Τρεις άνδρες παραδέχθηκαν ότι είναι ένοχοι για τη λειτουργία της OTP.Agency, μιας διαδικτυακής πλατφόρμας που παρείχε βοήθεια social engineering για την απόκτηση κωδικών πρόσβασης μίας χρήσης, από πελάτες διαφόρων τραπεζών και υπηρεσιών στο Ηνωμένο Βασίλειο.
Δείτε επίσης: WhatsApp: Δίνει στους διαχειριστές κοινότητας περισσότερο έλεγχο
Οι προσωρινοί κωδικοί πρόσβασης γνωστοί και ως OTP, αποτελούσαν μέρος των προστασιών ελέγχου ταυτότητας πολλαπλών παραγόντων και οι εγκληματίες που εγγράφηκαν στην παράνομη υπηρεσία μπορούσαν να τους χρησιμοποιήσουν για να αποκτήσουν πρόσβαση στον τραπεζικό λογαριασμό ενός θύματος και να τον αδειάσουν.
Οι αρχές εκτιμούν ότι οι Callum Picari (22), Vijayasidhurshan Vijayanathan (21) και Aza Siddeeque (19) στόχευσαν περισσότερα από 12.500 άτομα μεταξύ Σεπτεμβρίου 2019 και Μαρτίου 2021, όταν η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου (NCA) έκλεισε τον ιστότοπο OTP.Agency.
Ο Picari ήταν ο ιδιοκτήτης και ο κύριος προγραμματιστής της πλατφόρμας, ενώ ο Siddequee ήταν υπεύθυνος για την προώθηση του ιστότοπου και την παροχή τεχνικής υποστήριξης σε εγκληματίες που αγόρασαν συνδρομές στην υπηρεσία.
Το OTP.Agency υποσχέθηκε να βοηθήσει στην παροχή OTP για περισσότερες από 30 διαδικτυακές υπηρεσίες, συμπεριλαμβανομένου του Apple Pay, για εβδομαδιαίες συνδρομές που κυμαίνονταν μεταξύ £30, για το βασικό πρόγραμμα και £380 για το elite.
Δείτε ακόμα: Η Rockwell Automation λέει στους διαχειριστές να αποσυνδέσουν τις συσκευές ICS
Ένας εγκληματίας που είχε ήδη τα διαπιστευτήρια σύνδεσης ενός θύματος σε μια υπηρεσία θα χρειαζόταν επίσης το OTP, το οποίο το OTP.Agency έλαβε πραγματοποιώντας αυτοματοποιημένες κλήσεις προς το θύμα χρησιμοποιώντας τεχνολογία μετατροπής κειμένου σε ομιλία και ζητώντας τον προσωρινό κωδικό πρόσβασης.
Το βασικό πακέτο επέτρεπε την παράκαμψη του ελέγχου ταυτότητας πολλαπλών παραγόντων για τραπεζικούς λογαριασμούς στα HSBC, Monzo και Lloyds, ενώ το κορυφαίο επίπεδο ξεκλείδωσε την πρόσβαση σε ιστότοπους επαλήθευσης Visa και Mastercard. Τα τρία άτομα διατηρούσαν επίσης μια ομάδα Telegram όπου επικοινωνούσαν με περισσότερα από 2.200 μέλη.
Με βάση τις πληροφορίες που συγκεντρώθηκαν κατά τη διάρκεια της έρευνας, η NCA πιστεύει ότι οι τρεις διαχειριστές θα μπορούσαν να έχουν βγάλει έως και 7,9 εκατομμύρια λίρες.
Το τρίο αντιμετωπίζει κατηγορίες για συνωμοσία με σκοπό τη διάπραξη απάτης και συνωμοσία για την κατασκευή και την προμήθεια αντικειμένων για χρήση σε απάτη. Ο ιδιοκτήτης του OTP.Agency, Picari, κατηγορείται επίσης για ξέπλυμα χρήματος.
Σύμφωνα με τη νομοθεσία του Ηνωμένου Βασιλείου, οι δύο πρώτες κατηγορίες μπορούν να επιφέρουν μέγιστη ποινή φυλάκισης έως και 10 χρόνια, ενώ το ξέπλυμα χρήματος τιμωρείται με έως και 14 χρόνια. Οι ακριβείς ποινές θα καθοριστούν από το Snaresbrook Crown Court κατά τη διάρκεια ακρόασης που έχει προγραμματιστεί για τις 2 Νοεμβρίου.
Δείτε επίσης: Συμμορία ransomware στοχεύει διαχειριστές Windows μέσω PuTTy
Η παράκαμψη ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) αναφέρεται στις τεχνικές και τις μεθόδους που χρησιμοποιούν οι εισβολείς για να παρακάμψουν το πρόσθετο επίπεδο ασφαλείας που παρέχεται από τα συστήματα MFA, όπως στην περίπτωση της OTP.Agency. Ενώ το MFA ενισχύει σημαντικά την ασφάλεια απαιτώντας πολλαπλές μορφές επαλήθευσης, δεν είναι απολύτως απροσπέλαστο. Οι κοινές τακτικές για την παράκαμψη του MFA περιλαμβάνουν επιθέσεις social engineering, όπως το phishing, όπου οι χρήστες εξαπατώνται για να αποκαλύψουν τους κωδικούς ελέγχου ταυτότητάς τους ή εκμεταλλεύονται ευπάθειες στην ίδια τη διαδικασία ελέγχου ταυτότητας. Επιπλέον, ορισμένοι εισβολείς ενδέχεται να χρησιμοποιήσουν εργαλεία ή κακόβουλο λογισμικό για να αποκτήσουν διακριτικά ελέγχου ταυτότητας ή να χειριστούν τη ροή εργασίας MFA.
Πηγή: bleepingcomputer
