Panggilan masuk muncul pada telefon mangsa. Ia mungkin hanya berlangsung beberapa saat, tetapi boleh berakhir dengan mangsa memberikan kod yang memberikan penjenayah siber keupayaan untuk merampas akaun dalam talian mereka atau mengosongkan dompet kripto dan digital mereka.

“Ini pasukan keselamatan PayPal di sini. Kami telah mengesan beberapa aktiviti yang tidak biasa dalam akaun anda dan menghubungi anda sebagai langkah berjaga-jaga,” suara robot panggilan itu berkata. “Sila masukkan kod keselamatan enam digit yang kami hantar ke peranti mudah alih anda.”

Mangsa, tidak mengetahui niat jahat penelefon, mengetuk kod enam angka yang baru saja diterimanya melalui mesej teks ke papan kekunci telefon mereka.

“Got that boomer!” mesej yang dibaca di konsol penyerang.

Dalam beberapa kes, penyerang juga boleh menghantar e-mel phishing dengan tujuan untuk merakam kata laluan mangsa. Tetapi seringkali, kod daripada telefon mereka adalah semua yang diperlukan oleh penyerang untuk merompak akaun dalam talian mangsa. Sehingga mangsa menamatkan panggilan, penyerang sudah menggunakan kod itu untuk log masuk ke akaun mangsa seolah-olah mereka adalah pemilik sah.

Sejak pertengahan 2023, operasi intersepsi bernama Estate telah membolehkan ratusan ahli melaksanakan ribuan panggilan telefon terautomasi untuk menipu mangsa agar memasukkan kod masa tunggal, TechCrunch telah mengetahui. Estate membantu penyerang menumpaskan ciri keselamatan seperti pengesah dua faktor, yang bergantung pada kod masa tunggal yang dihantar entah kepada telefon atau e-mel seseorang atau dijana dari peranti mereka menggunakan aplikasi pengesah. Kod masa tunggal yang dicuri boleh memberi penyerang akses kepada akaun bank, kad kredit, dompet kripto dan digital mangsa dan perkhidmatan dalam talian. Sebahagian besar mangsa berada di Amerika Syarikat.

Tetapi bug dalam kod Estate mendedahkan pangkalan data backend laman web itu, yang tidak dienkripsi. Pangkalan data Estate mengandungi butiran pengasas laman web dan ahlinya, dan log baris demi baris setiap serangan sejak laman web itu dilancarkan, termasuk nombor telefon mangsa yang disasarkan, bila dan oleh ahli mana.

Vangelis Stykas, seorang penyelidik keselamatan dan ketua teknologi di Atropos.ai, menyediakan pangkalan data Estate kepada TechCrunch untuk analisis.

Pangkalan data backend memberikan pandangan langka ke dalam bagaimana operasi intersepsi kod masa tunggal berfungsi. Perkhidmatan seperti Estate mengiklankan tawaran mereka di bawah bayangan menyediakan perkhidmatan yang seolah-olah sah bagi membolehkan pemasar keselamatan mengetahui kebolehan menangani serangan kejuruteraan sosial, tetapi jatuh dalam ruang kelabu dari segi undang-undang kerana membenarkan ahlinya menggunakan perkhidmatan ini untuk serangan siber jahat. Pada masa lalu, pihak berkuasa telah mendakwa perayu laman web serupa yang didedikasikan untuk menjalankan serangan siber secara automatik kerana menyediakan perkhidmatan mereka kepada penjenayah.

Pangkalan data mengandungi log bagi lebih daripada 93,000 serangan sejak Estate dilancarkan tahun lalu, menyerang mangsa yang mempunyai akaun dengan Amazon, Bank of America, Capital One, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (yang memiliki TechCrunch) dan banyak lagi.

Beberapa serangan juga menunjukkan usaha untuk merompak nombor telefon dengan menjalankan serangan penukaran SIM - satu kempen hanya diberi judul “ur getting sim swapped buddy” - dan mengugut untuk mendedahkan maklumat mangsa.

