha comunicato a 800 utenti di essere sotto indagine. La Australian Federal Police ha invece arrestato cinque persone e spento 207 server.