Голова телефонного шахрайства отримує 13 років за роботу служби «iSpoof».

Голова телефонного шахрайства отримує 13 років за роботу служби «iSpoof».

Мітка часу: 22 травня 2023 2:58
Вихідний вузол: 2677389
by Гола безпека письменника

У листопаді 2022 року ми писали про видалення в кількох країнах проти a Система Cybercrime-as-a-Service (CaaS). відомий як iSpoof.

Незважаючи на те, що iSpoof відкрито рекламував свій бізнес на веб-сайті, що не є темним веб-сайтом, доступним за допомогою звичайного браузера через доменне ім’я, яке не є цибулею, і навіть якщо використання його послуг технічно могло бути законним у вашій країні (якщо ви юрист, ми Буду радий почути вашу думку щодо цього питання, коли ви побачите історичні знімки екрана веб-сайту нижче)…

…суд Великої Британії не сумнівався, що систему iSpoof було впроваджено з метою знищення життя та витягування грошей.

Головний голова сайту, 35-річний Теджай Флетчер з Лондона, був засуджений до тюремного ув’язнення на понад десять років, щоб відобразити цей факт.

Покажіть будь-яке число, яке вам подобається

До листопада 2022 року, коли домен було видалено після того, як правоохоронним органам США було видано ордер на арешт, головна сторінка сайту виглядала щось на зразок цього:

Ви можете відображати будь-який номер на дисплеї виклику, по суті, підробляючи свій ідентифікатор абонента.

І пояснювальний розділ нижче на сторінці чітко показав, що послуга існує не лише для покращення вашої конфіденційності, а й для того, щоб допомогти вам ввести в оману людей, яким ви телефонуєте:

Отримайте можливість змінювати те, що хтось бачить на дисплеї ідентифікатора абонента, коли йому телефонують від вас. Вони ніколи не дізнаються, що це був ти! Перш ніж дзвонити, ви можете вибрати будь-який номер. Ваша протилежність буде вважати вас кимось іншим. Це легко та працює на всіх телефонах у всьому світі!

Якщо ви все ще сумніваєтеся, як використовувати iSpoof, щоб допомогти вам викрасти нічого не підозрюючих жертв, ось власний сайт маркетингове відео, люб’язно надано столичною поліцією (більш відомою як «Метрополія») у Лондоні, Великобританія:

Як ви побачите нижче, і в нашому попереднє покриття цієї історії користувачі iSpoof насправді зовсім не були анонімними.

Вже ідентифіковано понад 50,000 200 користувачів сервісу, близько XNUMX осіб вже заарештовано та перебуває під слідством лише у Великобританії.

Прикинутися банком…

Простіше кажучи, якщо ви зареєструєтесь у службі iSpoof, незалежно від того, наскільки ви технічні чи нетехнічні, ви можете негайно почати здійснювати дзвінки, які відображатимуться на телефонах жертв, наче ці дзвінки надходять від компанії, якій вони вже довіряють.

Як столична поліція поклади це:

Користувачі iSpoof, яким доводилося платити за користування його послугами, видавали себе за представників банків, зокрема Barclays, Santander, HSBC, Lloyds і Halifax [відомих британських банків], вдаючи, що попереджають про підозрілу активність на своїх рахунках.

Шахраї заохочували б нічого не підозрюючих громадян розкривати інформацію про безпеку, таку як одноразові паролі, щоб отримати їхні гроші.

Загальний зареєстрований збиток від осіб, націлених через iSpoof, становить 48 мільйонів фунтів стерлінгів лише у Великій Британії, середні збитки вважаються 10,000 XNUMX фунтів стерлінгів. Оскільки про шахрайство повідомляється дуже мало, вважається, що повна сума набагато більша.

За 12 місяців до серпня 2022 року в усьому світі через iSpoof було здійснено близько 10 мільйонів шахрайських дзвінків, причому близько 3.5 мільйона з них – у Великобританії.

Цікаво, що Met повідомляє, що близько 10% цих дзвінків у Великій Британії (загалом близько 350,000 200,000), зроблених XNUMX XNUMX різних потенційних жертв, тривали більше хвилини, що говорить про напрочуд високий рівень успіху для шахраїв, які використовували службу iSpoof, щоб надати свої підробки. називає шахрайством легітимність.

Коли надходять дзвінки з номера, якому ви схильні довіряти – наприклад, номер, який ви використовуєте досить часто, додали його у свій власний список контактів, щоб він отримав ідентифікатор за вашим вибором, наприклад Credit Card Company, а не щось загальне, наприклад +44.121.496.0149...

…не дивно, що ви, швидше за все, беззастережно довірите абоненту, перш ніж почуєте те, що він хоче сказати.

Зрештою, система, яка передає номер абонента одержувачу ще до того, як на дзвінок навіть відповіли, відома на жаргоні як Caller IDабо Ідентифікація телефонної лінії (CLI) за межами Північної Америки.

