Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Telefoonoplichter kingpin krijgt 13 jaar voor het uitvoeren van de "iSpoof" -service

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 134
by Naked Security-schrijver

In november 2022 schreven we over een verwijdering in meerdere landen tegen a Cybercrime-as-a-Service (CaaS)-systeem bekend als iSpof.

Hoewel iSpoof openlijk adverteerde voor bedrijven op een niet-darkweb-site, bereikbaar met een gewone browser via een niet-onion-domeinnaam, en hoewel het gebruik van zijn diensten technisch gezien legaal zou kunnen zijn in uw land (als u een advocaat bent, zullen we Ik hoor graag uw mening over dat probleem als u de onderstaande schermafbeeldingen van de historische website hebt gezien)...

…een Britse rechtbank twijfelde er niet aan dat het iSpoof-systeem werd geïmplementeerd met het oog op levensvernietigende, geldverslindende misdrijven.

De spil van de site, Tejay Fletcher, 35, uit Londen, kreeg een gevangenisstraf van ruim tien jaar om dat feit te weerspiegelen.

Laat elk gewenst nummer zien

Tot november 2022, toen het domein werd verwijderd nadat een bevel tot inbeslagname was uitgevaardigd aan de Amerikaanse wetshandhaving, zag de hoofdpagina van de site er zoiets als dit:

U kunt elk gewenst nummer op het oproepscherm laten zien, in feite vervalst u uw beller-ID.

En een verklarend gedeelte verderop op de pagina maakte vrij duidelijk dat de service er niet alleen was om je eigen privacy te verbeteren, maar om je te helpen de mensen die je belde te misleiden:

Krijg de mogelijkheid om te wijzigen wat iemand op zijn nummerweergave ziet wanneer ze een telefoontje van u ontvangen. Ze zullen nooit weten dat jij het was! U kunt elk gewenst nummer kiezen voordat u belt. Je tegenpool zal denken dat je iemand anders bent. Het is gemakkelijk en werkt op elke telefoon wereldwijd!

Voor het geval je nog steeds twijfelde over hoe je iSpoof zou kunnen gebruiken om nietsvermoedende slachtoffers op te lichten, hier is de eigen site marketing video, ter beschikking gesteld door de Metropolitan Police (beter bekend als "the Met") in Londen, VK:

Zoals je hieronder en in ons zult zien vorige dekking van dit verhaal waren iSpoof-gebruikers helemaal niet anoniem.

Er zijn al meer dan 50,000 gebruikers van de dienst geïdentificeerd, met bijna 200 mensen die al zijn gearresteerd en alleen al in het VK worden onderzocht.

Doe alsof je een bank bent...

Simpel gezegd, als je je aanmeldt voor de service van iSpoof, ongeacht hoe technisch of niet-technisch je bent, kun je meteen beginnen met het plaatsen van oproepen die op de telefoons van de slachtoffers verschijnen alsof die oproepen afkomstig zijn van een bedrijf dat ze al vertrouwden.

Zoals de Metropolitan Police zet het:

Gebruikers van iSpoof, die moesten betalen om hun diensten te gebruiken, deden zich voor als vertegenwoordigers van banken, waaronder Barclays, Santander, HSBC, Lloyds en Halifax [bekende Britse banken], en deden alsof ze waarschuwden voor verdachte activiteiten op hun rekeningen.

Oplichters zouden de nietsvermoedende leden van het publiek aanmoedigen om beveiligingsinformatie zoals eenmalige toegangscodes vrij te geven om hun geld te verkrijgen.

Het totale gerapporteerde verlies van degenen die via iSpoof zijn getarget, is alleen al in het VK £ 48 miljoen, met een gemiddeld verlies van £ 10,000. Omdat fraude enorm weinig wordt gemeld, wordt aangenomen dat het volledige bedrag veel hoger is.

In de 12 maanden tot augustus 2022 werden wereldwijd ongeveer 10 miljoen frauduleuze oproepen gedaan via iSpoof, waarvan ongeveer 3.5 miljoen in het VK.

Interessant is dat de Met zegt dat ongeveer 10% van die telefoontjes in het VK (ongeveer 350,000 in totaal), naar 200,000 verschillende potentiële slachtoffers, meer dan een minuut duurde, wat wijst op een verrassend hoog slagingspercentage voor oplichters die de iSpoof-service gebruikten om hun valse roept een frauduleuze air van legitimiteit op.

Wanneer er oproepen binnenkomen van een nummer dat u geneigd bent te vertrouwen, bijvoorbeeld een nummer dat u zo vaak gebruikt dat u het aan uw eigen lijst met contactpersonen hebt toegevoegd, zodat het een identificatie naar keuze krijgt, zoals Credit Card Company, in plaats van iets generieks zoals +44.121.496.0149...

... is het niet verwonderlijk dat u de beller eerder impliciet vertrouwt voordat u hoort wat ze te zeggen hebben.

