Полиция Нидерландов арестовала 21-летнего мужчину, подозреваемого в продаже доступа к фишинговому инструменту JokerOTP. Сервис перехватывал одноразовые пароли для угона аккаунтов. Расследование привело к ликвидации операции phishing-as-a-service. Ущерб оценивается в $10 млн. — bleepingcomputer.com
Полиция Нидерландов арестовала 21-летнего жителя Дордрехта, подозреваемого в продаже доступа к инструменту автоматизации фишинга JokerOTP, способному перехватывать одноразовые пароли (OTP) для угона учетных записей.
Подозреваемый — третий арестованный в рамках трехлетнего расследования, которое привело к ликвидации операции JokerOTP phishing-as-a-service (PhaaS) в апреле 2025 года.
На тот момент власти арестовали разработчика платформы, а в августе — соразработчика, использовавшего псевдонимы ‘spit’ и ‘defone123’.
За два года вредоносный сервис JokerOTP предположительно нанес финансовый ущерб в размере не менее 10 миллионов долларов в ходе более чем 28 000 атак, нацеленных на пользователей из 13 стран.
Продавец, имя которого не разглашается, использовал аккаунт в Telegram для рекламы доступа к фишинговой платформе через лицензионные ключи.
Киберпреступники, подписавшиеся на сервис, могли настроить инструмент для автоматизации звонков жертвам и получения временных кодов или других конфиденциальных данных (PIN-кодов, данных карт, номеров социального страхования).
Бот JokerOTP мог нацеливаться на пользователей PayPal, Venmo, Coinbase, Amazon и Apple.
OTP — это временные коды, служащие дополнительным уровнем безопасности при аутентификации учетной записи. Они могут отправляться по SMS или электронной почте, либо генерироваться специализированным приложением, когда пользователи пытаются войти в учетную запись.
Эти коды имеют короткий срок действия и предназначены для обеспечения того, чтобы доступ к учетной записи был зарезервирован только для законного владельца, блокируя мошеннические попытки со стороны злоумышленников, которые могли украсть или угадать (брутфорсом) учетные данные.
Обычно киберпреступники использовали украденные учетные данные, собранные в результате заражения вредоносным ПО или купленные в даркнете, и пытались войти в целевую учетную запись. Законный владелец получал OTP, необходимый для завершения процесса входа.
В то же время JokerOTP автоматически совершал звонки целям, выдавая себя за представителей законного сервиса, к которому пытались получить доступ злоумышленники, и запрашивая одноразовый пароль (OTP).
Поскольку звонки совпадали с доставкой кода аутентификации, многие пользователи не распознавали мошенничество.
«Жертвам автоматически звонил бот, сообщая, что преступники пытаются получить доступ к их учетной записи», — пояснила Анук Бонкамп, руководитель группы по борьбе с киберпреступностью Oost-Brabant.
«Затем бот просил их ввести одноразовый пароль. Таким образом, жертвы полагали, что защищают себя, сотрудничая и предоставляя информацию».
В зависимости от типа скомпрометированной учетной записи, злоумышленники могут использовать полученный доступ для совершения несанкционированных покупок, перевода средств на подконтрольные им банковские счета или угона учетной записи.
Полиция заявляет, что расследование продолжается, и десятки покупателей бота JokerOTP в Нидерландах уже установлены и будут привлечены к ответственности в установленном порядке.
Бонкамп добавила, что жертвам подобных мошеннических схем не следует стыдиться того, что они попались на изощренную ловушку, и им следует сохранять бдительность в отношении признаков мошенничества, таких как создание ощущения срочности и запросы на раскрытие конфиденциальной информации, такой как PIN-коды и пароли.
Полиция также рекомендует пользователям проверять наличие утечек данных, затрагивающих их, на сервисах Have I Been Pwned и CheckJack полиции Нидерландов, поскольку утечка электронной почты и других конфиденциальных данных значительно увеличивает риск стать мишенью для таких инструментов, как JokerOTP.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas