Często klienci pytają czy warto inwestować w cyberbezpieczeństwo jako usługę? Przecież ataki „nie są częste, a koszty są za to regularne”. Warto przy takim pytaniu wskazać, że cyberprzestępcy nie mają takich wątpliwości a tzw. CaaS (Cybercrime-as-a-Service) cieszy się rosnącym zainteresowaniem środowisk przestępczych. Jedna z grup świadczących tego typu usługi została niedawno rozbita przez Europol, dzięki czemu opinia publiczna mogła zobaczyć jak dużą skalę oraz dobrą organizację posiadają tego typu organizacje.
Europol z powodzeniem zlikwidował wysoce zorganizowaną sieć cyberprzestępczości jako usługi (CaaS), która ułatwiała prowadzenie oszustw cyfrowych na dużą skalę oraz innych form przestępczości cybernetycznej w Europie i poza nią. Operacja o kryptonimie „SIMCARTEL” była skierowana przeciwko wyrafinowanej organizacji przestępczej, która prowadziła rozległą farmę kart SIM – sieć urządzeń zdolnych do jednoczesnego zarządzania tysiącami kart SIM.
Europol podkreślił, że likwidacja SIMCARTEL stanowi znaczący kamień milowy w walce z modelami CaaS, które nadal obniżają barierę wejścia dla cyberprzestępców poprzez sprzedaż lub wynajem możliwości technicznych, które wcześniej były ograniczone do wykwalifikowanych hakerów. Agencja potwierdziła swoje zaangażowanie w ściganie takich infrastruktur przestępczych i wzmacnianie odporności europejskiego środowiska cyfrowego na zorganizowane cyberzagrożenia.
Sieć umożliwiła sprawcom na całym świecie popełnianie szerokiego zakresu cyberprzestępstw związanych z telekomunikacją – od oszustw typu phishing i smishing po oszustwa na dużą skalę i kradzież tożsamości – przy jednoczesnym ukrywaniu swojej prawdziwej tożsamości i śladów cyfrowych.
Sercem tej operacji była platforma internetowa oferująca numery telefoniczne zarejestrowane na osoby z ponad 80 krajów. Przestępcy mogli wynająć te numery i wykorzystać je do tworzenia fałszywych kont w mediach społecznościowych, komunikatorach i platformach komunikacyjnych. Pozwalało to przestępcom ominąć procesy weryfikacji tożsamości, angażować się w oszustwa internetowe i kontaktować się z ofiarami anonimowo.
Usługa przestępcza, która funkcjonowała jako model „crime-as-a-service” (przestępczość jako usługa), skutecznie działała jako cyfrowa tarcza dla przestępców. Ukrywając się za numerami zarejestrowanymi za granicą, sprawcy byli w stanie przeprowadzać ataki phishingowe, oszukiwać ofiary i organizować przestępstwa finansowe bez obawy o natychmiastowe wykrycie.
W akcji uczestniczyło wiele krajów i agencji, co doprowadziło do wstrzymania działalności sieci. Operacja przyniosła znaczące rezultaty:
- przeprowadzono 26 przeszukań w kilku jurysdykcjach
- aresztowano 5 osób
- skonfiskowano około 1200 urządzeń SIM-box, obsługujących ponad 40 000 aktywnych kart SIM
- konfiskata setek tysięcy dodatkowych kart SIM
- likwidacja pięciu serwerów stanowiących podstawę nielegalnej usługi
- przejęcie dwóch stron internetowych — gogetsms.com i apisim.com — i zastąpienie ich stronami informacyjnymi organów ścigania
- zamrożenie 431 000 EUR na rachunkach bankowych podejrzanych oraz 333 000 USD w portfelach kryptowalutowych
- konfiskata czterech luksusowych pojazdów
Wstępne szacunki wskazują, że za pomocą fałszywej usługi opartej na kartach SIM utworzono ponad 49 milionów kont internetowych. Szkody finansowe wyrządzone przez użytkowników tych nielegalnych numerów telefonicznych szacuje się na kilka milionów euro, co dotknęło niezliczoną liczbę ofiar w całej Europie i poza nią.
Śledczy ujawnili, że usługa ta była kluczowym elementem umożliwiającym popełnienie wielu poważnych przestępstw, które wymagały anonimowości. Obejmowały one phishing, smishing, oszustwa inwestycyjne, oszustwa na rynkach internetowych, wymuszenia, a nawet dystrybucję materiałów przedstawiających wykorzystywanie seksualne dzieci.