Het systeem dat het nummer van de beller doorgeeft aan de ontvanger voordat de oproep zelfs maar is beantwoord, staat in het jargon immers bekend als Caller IDof Identificatie van de oproeplijn (CLI) buiten Noord-Amerika.

Het is niet een soort identiteitsbewijs

Die magische woorden ID en identificatie zou er eigenlijk niet moeten zijn, omdat een technisch onderlegde beller (of een volledig niet-technische beller die de iSpoof-service gebruikte) kon elk gewenst nummer invoegen bij het initiëren van de oproep.

Met andere woorden, nummerweergave vertelt u niet alleen niets over de persoon die de telefoon gebruikt die u belt, maar vertelt u ook niets betrouwbaars over het nummer van de telefoon die u belt.

Beller-ID "identificeert" de beller en het oproepende nummer niet betrouwbaarder dan het retouradres dat op de achterkant van een postenvelop staat, of de Reply-To adres dat in de kopteksten van alle e-mails die u ontvangt.

Al die "identificaties" kunnen worden gekozen door de afzender van de communicatie en kunnen vrijwel alles zeggen wat de afzender of beller kiest.

Ze zouden eigenlijk genoemd moeten worden Wat de beller wil dat je denkt, wat een hoop leugens kan zijn, in plaats van te worden aangeduid als een ID of identificatie.

En er werd ontzettend veel gelogen, dankzij iSpoof, waarbij de Met beweerde:

Voordat het in november 2022 werd stopgezet, groeide iSpoof voortdurend. Elke week registreerden 700 nieuwe gebruikers zich bij de site en verdienden ze gemiddeld £ 80,000 per week. Op het moment van sluiting had het 59,000 geregistreerde gebruikers.

De website bood een aantal pakketten aan voor gebruikers die in Bitcoin het aantal minuten zouden kopen dat ze de software wilden gebruiken om te bellen.

De site haalde volgens de Met veel winst binnen:

iSpoof verdiende iets meer dan £ 3 miljoen, waarbij Fletcher ongeveer £ 1.7 - £ 1.9 miljoen profiteerde van het uitvoeren en in staat stellen van fraudeurs om het leven van slachtoffers te ruïneren. Hij leefde een extravagante levensstijl en bezat een Range Rover ter waarde van £ 60,000 en een Lamborghini Urus ter waarde van £ 230,000. Regelmatig ging hij op vakantie, met alleen al in 2022 reizen naar Jamaica, Malta en Turkije.

Eerder in 2023 pleitte Fletcher schuldig aan de misdrijven van het maken of leveren van artikelen voor gebruik bij fraude, het aanmoedigen of helpen bij het plegen van een misdrijf, het bezit van crimineel eigendom en het overdragen van crimineel eigendom.

Vorige week kreeg hij een celstraf van 13 jaar en 4 maanden; 169 andere mensen in het VK "zijn nu gearresteerd op verdenking van het gebruik van iSpoof [en] blijven onder politieonderzoek."

Wat te doen?

  • TIP 1. Beschouw nummerherkenning als niets meer dan een hint.

Het belangrijkste om te onthouden (en uit te leggen aan vrienden en familie waarvan u denkt dat ze kwetsbaar zijn voor dit soort oplichting) is dit: HET NUMMER VAN DE BELLER DAT OP UW TELEFOON VERSCHIJNT VOORDAT U OPNEEMT, BEWIJST NIETS.

  • TIP 2. Start officiële gesprekken altijd zelf met een betrouwbaar nummer.

Als u echt telefonisch contact moet opnemen met een organisatie zoals uw bank, zorg er dan voor dat u de oproep start en gebruik een nummer dat u zelf hebt bedacht.

Bekijk bijvoorbeeld een recent officieel bankafschrift, controleer de achterkant van uw bankpas of bezoek zelfs een kantoor en vraag een medewerker persoonlijk om het officiële nummer dat u moet bellen in toekomstige noodsituaties.

  • TIP 3. Wees er voor kwetsbare vrienden en familie.

Zorg ervoor dat vrienden en familie van wie u denkt dat ze kwetsbaar kunnen zijn voor liefkozing (of vernederd, verward en geïntimideerd) door oplichters, ongeacht hoe ze voor het eerst worden benaderd, weten dat ze zich tot u kunnen en moeten wenden voor advies voordat ze akkoord gaan alles via de telefoon.

En als iemand hen vraagt ​​om iets te doen dat duidelijk inbreuk maakt op hun persoonlijke digitale ruimte, zoals het installeren van Teamviewer om ze toegang te geven tot de computer, het uitlezen van een geheime toegangscode van het scherm of het vertellen van een persoonlijk identificatienummer of wachtwoord...

... zorg ervoor dat ze weten dat het OK is om gewoon op te hangen zonder een woord verder te zeggen, en contact met je op te nemen om eerst de feiten te controleren.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.