Penipu telepon mendapat 13 tahun untuk menjalankan layanan "iSpoof".

Penipu telepon mendapat 13 tahun untuk menjalankan layanan "iSpoof".

Stempel Waktu: 22 Mei 2023 2
Node Sumber: 2677389
by Penulis Keamanan Telanjang

Pada November 2022, kami menulis tentang penghapusan multi-negara terhadap a Sistem Cybercrime-as-a-Service (CaaS). dikenal sebagai iSpoof.

Meskipun iSpoof diiklankan secara terbuka untuk bisnis di situs non-darkweb, dapat dijangkau dengan browser biasa melalui nama domain non-onion, dan meskipun menggunakan layanannya mungkin secara teknis legal di negara Anda (jika Anda seorang pengacara, kami Saya ingin mendengar pendapat Anda tentang masalah itu setelah Anda melihat tangkapan layar situs web historis di bawah)…

…pengadilan Inggris yakin bahwa sistem iSpoof diterapkan dengan mempertimbangkan penyimpangan yang merusak hidup dan menguras uang.

Gembong situs, Tejay Fletcher, 35, dari London, dijatuhi hukuman penjara lebih dari satu dekade untuk mencerminkan fakta itu.

Tunjukkan nomor yang Anda suka

Hingga November 2022, ketika domain dihapus setelah surat perintah penyitaan dikeluarkan untuk penegak hukum AS, halaman utama situs tampak sesuatu seperti ini:

Anda dapat menampilkan nomor apa pun yang Anda inginkan pada tampilan panggilan, pada dasarnya memalsukan ID penelepon Anda.

Dan bagian penjelasan lebih jauh di bawah halaman membuatnya cukup jelas bahwa layanan itu tidak hanya ada untuk meningkatkan privasi Anda sendiri, tetapi untuk membantu Anda menyesatkan orang yang Anda panggil:

Dapatkan kemampuan untuk mengubah apa yang dilihat seseorang di tampilan ID penelepon mereka saat mereka menerima panggilan telepon dari Anda. Mereka tidak akan pernah tahu itu Anda! Anda dapat memilih nomor yang Anda inginkan sebelum menelepon. Kebalikan Anda akan berpikir Anda adalah orang lain. Mudah dan berfungsi di setiap ponsel di seluruh dunia!

Jika Anda masih ragu tentang bagaimana Anda dapat menggunakan iSpoof untuk membantu Anda meretas korban yang tidak menaruh curiga, inilah situsnya sendiri video pemasaran, diberikan atas izin Polisi Metropolitan (lebih dikenal sebagai "the Met") di London, Inggris Raya:

Seperti yang akan Anda lihat di bawah, dan di kami cakupan sebelumnya dari cerita ini, pengguna iSpoof sebenarnya tidak anonim sama sekali.

Lebih dari 50,000 pengguna layanan telah diidentifikasi, dengan hampir 200 orang telah ditangkap dan sedang diselidiki di Inggris saja.

Berpura-pura menjadi bank…

Sederhananya, jika Anda mendaftar untuk layanan iSpoof, tidak peduli seberapa teknis atau non-teknis Anda, Anda dapat segera mulai melakukan panggilan yang akan muncul di ponsel korban seolah-olah panggilan tersebut berasal dari perusahaan yang sudah mereka percayai.

Sebagai Polda Metro Jaya letakkan:

Pengguna iSpoof, yang harus membayar untuk menggunakan layanannya, menyamar sebagai perwakilan bank termasuk Barclays, Santander, HSBC, Lloyds dan Halifax [bank Inggris terkenal], berpura-pura memperingatkan aktivitas mencurigakan di akun mereka.

Penipu akan mendorong anggota masyarakat yang tidak menaruh curiga untuk mengungkapkan informasi keamanan seperti kode akses satu kali untuk mendapatkan uang mereka.

Total kerugian yang dilaporkan dari mereka yang ditargetkan melalui iSpoof adalah £48 juta di Inggris saja, dengan kerugian rata-rata diyakini £10,000. Karena penipuan sangat jarang dilaporkan, jumlah keseluruhan diyakini jauh lebih tinggi.

Dalam 12 bulan hingga Agustus 2022, sekitar 10 juta panggilan penipuan dilakukan secara global melalui iSpoof, dengan sekitar 3.5 juta di antaranya dilakukan di Inggris.

Menariknya, Met mengatakan bahwa sekitar 10% dari panggilan Inggris tersebut (sekitar 350,000 secara keseluruhan), dilakukan ke 200,000 calon korban yang berbeda, berlangsung lebih dari satu menit, menunjukkan tingkat keberhasilan yang sangat tinggi bagi penipu yang menggunakan layanan iSpoof untuk memberikan informasi palsu mereka. menyebut aura legitimasi palsu.

Ketika panggilan datang dari nomor yang cenderung Anda percayai – misalnya, nomor yang cukup sering Anda gunakan sehingga Anda telah menambahkannya ke dalam daftar kontak Anda sendiri sehingga muncul dengan pengidentifikasi pilihan Anda, seperti Credit Card Company, daripada sesuatu yang tampak umum seperti +44.121.496.0149...

… tidak mengherankan jika Anda lebih cenderung memercayai penelepon secara implisit sebelum Anda mendengar apa yang mereka katakan.