Це не посвідчення особи

Ці чарівні слова ID та ідентифікація насправді там не повинно бути, тому що технічно підкований абонент (або абсолютно нетехнічний абонент, який використовував службу iSpoof) могли вставити будь-який номер, який їм подобається, ініціюючи дзвінок.

Іншими словами, ідентифікатор абонента не тільки нічого не повідомляє вам про особу, яка користується телефоном і яка вам телефонує, але також нічого достовірного не повідомляє про номер телефону, який вам телефонує.

Ідентифікатор абонента «ідентифікує» абонента та номер, що телефонує, не більш надійно, ніж зворотня адреса, надрукована на звороті звичайного конверта або Reply-To адресу, яка вказана в заголовках будь-яких електронних листів, які ви отримуєте.

Усі ці «ідентифікатори» можуть бути обрані ініціатором зв’язку, і вони можуть сказати майже все, що вибере відправник або абонент.

Їх справді треба назвати Те, що абонент хоче, щоб ви думали, що може бути купою брехні, а не як ID або ідентифікація.

І було дуже багато брехні, завдяки iSpoof, і Met стверджував:

До того, як його закрили в листопаді 2022 року, iSpoof постійно зростав. 700 нових користувачів реєструвалися на сайті щотижня, і він заробляв у середньому £80,000 59,000 на тиждень. На момент закриття було XNUMX XNUMX зареєстрованих користувачів.

Веб-сайт пропонував низку пакетів для користувачів, які купували в біткойнах кількість хвилин, які вони хотіли використовувати для здійснення дзвінків у програмному забезпеченні.

За даними Met, сайт отримав величезний прибуток:

iSpoof заробив трохи більше 3 мільйонів фунтів стерлінгів, а Флетчер отримав прибуток приблизно 1.7-1.9 мільйона фунтів стерлінгів від роботи та надання можливості шахраям руйнувати життя жертв. Він вів екстравагантний спосіб життя, володів Range Rover вартістю £60,000 230,000 і Lamborghini Urus вартістю £2022 XNUMX. Він регулярно їздив у відпустку, лише у XNUMX році відвідав Ямайку, Мальту та Туреччину.

Раніше у 2023 році Флетчер визнав себе винним у злочинах, пов’язаних із виготовленням або постачанням предметів для використання в шахрайстві, заохоченням або сприянням у вчиненні злочину, володінні злочинним майном і передачі злочинного майна.

Минулого тижня його засудили до 13 років і 4 місяців позбавлення волі; 169 інших людей у ​​Великобританії «наразі заарештовано за підозрою у використанні iSpoof [і] залишається під слідством поліції».

Що ж робити?

  • ПОРАДА 1. Ставтеся до ідентифікатора абонента як до підказки.

Найважливіша річ, про яку слід пам’ятати (і пояснити друзям і родині, які, на вашу думку, можуть бути вразливими до такого роду шахрайства), полягає в наступному: НОМЕР АВОНЕРТА, ЯКИЙ ВІДОБРАЖАЄТЬСЯ НА ВАШОМУ ТЕЛЕФОНІ ПЕРЕД ТИШЕ ВИ ВІДПОВІДЕТЕ, НІЧОГО НЕ ДОВІДЧАЄ.

  • ПОРАДА 2. Завжди ініціюйте офіційні дзвінки самостійно, використовуючи номер, якому можна довіряти.

Якщо вам справді потрібно зв’язатися з такою організацією, як ваш банк, телефоном, переконайтеся, що ви ініціюєте дзвінок і використовуйте номер, який ви визначили для себе.

Наприклад, подивіться на нещодавню офіційну виписку з банківського рахунку, перевірте зворотний бік вашої банківської картки або навіть відвідайте відділення та запитайте в співробітника віч-на-віч офіційний номер, за яким вам слід телефонувати в майбутніх екстрених ситуаціях.

  • ПОРАДА 3. Будьте поруч із вразливими друзями та родиною.

Переконайтеся, що друзі та родина, які, на вашу думку, можуть бути вразливими до солодких балачок (або побиття лоба, збентеження та залякування) шахраями, незалежно від того, як з ними вперше зв’язалися, знають, що вони можуть і повинні звернутися до вас за порадою, перш ніж погоджуватися до будь-чого по телефону.

І якщо хтось попросить їх зробити щось, що явно є вторгненням у їхній особистий цифровий простір, як-от встановити Teamviewer, щоб дозволити їм підключитися до комп’ютера, прочитати секретний код доступу з екрана або повідомити їм персональний ідентифікаційний номер чи пароль…

…переконайтеся, що вони знають, що це нормально просто покласти трубку, не сказавши більше жодного слова, і спочатку зв’язатися з вами, щоб перевірити факти.

Часова мітка:

Більше від Гола безпека