Phishing polega na podszywaniu się cyberprzestępców pod zaufane podmioty za pośrednictwem wiadomości e-mail, połączeń telefonicznych lub stron internetowych w celu nakłonienia ofiar do ujawnienia poufnych danych, takich jak hasła, dane bankowe lub dane osobowe. Smishing — odmiana phishingu — odbywa się za pośrednictwem wiadomości tekstowych, często podszywających się pod pilne powiadomienia od legalnych instytucji, nakłaniających ofiary do kliknięcia złośliwych linków lub ujawnienia prywatnych informacji. Przykłady oszustw umożliwionych przez sieć obejmują:
Oszustwa na platformach internetowych: Przestępcy tworzyli fałszywe profile, korzystając z wynajętych numerów SIM, aby przeprowadzać oszukańcze transakcje na platformach z towarami używanymi, wykorzystując ofiary poprzez wprowadzające w błąd ogłoszenia lub schematy płatności.
Oszustwo „córka–syn”: Przestępcy podawali się za członków rodziny znajdujących się w trudnej sytuacji, zazwyczaj za pośrednictwem WhatsApp, twierdząc, że mają nagłą sytuację i wywierając presję na ofiary, aby przekazały znaczne kwoty.
Oszustwa inwestycyjne: Ofiary były przekonywane przez telefon do inwestowania w fałszywe okazje, a sprawcy czasami używali oprogramowania zdalnego dostępu, aby bezpośrednio opróżniać konta.
Fałszywe sklepy i strony internetowe banków: Oszuści wykorzystywali wynajęte numery w fałszywych ogłoszeniach prawnych, aby nadać wiarygodność podrobionym stronom internetowym handlu elektronicznego lub podszywać się pod przedstawicieli banków.
Oszustwa z udziałem fałszywych funkcjonariuszy policji: w jednym z powszechnych schematów podejrzani podszywali się pod funkcjonariuszy organów ścigania – czasami nawet okazując sfałszowane dokumenty tożsamości – aby wyłudzić pieniądze, szczególnie od ofiar rosyjskojęzycznych.
Ta infrastruktura przestępcza charakteryzowała się niezwykłą złożonością technologiczną i planowaniem operacyjnym. Profesjonalnie wyglądające strony internetowe i płynnie działające interfejsy użytkownika skrywały mroczny świat usług cyberprzestępczych. Za kulisami wspólnicy pozyskiwali i zarządzali tysiącami kart SIM w prawie 80 krajach. Karty te były systematycznie integrowane z urządzeniami SIM-box — sprzętem umożliwiającym jednoczesne korzystanie z wielu kart SIM do przekierowywania połączeń i wiadomości, skutecznie maskując źródło połączeń i omijając kontrole telekomunikacyjne.
Śledczy zidentyfikowali jednego z głównych podejrzanych jako osobę, wobec której toczyło się już postępowanie karne w Estonii w związku z niepowiązanymi przestępstwami, w tym podpaleniem i wymuszeniem, co ilustruje nakładanie się tradycyjnej przestępczości zorganizowanej i nowoczesnych operacji cybernetycznych.
Likwidacja sieci była wynikiem wielomiesięcznej, skrupulatnej współpracy europejskich organów ścigania. Operację koordynowały Eurojust i Europol, pomagając agencjom krajowym w planowaniu i przeprowadzeniu akcji na Łotwie. We wspólnym śledztwie uczestniczyły organy z Austrii, Estonii, Finlandii i Łotwy, wspierane przez ekspertów ds. cyberprzestępczości i prokuratorów z całego kontynentu.
Europol wysłał specjalistów do Rygi, aby zapewnić pomoc na miejscu i wiedzę kryminalistyczną. We współpracy z fundacją Shadowserver Foundation agencja zlikwidowała infrastrukturę techniczną sieci, zabezpieczyła dowody cyfrowe i zastąpiła nielegalne strony internetowe powiadomieniami organów ścigania. Europol ułatwił również analizę OSINT (open-source intelligence) oraz cotygodniowe spotkania koordynacyjne między agencjami w celu zapewnienia spójności operacyjnej.
Wśród uczestniczących agencji znalazły się:
- Austria: Federalna Służba Wywiadu Kryminalnego; Wydział Kryminalny w Salzburgu; Prokuratura w Wiedniu
- Estonia: Estońska Policja; Prokuratura Okręgu Północnego
- Finlandia: Krajowa Jednostka ds. Przestępstw Cybernetycznych; Krajowe Biuro Śledcze
- Łotwa: Policja Państwowa; Prokuratura Okręgu Sądowego w Rydze; Prokuratura Północna w Rydze
Władze podkreślają, że prawdziwa skala działalności sieci jest nadal badana. Złożoność infrastruktury i liczba zaangażowanych klientów sugerują, że ta sieć SIM-boxów była jedną z największych tego typu. Trwają dalsze dochodzenia mające na celu prześledzenie przepływów finansowych, identyfikację dodatkowych podejrzanych oraz wsparcie ofiar przestępstw popełnionych dzięki tej usłudze.
