Af Eskil Sørensen, 11/04/23
Tirsdag i påskeugen blev Genesis Market beslaglagt i en større FBI-ledet operation, kaldet Operation Cookie Monster, og dermed lukkede en af de mest betydningsfulde online kriminelle platforme.
Det skrev The Record i en længere artikel i sidste uge, hvilket er blevet fulgt op af omtaler i en lang række andre brede medier.
Unik blandt markedspladser
Genesis Market var et crimesupermarked – en one-stop-shop for kriminelle – hvor der blev solgt legitimationsoplysninger fra både private og virksomheder og tilbudt værktøjer til at gøre dataene anvendelige til kriminelle aktiviteter. Et supermarked, der har været sat i forbindelse med ’millioner af økonomisk motiverede cyberhændelser fra bedrageri til ransomware-angreb verden over’, som det hedder.
Ifølge en analytiker hos Recorded Future var Genesis Market unik blandt markedspladser, der handler med legitimationsoplysninger. For i modsætning til sine konkurrenter gav Genesis Market sine kunder adgang til ’bots’ eller ’browser-fingeraftryk’, hvilket gjorde det muligt for dem at efterligne ofrenes webbrowsere - inklusive IP-adresser, sessionscookies, operativsystemoplysninger og plugins. Det betød, at de kriminelle kunne få adgang til abonnementsplatforme som Netflix og Amazon - såvel som online banktjenester - uden at der blev genereret sikkerhedsadvarsler, som der fx opstår, hvis der er login fra en anden geografisk lokation end normalt. Brugere kunne endda omgå multi-faktor-godkendelse, fremgår det.
Dataene i disse ’bots’ blev primært høstet af infostealer malware. Det udspekulerede var, at disse bots kunne importeres til en browser, som de kriminelle havde udviklet, kaldet Genesis Security, som også var tilgængelig som en udvidelse til andre webbrowsere. 'Botsene' kunne dermed gøre det muligt for kriminelle at maskere sig ved hjælp af de stjålne legitimationsoplysninger.
Ifølge Bleeping Computer gav Genesis Market en bred liste af tjenester med brugerkonti fra hele verden. Blandt dem var Gmail, Facebook, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, Zoom og Ebay.
By invitation only – or not
Ifølge The Record var Genesis Market et sted, man blev inviteret til at komme ind i. Men den kunne også findes gennem almindelige websøgemaskiner, og invitationskoder var - som det er med de fleste store kriminelle fora - bredt tilgængelige. Det samlede antal Genesis Market-ofre kendes ikke, men Recorded Future vurderer, at der har været mellem 30 og 50 millioner aktive fortegnelser, dvs. legitimationsoplysninger klar til brug, i den periode, som Genesis Market har været på markedet. Ifølge CNN var det fem år.
Politiet i flere lande har været involveret i operationen, herunder Australien, Canada, Tyskland, Polen, Sverige og Europol.
Links:
https://therecord.media/genesis-market-takedown-cybercrime
https://edition.cnn.com/2023/04/04/politics/genesis-market-fbi-seizure/index.html
https://www.cnbc.com/2023/04/04/genesis-market-shut-by-law-enforcement-in-cybercrime-operation.html