Al termine di una lunga indagine avviata nel 2022 e dopo aver ricevuto supporto tecnico da Group-IB, le forze dell’ordine di sei paesi coordinati da Europol hanno smantellato iServer, una nota piattaforma PaaS (Phishing-as-a-Service) utilizzata per sbloccare oltre 1,2 milioni di telefoni rubati o smarriti. Sono state inoltre arrestate 17 persone.
Amministratori, unlocker e ladri
iServer era attiva dal 2018 e offriva il servizio di sblocco da almeno cinque anni. L’amministratore di nazionalità argentina è stato arrestato. Il cybercriminale vendeva l’accesso alla piattaforma ai cosiddetti unlocker, altri cybercriminali che sfruttavano la funzionalità per rubare le credenziali di login attraverso il tradizionale phishing via email oppure tramite SMS (smishing) e chiamate vocali (vishing).
Dopo aver rubato i telefoni alle vittime (oltre 480.000), i ladri utilizzavano il servizio offerto dagli unlocker (oltre 2.000). La piattaforma consentiva non solo di ottenere passcode e credenziali di accesso, ma anche di aggirare il Lost Mode degli iPhone.
iServer consentiva di automatizzare la creazione delle pagine di phishing con aspetto simile a quelle di note piattaforme cloud mobile. Nel messaggio e nell’email era presente il link al sito fasullo. L’ignara vittima inseriva quindi le credenziali di login che gli unlocker usavano per sbloccare il dispositivo, disattivare il Lost Mode e scollegare il telefono dall’account del legittimo proprietario.
Tra il 10 e il 17 settembre, le forze dell’ordine hanno arrestato 17 persone e sequestrato 921 dispositivi, principalmente telefoni, ma anche veicoli e armi. Ovviamente sono stati chiusi i domini usati da iServer e dai siti di phishing. I paesi interessati sono Spagna, Argentina, Cile, Colombia, Ecuador e Perù.