Трое мужчин признали себя виновными в создании OTP.Agency — платформы, предоставлявшей услуги социальной инженерии для получения одноразовых паролей для различных банков и сервисов в Великобритании.
Такие временные пароли, также известные как OTP (one-time passcodes), являются частью системы многофакторной аутентификации, и преступники могут использовать их для получения доступа, например, к банковским счетам жертв.
По оценкам властей, от действий 22-летнего Каллума Пикари (Callum Picari), 21-летнего Виджаясидхуршана Виджаянатана (Vijayasidhurshan Vijayanathan) и 19-летнего Азы Сиддике (Aza Siddeeque) пострадали более 12 500 человек в период с сентября 2019 года по март 2021 года. После этого Национальное агентство по борьбе с преступностью (National crime agency, NCA) закрыло сайт OTP.Agency.
NCA сообщает, что Пикари являлся владельцем и основным разработчиком платформы, а Сиддеке отвечал за продвижение сайта и техническую поддержку злоумышленников, купивших подписку на сервис.
OTP.Agency обещал своим клиентам доставку OTP более чем для 30 сервисов, включая Apple Pay, а подписка на сервис стоила от 30 фунтов стерлингов (39 долларов США) за базовый план до 380 фунтов стерлингов (498 долларов США) за элитный. Базовый пакет позволял обойти многофакторную аутентификацию в таких банках как HSBC, Monzo и Lloyds, а элитный разблокировал доступ к сайтам верификации Visa и Mastercard.
То есть злоумышленникам, в распоряжении которых уже имелись учетные данные жертвы для входа в тот или иной сервис, также требовался OTP, и узнать временный пароль предлагал OTP.Agency. Сервис совершал автоматические звонки жертвами с использованием text-to-speech и просил жертв сообщить временный пароль.
«Преступники маскировали свой ID , чтобы все выглядело как настоящий звонок из банка жертвы», — объясняет NCA в видеоролике, демонстрирующем работу OTP.Agency.
Основываясь на информации, собранной в ходе расследования, NCA предполагает, что трое операторов OTP.Agency могли заработать на своем сервисе до 7,9 млн фунтов стерлингов (более 10 млн долларов США).
«Неизвестно, сколько именно денег группировка заработала на этом проекте, но, по нашим оценкам, это около 30 000 фунтов стерлингов, если пользователи приобретали только базовый тарифный план, и до 7,9 млн фунтов стерлингов, если они выбирали элитный пакет», — пишут правоохранители.
Теперь операторов сервиса обвиняют в сговоре с целью совершения мошенничества и сговоре с целью изготовления и поставки изделий для использования в мошеннических целях. Владелец OTP.Agency, Пикари, также обвиняется в отмывании денег.
Согласно британскому законодательству, первые два обвинения могут повлечь за собой максимальное тюремное заключение сроком до 10 лет, в то время как отмывание денег карается сроком до 14 лет лишения свободы.
