A lett rendőrség nemzetközi együttműködésben felszámolt egy hatalmas méretű, SIM-Box alapú infrastruktúrát, amely az online bűnözés egyik legrejtettebb eszközeként működött Európában.
A három balti állam egyre vonzóbb terep a „SIM-farmoknak”, kihasználva az Unió és a NATO fedettségét, a gyors nemzetközi mobilitást, a magasan fejlett digitális infrastruktúrát és pénzügyi szolgáltatásokat. Emellett a relatív földrajzi elzártság, a technikai láthatatlanság és a jogi együttműködés lassúsága kihasználható.
Az új jelenségnek volt példája a minap lezajlott rigai kommandós akció. Ennek során egy olyan SIM-Box farmon ütöttek rajta, ahol öt férfi tárolta több mint 80 ország mobiltelefonszámait, és az adatbázist online csalóknak árulta.
A becslések szerint közel 50 millió online-fiókot generáltak a rendszeren keresztül, világszerte legalább 3200 áldozattal és mintegy 5 millió eurós összesített kárértékkel. Az akciót az Europol, az osztrák és észt rendőrség, valamint Shadowserver Alapítvány támogatta.
Hogyan működik a digitális álca és miért életveszélyes?
A „SIM-box” lényegében egy nagy teljesítményű hardver vagy virtuális eszköz, amely egyszerre több ezer SIM-kártyát képes kezelni. Az infrastruktúrát eredetileg telekommunikációs tesztelésre fejlesztették ki, de a bűnözők hamar felfedezték a benne rejlő üzletet.
A rendszerek lehetővé teszik, hogy egyetlen helyről kezeljenek több országban regisztrált számokat, és azokkal anonim módon hozzanak létre fiókokat, verifikáljanak szolgáltatásokat, vagy akár direktben kommunikáljanak.
A gyakorlatban ez úgy fest, hogy a bűnöző „bérel” egy telefonszámot a SIM-farm szolgáltatótól. Ezzel a számmal regisztrálhatja magát a közösségi médiában, a pénzügyi platformokon, vagy akár kripto-tőzsdén. Az így létrehozott fiókok külső szemmel valódinak tűnnek, mert a rendszer egy igazi, ténylegesen működő számot használ. - valakiét a nagyvilágból.
Ezután a fiókokból indíthatnak csalásokat, hamis hirdetéseket, kripto-befektetési átveréseket, sőt politikai dezinformációs kampányokat is.
A vége az, hogy a csalási szolgáltatás (fraud-as-a-service) valóságos iparág lett. Aki nem tud vagy nem akar saját technikai hálózatot fenntartani, egyszerűen bérli a névtelenséget, majd felhasználja. A ‘bérlő’ lehet magánszemély, vállalat vagy akár egy kormányzati szervezet is – attól függően, hogy ki akar névtelenséget vásárolni.
Egy Carlos Méndez nevű ecuadori magánszemély anélkül is kiszolgálhat egy megtévesztő politikai kampányt, hogy tudna róla, még egy demokratikus választás keretében is, akár Németországban vagy máshol. Az ukrán rendőrség például razziázott olyan SIM-box farmokon, amelyeket azzal gyanúsítottak, hogy az orosz propaganda terjesztéséhez hamis fiókok készítéséhez járultak hozzá.
A „bérlő” és a SIM-farm az online találkozik, zárt chatcsoportokban vagy speciális oldalakon a „sötét Weben”. Az ügylet nem túl bonyolult: a farm felkínálja a bérelhető telefonszámokat, és ezek árát előbb kripto-valutában vagy közvetítő offshore cégeken keresztül beszedi. Ezután egyszerű kezelőfelületet és rövid útmutatót nyújt át, így a megrendelőnek szinte semmilyen technikai tudással nem kell rendelkeznie a visszaélés megkezdéséhez.
A leginkább kiszolgáltatott források általában azok az országok vagy régiók, ahol a prepaid SIM-ekhez nem kell erős azonosítás, a kártyák olcsók és nagy mennyiségben hozzáférhetők. Ilyenek például Nigéria, Ghána, Kambodzsa vagy India, és még tucatnyi ország.
A lettországi akció nem elszigetelt. Tavaly Indiában rendőrségi rajtaütések során több tízezer SIM-kártyát foglaltak le, amelyekkel hasonló fiókgyártó hálózatokat működtettek. Kenyában is találtak olyan SIM-farmokat, amelyek pénzügyi csalásokhoz és embercsempészethez kapcsolódtak.
Nyugat-Európában és az Egyesült Államokban a hatóságok már évekkel ezelőtt figyelmeztettek arra, hogy a SIM-box-hálózatok a hagyományos bűnözés és a kibertér közötti határmezsgyén működnek. A klasszikus telekom-eszközökből globális bűnügyi platformok lettek.
Azért, mert a modell megengedi, hogy egyetlen ügyfél tömegesen kövessen el csalásokat, például több országban egyszerre terjeszthessen hamis híreket, vagy megtévesztő kereskedelmi ajánlatokat.
A védekezés nehéz és rendkívüli tudatosságot követel, így az authenticator appok beállítását, a kétlépcsős hitelesítést, és megfelelő magatartást a gyanús üzenetek vagy ismeretlen számról érkező hívások esetén. Különös óvatosságot követel a banki-hatósági hivatkozások ellenőrzése.
Vállalatok részéről szükséges a szokatlan aktivitások figyelése (anomália detektálás). A cégeknek fel kell készülniük arra, hogy a „klasszikus” csalás-ellenőrzés (IP-szűrés, CAPTCHA, SMS-verifikáció) már nem elég. A vállalati rendszert képessé kell tenni, hogy automatikusan felismerje a szokatlan viselkedést vagy mintázatokat, például ha egy IP-címről hirtelen több ezer fiókot hoznak létre, vagy ha egy eszköz rövid időn belül több országban jelenik meg.
A SIMcartel-ügy azért különösen aggasztó, mert rávilágít arra, hogy a modern csalások nem egyedi próbálkozások, hanem tömeggyártott rendszerek eredményei. Egyetlen ilyen infrastruktúra több tízmillió hamis identitást tud létrehozni, és mindegyik potenciális áldozatokat fenyeget.