Het verhaal tot nu toe: Medio oktober beweerde reiziger Bhargavii Mani dat ze bijna ₹ 1 lakh verloor toen ze probeerde toegang te krijgen tot de lounge op de luchthaven van Bengaluru. De zwendel zou zijn uitgevoerd nadat Mani werd gevraagd een APK-bestand (Android Package Format) te downloaden dat eruitzag als een gewone app en werd gedeeld via een WhatsApp-chat afkomstig van een internationaal nummer.
De kwaadaardige APK kon functioneren nadat ze op de link had geklikt en tijdens een videogesprek toegang tot schermspiegeling had verleend aan een zogenaamde klantenserviceadviseur.
Toen Mani later haar creditcardafschrift controleerde, merkte ze een ongeautoriseerde transactie van ₹ 87.125 op naar een PhonePe-account. Er werden ook aanvullende transacties geprobeerd, maar deze werden geweigerd omdat de kaart de bestedingslimiet bereikte.
Mani beweerde ook dat haar contacten haar niet konden bereiken en dat een man haar telefoontjes beantwoordde. Dit kan te wijten zijn aan het kwaadwillig doorschakelen van oproepen op haar apparaat.
Hoe gebruiken cybercriminelen Big Tech-platforms?
Mani zei dat haar werd gevraagd de kwaadaardige app te downloaden van een nepwebsite, die niet meer bestaat. De URL die haar werd gepresenteerd was ‘Loungepass.in’, de link waarnaar werd gedeeld via een zakelijk WhatsApp-account. De telefoon die bij het account was geregistreerd, had een internationaal nummer.
Mani beweerde dat deze nepwebsite een van de topresultaten op Google was, wat wijst op hiaten in het verificatieproces wanneer grote bedrijven in de zoekresultaten worden vermeld.
Loungepass.com is een echte website waarmee gebruikers vooraf toegang tot luchthavenlounges op grote luchthavens kunnen boeken. In het geval van Mani werden social engineering-tactieken gebruikt om haar naar de nepsite te lokken; een methode die vaak wordt gebruikt door bedreigingsactoren.
Het is echter belangrijk op te merken dat Apple's iOS is ontworpen om te voorkomen dat apps rechtstreeks worden gedownload of geïnstalleerd via een link die de officiële Apple App Store omzeilt, die strikte beveiligingsprotocollen afdwingt.
Dit is waar de technische bekwaamheid van de zwendel in het spel komt.
Hoe werkte de kwaadaardige APK?
De enige manier om een app op een iOS-apparaat te downloaden is via de officiële Apple App Store. Apps in de winkel worden door Apple geverifieerd en regelmatig gecontroleerd op schadelijke code om de veiligheid van de gebruiker te garanderen.
Gebruikers kunnen echter niet-uitgebrachte apps downloaden en testen op hun apparaten door een verborgen instelling in iOS in te schakelen. Met deze functie kunnen gebruikers bètaversies of niet-uitgebrachte versies van apps van ontwikkelaars testen.
“Apple's Swift SDK maakt het ook mogelijk om schermen te delen (zowel in de app als op de achtergrond)”, legt cybersecurity-onderzoeker Vishesh Kochher uit.
Oplichters kunnen social engineering-technieken gebruiken om deze instelling in te schakelen en mensen in staat te stellen kwaadaardige apps te downloaden die legitiem lijken.
In het geval van Mani schakelden de oplichters waarschijnlijk het doorschakelen van oproepen in zodra de kwaadaardige APK toegang had gekregen tot haar apparaat.
Op het netwerk van Airtel kan dit bijvoorbeeld worden gedaan door een code te draaien, gevolgd door het telefoonnummer waarnaar oproepen moeten worden doorgeschakeld, legt Kochher uit.
Als oproepdoorschakeling is ingeschakeld, kunnen oplichters eenvoudig OTP's ontvangen voor transacties via telefonisch bankieren.
Kochher zegt verder dat een app op iOS kan worden gebruikt om telefoongesprekken te starten. Doordat oproepen worden doorgestuurd naar het nummer van de oplichter en uitgaande oproepen worden beheerd door de app, kunnen oplichters transacties voltooien zonder medeweten van de gebruiker.
“De technische verfijning van de app die bij deze zwendel wordt gebruikt, lijkt op die van online woekeraars, die toegang hebben tot berichten, foto’s en opgeslagen informatie”, legt Kochher uit.
Wie zat er achter de oplichting?
De website die Mani ertoe verleidde de kwaadaardige app te downloaden, is verwijderd.
Een eenvoudige zoekopdracht naar de geregistreerde domeinnaam laat zien dat de website, gehost door Hostinger, is geregistreerd in Gujarat, India.
Verdere details over de personen achter de website, zoals hun telefoonnummer, adres en organisatie, werden echter uit het register gehaald. Onderzoekers kunnen deze informatie opvragen.
Hoe slecht is de cybercriminaliteitssituatie in India?
In 2023, Indiase burgers verloren ₹ 66,66 crore in 4.850 gemelde gevallen van online oplichting.
Uit een rapport van het Indian Cybercrime Coördinatiecentrum (I4C) blijkt dat digitale financiële fraude de afgelopen drie jaar maar liefst ₹ 1,25 lakh crore heeft opgelopen.
Volgens het National Cybercrime Reporting Portal (NCRP) is in 2023 ten minste ₹ 10.319 crore verloren gegaan door slachtoffers van digitale financiële fraude.
Bovendien zijn tot nu toe 5.252 verdachte URL's gerapporteerd.
In het rapport van de Permanente Parlementaire Commissie voor Financiën over 'Cyberbeveiliging en stijgende incidenten van cybercriminaliteit en witteboordencriminaliteit' werd opgemerkt dat de binnenlandse fraude gemeld door toezichthoudende entiteiten (SE) in boekjaar 23 in totaal ₹ 2.537,35 crore bedroeg.
Het gebruik van geavanceerde technische kennis, gekoppeld aan social engineering-technieken en een toename van datalekken, verergert het probleem.
Indië staat wereldwijd op de vijfde plaats wat betreft het aantal gehackte accounts in 2023met 5,3 miljoen gelekte accounts. Het is onwaarschijnlijk dat oplichting die mogelijk wordt gemaakt door social engineering en technische expertise binnenkort zal verdwijnen.
Gebruikers wordt geadviseerd voorzichtig te zijn bij het klikken op niet-geverifieerde links, het downloaden van nieuwe apps en het scannen van QR-codes. Ze moeten periodiek controleren op gecompromitteerde wachtwoorden voor alle online accounts en regelmatig hun kaartgegevens controleren op onbekende transacties.
Gepubliceerd – 2 november 2024 09:47 uur IST