Lagi pula, sistem yang mengirimkan nomor penelepon ke penerima bahkan sebelum panggilan dijawab dikenal dalam jargon sebagai ID penelepon, atau Memanggil Line Identifikasi (CLI) di luar Amerika Utara.

Itu bukan semacam ID

Kata-kata ajaib itu ID dan identifikasi seharusnya tidak benar-benar ada, karena penelepon yang paham teknis (atau penelepon non-teknis yang menggunakan layanan iSpoof) dapat memasukkan nomor apa pun yang mereka suka saat memulai panggilan.

Dengan kata lain, ID Penelepon tidak hanya memberi tahu Anda apa pun tentang orang yang menggunakan telepon yang menelepon Anda, tetapi juga tidak memberi tahu Anda apa pun yang dapat dipercaya tentang nomor telepon yang menelepon Anda.

ID penelepon "mengidentifikasi" penelepon dan nomor pemanggil tidak lebih andal dari alamat pengirim yang tercetak di belakang amplop surat, atau Reply-To alamat yang ada di header setiap email yang Anda terima.

Semua "identifikasi" itu dapat dipilih oleh pencetus komunikasi, dan dapat mengatakan hampir semua hal yang dipilih oleh pengirim atau penelepon.

Mereka harus benar-benar dipanggil Apa yang Penelepon Ingin Anda Pikirkan, Yang Bisa Jadi Kumpulan Kebohongan, bukannya disebut sebagai ID atau identifikasi.

Dan ada banyak sekali kebohongan yang terjadi, terima kasih kepada iSpoof, dengan Met mengklaim:

Sebelum ditutup pada November 2022, iSpoof terus berkembang. 700 pengguna baru mendaftar ke situs ini setiap minggu dan menghasilkan rata-rata £80,000 per minggu. Pada titik penutupan itu memiliki 59,000 pengguna terdaftar.

Situs web menawarkan sejumlah paket untuk pengguna yang akan membeli, dalam Bitcoin, jumlah menit yang mereka inginkan untuk menggunakan perangkat lunak untuk melakukan panggilan.

Situs ini meraup banyak keuntungan, menurut Met:

iSpoof menghasilkan lebih dari £ 3 juta dengan Fletcher mendapat untung sekitar £ 1.7- £ 1.9 juta dari menjalankan dan memungkinkan penipu menghancurkan kehidupan korban. Dia menjalani gaya hidup mewah, memiliki Range Rover senilai £60,000 dan Lamborghini Urus senilai £230,000. Dia secara teratur pergi berlibur, dengan perjalanan ke Jamaika, Malta, dan Turki pada tahun 2022 saja.

Sebelumnya pada tahun 2023, Fletcher mengaku bersalah atas pelanggaran membuat atau memasok barang untuk digunakan dalam penipuan, mendorong atau membantu pelaksanaan suatu pelanggaran, memiliki properti kriminal, dan mentransfer properti kriminal.

Pekan lalu dia dijatuhi hukuman penjara 13 tahun 4 bulan; 169 orang lainnya di Inggris "sekarang telah ditangkap karena dicurigai menggunakan iSpoof [dan] tetap dalam penyelidikan polisi."

Apa yang harus dilakukan?

  • TIPS 1. Perlakukan Caller ID tidak lebih dari sekedar petunjuk.

Hal yang paling penting untuk diingat (dan untuk menjelaskan kepada teman dan keluarga mana pun yang menurut Anda rentan terhadap penipuan semacam ini) adalah ini: NOMOR PENELEPON YANG MUNCUL DI PONSEL ANDA SEBELUM ANDA MENJAWAB TIDAK MEMBUKTIKAN APA PUN.

  • TIP 2. Selalu lakukan panggilan resmi sendiri, menggunakan nomor yang dapat Anda percayai.

Jika Anda benar-benar perlu menghubungi organisasi seperti bank Anda melalui telepon, pastikan Anda melakukan panggilan, dan gunakan nomor yang Anda buat sendiri.

Misalnya, lihat laporan bank resmi baru-baru ini, periksa bagian belakang kartu bank Anda, atau bahkan kunjungi cabang dan tanyakan kepada anggota staf secara langsung nomor resmi yang harus Anda hubungi dalam keadaan darurat di masa mendatang.

  • TIP 3. Hadir untuk teman dan keluarga yang rentan.

Pastikan bahwa teman dan keluarga yang menurut Anda rentan untuk dibujuk (atau digertak, bingung, dan diintimidasi) oleh penipu, tidak peduli bagaimana mereka pertama kali dihubungi, tahu bahwa mereka dapat dan harus meminta saran kepada Anda sebelum menyetujui apa pun melalui telepon.

Dan jika ada yang meminta mereka untuk melakukan sesuatu yang jelas-jelas mengganggu ruang digital pribadi mereka, seperti memasang Teamviewer agar mereka dapat masuk ke komputer, membacakan kode akses rahasia dari layar, atau memberi tahu mereka nomor identifikasi pribadi atau kata sandi…

…pastikan mereka tahu tidak apa-apa untuk menutup telepon tanpa mengucapkan sepatah kata pun, dan menghubungi Anda untuk memeriksa faktanya terlebih dahulu.

Stempel Waktu:

Lebih dari Keamanan Telanjang