Kingpin for telefonsvindel får 13 år for å kjøre «iSpoof»-tjenesten

Kingpin for telefonsvindel får 13 år for å kjøre «iSpoof»-tjenesten

Tidsstempel: 22. mai 2023 2:58
Kilde node: 2677389
by Naken sikkerhetsforfatter

I november 2022 skrev vi om en fjerning i flere land mot en Cybercrime-as-a-Service (CaaS) system kjent som iSpoof.

Selv om iSpoof annonserte åpent for virksomheten på et ikke-mørkt nettsted, tilgjengelig med en vanlig nettleser via et ikke-løk-domenenavn, og selv om det teknisk sett kan ha vært lovlig å bruke tjenestene i landet ditt (hvis du er advokat, vil gjerne høre din mening om det problemet når du har sett de historiske skjermbildene nedenfor)...

…en britisk domstol var ikke i tvil om at iSpoof-systemet ble implementert med tanke på livsødeleggende, pengedrenerende mishandling.

Nettstedets konge, Tejay Fletcher, 35, fra London, ble gitt en fengselsstraff på godt over et tiår for å gjenspeile dette faktum.

Vis hvilket som helst nummer du liker

Inntil november 2022, da domenet ble fjernet etter at en beslagsordre ble utstedt til amerikansk rettshåndhevelse, så nettstedets hovedside ut noe sånt som dette:

Du kan vise et hvilket som helst nummer du ønsker på samtaledisplayet, i hovedsak falske anrops-ID.

Og en forklarende del lenger ned på siden gjorde det ganske klart at tjenesten ikke bare var der for å forbedre ditt eget personvern, men for å hjelpe deg med å villede personene du ringte:

Få muligheten til å endre hva noen ser på anrops-ID-skjermen når de mottar en telefonsamtale fra deg. De vil aldri vite at det var deg! Du kan velge hvilket nummer du vil før du ringer. Det motsatte vil være å tro at du er en annen. Det er enkelt og fungerer på alle telefoner over hele verden!

I tilfelle du fortsatt var i tvil om hvordan du kan bruke iSpoof for å hjelpe deg med å rive bort intetanende ofre, her er nettstedets eget markedsføringsvideo, gitt med tillatelse fra Metropolitan Police (bedre kjent som "the Met") i London, Storbritannia:

Som du vil se nedenfor, og i vår tidligere dekning av denne historien var iSpoof-brukere faktisk ikke anonyme i det hele tatt.

Mer enn 50,000 200 brukere av tjenesten er allerede identifisert, med nærmere XNUMX personer som allerede er arrestert og under etterforskning i Storbritannia alene.

Lat som du er en bank...

Enkelt sagt, hvis du registrerte deg for iSpoofs tjeneste, uansett hvor teknisk eller ikke-teknisk du var, kan du umiddelbart begynne å foreta anrop som dukker opp på ofrenes telefoner som om disse anropene kom fra et selskap de allerede stolte på.

Som Metropolitan Police sett det:

Brukere av iSpoof, som måtte betale for å bruke tjenestene deres, utga seg som representanter for banker inkludert Barclays, Santander, HSBC, Lloyds og Halifax [velkjente britiske banker], og utga seg for å advare om mistenkelig aktivitet på kontoene deres.

Svindlere vil oppfordre intetanende medlemmer av publikum til å avsløre sikkerhetsinformasjon som engangspassord for å få pengene sine.

Det totale rapporterte tapet fra de målrettede via iSpoof er £48 millioner i Storbritannia alene, med gjennomsnittlig tap antatt å være £10,000. Fordi svindel er svært underrapportert, antas hele beløpet å være mye høyere.

I løpet av de 12 månedene frem til august 2022 ble det foretatt rundt 10 millioner falske anrop globalt via iSpoof, med rundt 3.5 millioner av dem i Storbritannia.

Interessant nok sier Met at omtrent 10 % av de britiske samtalene (omtrent 350,000 200,000 i alt), til XNUMX XNUMX forskjellige potensielle ofre, varte i mer enn ett minutt, noe som tyder på en overraskende høy suksessrate for svindlere som brukte iSpoof-tjenesten for å gi falske kaller en falsk legitimitet.

Når anrop kommer fra et nummer du er tilbøyelig til å stole på – for eksempel et nummer du bruker så ofte at du har lagt det til i din egen kontaktliste slik at det kommer opp med en identifikator du velger, som f.eks. Credit Card Company, heller enn noe generisk utseende som f.eks +44.121.496.0149...

…det er ikke overraskende mer sannsynlig at du stoler implisitt på den som ringer før du hører hva de har å si.

