(Снимка: Infrawatch)
- Разполагане на SIM ферми в 17 държави, свързани чрез споделен софтуер ProxySmart
- Отдалечената SIM инфраструктура позволява заобикаляне на системи за телефонна верификация по целия свят
- Мрежата свързва десетки телекомуникационни оператори в Европа, Северна Америка и извън тях
Беше идентифицирана мрежа от SIM ферми, свързана с доставчик от Беларус, на множество континенти, показвайки как мобилните мрежи се използват за подкрепа на измамни операции в голям мащаб.
Изследване, публикувано от британската киберфирма Infrawatch, откри разпределена инфраструктура, която позволява отдалечен достъп до физически SIM хардуер, свързан с телекомуникационни мрежи в различни региони.
Infrawatch идентифицира 94 SIM ферми в 17 държави, свързани чрез софтуер, управляван от беларуския доставчик ProxySmart.
Подпомагане на големи измами
Разполагането е подкрепяно от 24 търговски доставчици, предлагащи достъп до SIM свързаност в Европа, Северна Америка и Южна Америка.
Мрежата предлага връзки към 35 мобилни оператора, включително основни оператори в Обединеното кралство като Three, O2, EE и Vodafone. Достъпът в САЩ също е широко достъпен, с инфраструктура, разпределена в 19 щата, което позволява на нападателите да изглеждат като легитимни местни потребители.
SIM ферми се състоят от рафтове с SIM карти или мобилни устройства, които могат да се контролират отдалечено в голям мащаб. Те се използват често за заобикаляне на методи за телефонна верификация, включително SMS пароли за еднократна употреба, използвани по време на вход или плащания.
Способността им да имитират легитимни потребителски връзки затруднява операторите да различават злонамерения трафик от обикновената мобилна активност.
Технически анализ, извършен от Infrawatch, установи, че платформата ProxySmart поддържа автоматизирана ротация на IP адреси, отдалечен контрол на устройства и манипулиране на мрежови отпечатъци. Това позволява на операторите да поддържат постоянен достъп до телекомуникационната инфраструктура, като същевременно намаляват шансовете да бъдат забелязани.
Разследващите също така установиха, че услуги, предлагащи достъп до SIM ферми, подкрепени от ProxySmart, се промотират чрез онлайн форуми и платформи за съобщения.
Много от тези услуги работят без проверки на идентичността на клиентите, приемат плащания с криптовалута и са структурирани така, че да намалят видимостта спрямо системите за прилагане на закона.
Блокирането на активността на SIM ферми е трудно, тъй като мобилните оператори присвояват един и същ IP адрес на множество клиенти, което затруднява отделянето на легитимни потребители от злонамерени актьори, използващи методи за филтриране на базата на IP адреси.
Изследването започна с откритие на услуга за SIM ферми в Обединеното кралство и се разширява в по-широка картографска работа, която разкрива мащаба на екосистемата ProxySmart.
Откритията бяха споделени с релевантни органи на реда и регулатори преди публикуването.
Съществуването на ProxySmart е открито обявено като SIM Farm-as-a-Service и, за съжаление, това не е хипербола или маркетинг. Това са сериозни оператори, които са усъвършенствали модел, който прави управлението на SIM ферма просто от край до край: от предлагане на отдалечена помощ за настройка на рафтове с модеми до специализиран софтуер за управление на отдалечена инфраструктура и противодействие на ботове.
Правният неясен статус на SIM фермите е позволил на този модел да се разраства с ограничено прекъсване и се оценява, че е много вероятно да подпомага операции за големи измами днес.
С откритията на десетки разполагания в различни региони, изследването показва как отдалечената телекомуникационна инфраструктура се комерсиализира и повторно използва за подкрепа на измами, злоупотреба с акаунти и автоматизирана онлайн активност.