Pengasas Estate, seorang jurutera program Denmark berusia awal 20-an, memberitahu TechCrunch dalam e-mel minggu lalu, “Saya tidak lagi mengendalikan laman web ini.” Pengasas itu, walaupun berusaha menyembunyikan operasi dalam talian Estate, mengkonfigurasi secara tidak betul pelayan Estate yang mendedahkan lokasi sebenar laman web itu di pusat data di Belanda.

Estate mengiklankan diri sebagai dapat “mencipta penyesuaian penyelesaian OTP yang sempurna dengan keperluan anda,” dan menjelaskan bahawa “pilihan skrip kami yang dibuat khas membolehkan anda mengawalnya.” Ahli Estate mengakses rangkaian telefon global dengan menyamar sebagai pengguna sah untuk mendapatkan akses kepada pembekal komunikasi hulu. Salah satu pembekal adalah Telnyx, yang ketua eksekutifnya David Casem memberitahu TechCrunch bahawa syarikat itu menamatkan akaun Estate dan siasatan sedang dijalankan.

Walaupun Estate berhati-hati untuk tidak secara langsung menggunakan bahasa eksplisit yang boleh menghasut atau menggalakkan serangan siber jahat, pangkalan data menunjukkan bahawa Estate hampir secara eksklusif digunakan untuk kegiatan jenayah.

“Jenis perkhidmatan ini membentuk satu dasar ekonomi jenayah,” kata Allison Nixon, ketua pegawai penyelidik di Unit 221B, sebuah firma keselamatan siber yang terkenal dengan penyiasatan kumpulan jenayah siber. “Mereka menjadikan tugas-tugas yang perlahan menjadi cekap. Ini bermakna lebih ramai orang menerima penipuan dan ancaman secara umum. Lebih ramai orang tua kehilangan persaraan mereka akibat jenayah - berbanding dengan zaman sebelum jenis perkhidmatan ini wujud.”

Bagaimana Estate Beroperasi

Estate cuba menjaga profil rendah dengan menyembunyikan laman web mereka dari enjin carian dan mendapatkan ahli baru melalui mulut ke mulut. Menurut laman web mereka, ahli baru boleh log masuk ke Estate hanya dengan kod rujukan dari ahli sedia ada, yang menjadikan bilangan pengguna rendah bagi mengelakkan pengesan oleh pembekal komunikasi hulu yang Estate bergantung padanya.

Sekali melalui pintu, Estate menyediakan ahli dengan alat untuk mencari kata laluan akaun yang telah dijangka mangsa mereka, meninggalkan kod masa tunggal sebagai satu-satunya halangan untuk merompak akaun sasaran. Alat Estate juga membolehkan ahli menggunakan skrip yang dibuat khas yang mengandungi arahan untuk menipu sasaran supaya menyerahkan kod masa tunggal mereka.

Beberapa skrip serangan direka bentuk sebaliknya untuk mengesahkan nombor kad kredit yang dicuri dengan menipu mangsa untuk menyerahkan kod keselamatan di belakang kad bayaran mereka.

Menurut pangkalan data, kampanye panggilan serangan terbesar di Estate menargetkan mangsa warga tua dengan asumsi bahawa “boomers” lebih cenderung menjawab panggilan telefon tanpa diundang daripada generasi yang lebih muda. Kempen itu, yang menghasilkan kira-kira seribu panggilan, bergantung pada skrip yang membuat penjenayah siber diberitahu tentang setiap serangan yang dicuba.

“Orang tua itu menjawab!” akan berkelip di konsol apabila mangsa mereka mengangkat panggilan, dan “Sokongan hidup dimatikan” akan ditunjukkan apabila serangan berjaya.

Pangkalan data menunjukkan bahawa pengasas Estate menyedari bahawa pelanggannya sebagian besar adalah pelaku jenayah, dan Estate telah lama menjanjikan privasi untuk ahlinya.

“Kami tidak mencatat sebarang data, dan kami tidak memerlukan sebarang maklumat peribadi untuk menggunakan perkhidmatan kami,” baca laman web Estate, sebuah cabaran kepada semakan identiti yang biasa dibenarkan oleh pembekaltelekomunikasioleh hulu dan syarikat teknologi sebelum membenarkan pelanggan memasuki rangkaian mereka.

Tetapi itu tidak benar secara tegas. Estate mencatat setiap serangan yang dijalankan oleh ahlinya dengan terperinci yang memanjang sejak pelancaran laman web Estate pada pertengahan 2023. Dan pengasas laman web itu mengekalkan akses ke log pelayan yang menyediakan tetingkap waktu nyata ke dalam apa yang berlaku di pelayan Estate pada bila-bila masa tertentu, termasuk setiap panggilan yang dibuat oleh ahlinya, serta setiap kali seorang ahli memuatkan halaman di laman web Estate.

Pangkalan data menunjukkan bahawa Estate juga mengesan alamat e-mel calon ahli. Salah satu pengguna itu berkata mereka ingin menyertai Estate kerana baru-baru ini “mula membeli ccs” - merujuk kepada kad kredit - dan percaya Estate lebih dipercayai daripada membeli bot daripada penjual yang tidak dikenali. Pengguna itu kemudian diluluskan untuk menjadi ahli Estate, rekod menunjukkan.

Pangkalan data yang terdedah menunjukkan bahawa beberapa ahli Estate mempercayai janji kepelbagaian Estate dengan meninggalkan fragmen maklumat identiti mereka sendiri - termasuk alamat e-mel dan pegangan dalam talian - dalam skrip yang mereka tulis dan serangan yang mereka jalankan.

Pangkalan data Estate juga mengandungi skrip serangan ahlinya, yang mendedahkan cara tersendiri penyerang mengeksploitasi kelemahan bagaimana gergasi teknologi dan bank melaksanakan ciri keselamatan, seperti kod masa tunggal, untuk mengesahkan identiti pelanggan. TechCrunch tidak menjelaskan skrip secara terperinci, kerana melakukannya boleh membantu penjenayah siber melaksanakan serangan.

Wartawan keselamatan veteran Brian Krebs, yang sebelum ini melaporkan operasi kod masa tunggal pada 2021, berkata operasi jenayah semacam itu jelas mengapa anda sepatutnya “tidak pernah memberikan sebarang maklumat sebagai jawapan kepada panggilan telefon tanpa diundang.”

“Tidak kira siapa yang mendakwa menelepon: Jika anda tidak memulakan hubungan, matikan panggilan,” tulis Krebs. Nasihat itu masih berlaku hari ini.

Tetapi walaupun perkhidmatan yang menawarkan penggunaan kod masa tunggal masih menyediakan keselamatan yang lebih baik kepada pengguna daripada perkhidmatan yang tidak, keupayaan penjenayah siber untuk mengatasi pertahanan ini menunjukkan bahawa syarikat teknologi, bank, dompet kripto dan bursa, dan syarikat telekomunikasi masih banyak lagi kerja yang perlu dilakukan.

Nixon dari Unit 221B berkata syarikat berada dalam “perang selamanya” dengan pelaku jahat yang cuba menyalahgunakan rangkaiannya, dan bahawa pihak berkuasa harus meningkatkan usaha untuk menindak perkhidmatan ini.

“Pecahan yang hilang adalah kita memerlukan pihak berkuasa menangkap pelaku jenayah yang membuat diri mereka sendiri begitu menyusahkan,” kata Nixon. “Orang muda telah membuat karier keluar daripada ini, kerana mereka meyakinkan diri mereka bahawa mereka ‘hanya sebuah platform’ dan ‘tidak bertanggungjawab atas jenayah’ yang difasilitasikan oleh projek mereka.”

“Mereka berharap untuk menjana duit dengan mudah di ekonomi penipuan. Terdapat pengaruh yang menggalakkan cara-cara tidak etikal untuk menjana wang dalam talian. Pihak berkuasa perlu menghentikan ini.”

Baca lebih lanjut di TechCrunch:

• Pihak ancaman meraup 49 juta alamat pelanggan Dell
• Perkhidmatan terenkripsi Apple, Proton, dan Wire membantu polis Sepanyol mengenal pasti aktivis
• Ketua Eksekutif UHG berkata ‘mungkin sepertiga’ rakyat AS terjejas oleh serangan kini
• Apa yang kita pelajari daripada pendakwaan otak LockBit