Tross alt, systemet som sender bort nummeret til den som ringer til mottakeren før anropet i det hele tatt er besvart, er kjent på sjargongen som Anrops-IDeller Telefonnummeridentifikasjon (CLI) utenfor Nord-Amerika.

Det er ikke noen form for ID

De magiske ordene ID og identifisering burde egentlig ikke være der, fordi en teknisk kyndig oppringer (eller en helt ikke-teknisk innringer som brukte iSpoof-tjenesten) kunne sette inn et hvilket som helst nummer de likte når de startet samtalen.

Med andre ord, oppringer-ID forteller deg ikke bare noe om personen som bruker telefonen som ringer deg, men forteller deg heller ikke noe pålitelig om nummeret til telefonen som ringer deg.

Anrops-ID «identifiserer» den som ringer og det anropende nummeret ikke mer pålitelig enn returadressen som er trykt på baksiden av en postkonvolutt, eller Reply-To adresse som står i overskriftene på alle e-poster du mottar.

Alle disse "identifikasjonene" kan velges av opphavsmannen til kommunikasjonen, og kan si stort sett alt som avsenderen eller innringeren velger.

De burde egentlig kalles Hva innringeren vil at du skal tenke, som kan være en pakke med løgner, i stedet for å bli referert til som en ID eller en identifisering.

Og det var forferdelig mye løgn på gang, takket være iSpoof, med Met som hevdet:

Før det ble lagt ned i november 2022, vokste iSpoof stadig. 700 nye brukere registrerte seg på nettstedet hver uke, og det tjente i gjennomsnitt £80,000 59,000 per uke. På tidspunktet for nedleggelse hadde den XNUMX XNUMX registrerte brukere.

Nettstedet tilbød en rekke pakker for brukere som ville kjøpe, i Bitcoin, antall minutter de ønsket å bruke programvaren til for å ringe.

Siden hentet inn massevis av fortjeneste, ifølge Met:

iSpoof tjente litt over 3 millioner pund, og Fletcher tjente rundt 1.7-1.9 millioner pund på å drive og la svindlere ødelegge offerets liv. Han levde en ekstravagant livsstil, og eide en Range Rover verdt 60,000 230,000 pund og en Lamborghini Urus verdt 2022 XNUMX pund. Han dro jevnlig på ferie, med reiser til Jamaica, Malta og Tyrkia alene i XNUMX.

Tidligere i 2023 erkjente Fletcher seg skyldig i lovbruddene med å lage eller levere artikler for bruk i svindel, oppmuntre til eller hjelpe til med å begå et lovbrudd, eie kriminell eiendom og overføring av kriminell eiendom.

I forrige uke ble han gitt en fengselsstraff på 13 år og 4 måneder; 169 andre mennesker i Storbritannia "har nå blitt arrestert mistenkt for bruk av iSpoof [og] er fortsatt under politietterforskning."

Hva gjør jeg?

  • TIPS 1. Betrakt anrops-ID som noe mer enn et hint.

Det viktigste å huske (og å forklare til venner og familie du tror kan være sårbare for denne typen svindel) er dette: NUMMERET TIL ANRINGER SOM VISES PÅ TELEFONEN DIN FØR DU SVARER, BEVISER INGENTING.

  • TIPS 2. Start alltid offisielle anrop selv ved å bruke et nummer du kan stole på.

Hvis du virkelig trenger å kontakte en organisasjon som banken din via telefon, sørg for at du starter samtalen og bruker et nummer enn du har beregnet for deg selv.

Se for eksempel på en nylig offisiell kontoutskrift, sjekk baksiden av bankkortet ditt, eller besøk en filial og spør en medarbeider ansikt til ansikt om det offisielle nummeret du bør ringe i fremtidige nødsituasjoner.

  • TIPS 3. Vær der for sårbare venner og familie.

Forsikre deg om at venner og familie som du tror kan være sårbare for å bli snakket om (eller bli slått, forvirret og skremt) av svindlere, uansett hvordan de først blir kontaktet, vet at de kan og bør henvende seg til deg for å få råd før du samtykker til noe over telefonen.

Og hvis noen ber dem om å gjøre noe som tydeligvis er et inntrenging av deres personlige digitale rom, for eksempel å installere Teamviewer for å la dem komme inn på datamaskinen, lese opp en hemmelig tilgangskode fra skjermen eller fortelle dem et personlig identifikasjonsnummer eller passord...

...sørg for at de vet at det er greit å legge på uten å si et eneste ord lenger, og ta kontakt med deg for å sjekke fakta først.

Tidstempel:

Mer fra Naken sikkerhet