盗難スマホ120万台のロックを解除するため認証情報をフィッシングしていた「iServer」が閉鎖される

ユーロポール(欧州刑事警察機構)が、盗難・紛失により犯罪者の手に渡ったスマートフォンのロック解除を手助けしていたとされる国際的な犯罪ネットワークを解体したと発表しました。

Criminal phishing network resulting in over 480 000 victims worldwide busted in Spain and Latin America | Europol
https://www.europol.europa.eu/media-press/newsroom/news/criminal-phishing-network-resulting-in-over-480-000-victims-worldwide-busted-in-spain-and-latin-america

Group-IB contributes to international “Operation Kaerb” | Group-IB
https://www.group-ib.com/media-center/press-releases/operation-kaerb/

Ever wonder how crooks get the credentials to unlock stolen phones? | Ars Technica
https://arstechnica.com/security/2024/09/cops-bust-website-crooks-used-to-unlock-1-2-million-stolen-mobile-phones/

ユーロポールによると、スマートフォンのロックを解除するため、持ち主にフィッシング行為を仕掛ける犯罪が横行していたとのこと。フィッシング行為を代行するウェブサイトを開発・運営したとして、アルゼンチン国籍の男が新たに逮捕されました。

捜査当局の発表によると、この男は「iServer」というウェブサイトを立ち上げ、スマートフォンのロック解除を実行する犯罪者と、他人のスマートフォンを手に入れた犯罪者を結びつけていたそうです。男はサービスの利用料金を請求し、稼いでいました。

by Europol

iServerの存在を明らかにしたセキュリティ企業・Group-IBは、iServerがどのように運営されていたのかを詳しく解説しています。

iServerに関与するのは主に「プラットフォームの管理者」「ロック解除の実行者」「ロック解除を依頼する犯罪者」の3者です。プラットフォームの管理者は、デバイスのパスワードやユーザーの認証情報、個人情報を被害者から盗むことを可能にするウェブインターフェイスを開発し、これらシステムへのアクセス権をロック解除の実行者に販売していました。

システムへアクセスしたロック解除の実行者は、ロック解除を依頼する犯罪者の要求に従い、iServerが提供するドメインまたは独自のドメインでスマートフォンの持ち主にフィッシング攻撃を仕掛けます。iServerのドメインを使用した場合、iServerは独自のフィッシングページを作成して悪意のあるリンクを含むSMSを被害者に送信します。

以下は、人気のある「紛失端末捜索サービス」を装ったiServerのフィッシングページです。

最終的に、ロック解除を依頼する犯罪者はiServerを通じて得られた認証情報を受け取り、電話のロックを解除し、さらにはiPhoneなどに備わった「紛失モード」をオフにして電話を自由に利用できるようになったとのことです。

捜査当局の報告によると、スマートフォンへのアクセスを回復しようとしてフィッシングにかかった被害者は全世界で48万3000人にのぼり、主にヨーロッパ、北米、南米のスペイン語圏の人々が被害に遭ったといいます。

ユーロポールはスペインやアルゼンチン、チリ、コロンビア等の法執行機関と協力し、2024年9月10日から17日にかけて一斉に捜査を実施。結果的に17人を逮捕し、スマートフォンやその他電子機器921点を押収することに成功しました。

捜査により、iServerには2000人以上のロック解除の実行者が登録されていたことや、120万台以上のスマートフォンが実際にロックを解除されてしまったことがわかっているそうです。

ユーロポールは「フィッシングのメッセージは、信頼できる組織からのメッセージのように見えたり、緊急を装ったり、添付ファイルやリンクのクリック、ログイン認証情報の確認など何らかの行動を起こすよう求めたりします。リンクや添付ファイルをクリックする前に、よく考えてください」と注意を促しました。