PrintSteal: Expondo sites não autorizados que se fazem passar por CSC envolvidos em fraudes de geração de documentos KYC em grande escala

Sumário executivo

‍

Este relatório revela uma operação criminosa organizada em grande escala envolvida na produção e distribuição em massa de documentos KYC indianos falsos (Know Your Customer), comumente conhecidos como “portais de impressão” e rastreado pelo CloudSEK como “Imprimir e roubar”. O foco dessa análise é a plataforma crrsg.site, uma das várias operações similares, para destacar a extensão e a complexidade da ameaça mais ampla. A operação está ativa desde pelo menos 2021 e utiliza uma rede de afiliadas, como lojas móveis locais e cibercafés, com pelo menos 2.727 operadoras registradas no crrsg.site plataforma sozinha, para criar documentos fraudulentos. As investigações revelaram que mais de 167.391 documentos falsos foram gerados nesta plataforma, incluindo mais de 156.000 certidões de nascimento falsas, mostrando a vasta escala e as capacidades da operação. A infraestrutura dessa operação inclui uma plataforma web centralizada, acesso a APIs ilícitas que fornecem dados como Aadhaar, PAN e informações sobre veículos, um sistema de pagamento simplificado e canais de comunicação criptografados (como o Telegram). O amplo alcance da operação, apoiado por uma grande rede de afiliados e pelo uso de APIs ilegais de fácil acesso, exige uma contra-resposta abrangente e coordenada. Além disso, mais de 1.800 domínios vinculados a essa operação foram identificados, expandindo ainda mais seu impacto.A operação personifica principalmente csc.gov.in e crsorgi.gov.in para aumentar a credibilidade. Investigações financeiras mostram que o agente da ameaça por trás do crrsg.site gerou uma estimativa 40 lakhs em receita somente desta plataforma.

_{estatísticas do site www.crrsg.site:}

Nota: Este relatório usa a plataforma crrsg.site como um estudo de caso para demonstrar a escala e a complexidade de uma operação mais ampla e multiplataforma envolvida na geração de documentos KYC indianos fraudulentos. Um número significativo de sites semelhantes foi identificado.

• Total de domínios históricos do PrintSteal identificados pelo CloudSEK: Mais de 1.800‍
• Domínios ativos atualmente em operação: Mais de 600

‍

Introdução:

O Centro de serviços comuns (CSC) é uma importante iniciativa do governo indiano que fornece uma variedade de serviços essenciais aos cidadãos, geralmente envolvendo o tratamento de documentos confidenciais de KYC (Conheça seu cliente). Essa investigação começou após identificar vários sites não autorizados que se faziam passar pelo esquema CSC, oferecendo serviços essenciais de KYC, como downloads e atualizações de endereço do Aadhaar, por taxas mínimas, ignorando os protocolos de segurança padrão. A facilidade de criação de contas, a ampla oferta de serviços e a rápida mudança de domínios apontaram para uma operação criminosa altamente organizada e dinâmica. Este relatório analisa “crrsg.site” como um estudo de caso representativo, mas o escopo da ameaça é muito mais amplo. Até o momento, acabou 1.800 domínios foram identificados como parte desta operação, com Mais de 600 domínios ativos atualmente em operação. Essa extensa rede de domínios ressalta a grande escala e a resiliência do esquema fraudulento, complicando significativamente os esforços para mitigar seu impacto. A escala dessas atividades representa desafios substanciais para a aplicação da lei e destaca a necessidade urgente de contramedidas coordenadas.

Modus Operandi: Uma rede fraudulenta complexa

‍

A operação PrintSteal representa um esquema altamente organizado e de várias camadas para produzir e distribuir documentos KYC indianos falsos. Ele combina efetivamente tecnologias acessíveis, APIs ilícitas e uma vasta rede de afiliados involuntários para escalar a operação e manter a eficiência. O sucesso da operação é impulsionado pela crescente demanda por serviços de documentos rápidos e convenientes, ao mesmo tempo em que obscurece suas atividades ilegais e fica um passo à frente da aplicação da lei. A estrutura reflete uma empresa criminosa sofisticada, completa com uma divisão de funções e um forte foco na segurança operacional.

Criação e implantação de plataformas fraudulentas:

‍

‍

‍

O esquema começa com o estabelecimento de plataformas fraudulentas de geração de documentos KYC, que geralmente são criadas usando modelos pré-fabricados (como o AdminLTE), reduzindo a necessidade de um extenso trabalho de desenvolvimento. Os agentes da ameaça adquirem o código-fonte de fontes de terceiros, como ahkwebsolutions.com, hardscripts.com ou pgecm.in, e personalize-o para tipos específicos de documentos falsos. Esses atores ou seus associados então compram serviços de hospedagem compartilhada de provedores como GoDaddy, Hosting Concepts, HOSTINGER e outros para implantar várias plataformas, aprimorando o alcance e a resiliência da operação. Embora algumas plataformas sejam básicas, outras usam APIs externas para ampliar seus recursos, permitindo a criação de uma variedade maior de documentos falsificados.

‍

‍

Recrutamento, treinamento e supervisão de afiliados:

A operação depende muito de uma rede de afiliados, principalmente empresas locais, como lojas móveis e cibercafés, que servem como pontos de contato para clientes que buscam documentos falsos. O recrutamento é realizado tanto online quanto offline, com a demanda por serviços rápidos de documentação atraindo novos afiliados. Esses serviços são fortemente promovidos por meio de plataformas de mídia social, como YouTube e Instagram, onde tutoriais e conteúdo promocional mostram a simplicidade de usar a plataforma. O processo de adesão à rede é simples: os afiliados se cadastram na plataforma, financiam uma carteira virtual e obtêm acesso às ferramentas de geração de documentos.

Treinamento e orientação contínuos são fornecidos por meio de grupos privados do Telegram e canais do YouTube, que incluem tutoriais, dicas e atualizações. Esses canais também servem como o principal meio para os agentes de ameaças manterem o controle sobre a rede, compartilhando informações cruciais sobre a verificação de clientes (especialmente para documentos confidenciais como Aadhaar, PAN e IDs de eleitores) e oferecendo avisos sobre possíveis investigações policiais. O tom dessas mensagens ressalta os altos riscos envolvidos e a importância de manter uma segurança operacional rigorosa.

‍

‍

Geração de documentos e coleta de dados:

‍

O processo de geração de documentos envolve várias etapas:

‍Entrada de dados: O operador insere manualmente os detalhes necessários na interface do portal.

‍

‍

2. Interação do banco de dados: A plataforma consulta o banco de dados para recuperar dados relevantes com base nas informações inseridas e nos parâmetros selecionados (idioma, tipo).‍

3. Montagem de documentos: O código PHP combina os dados recuperados do banco de dados com imagens pré-existentes de documentos oficiais para criar um PDF.

‍

‍

‍

‍

4. Geração de código QR: A plataforma gera códigos QR usando api.qrserver.com, codificando URLs que redirecionam para páginas de verificação enganosas. Essa etapa aprimora a aparente legitimidade do documento.

5. Geração de PDF: Um PDF gerado dinamicamente é criado.

‍

‍

Verificação enganosa do código QR:

Um elemento crítico para o sucesso da operação PrintSteal é o uso de códigos QR enganosos para aumentar a credibilidade de documentos fraudulentos. Esses códigos QR, gerados usando o serviço legítimo api.qrserver.com, são incorporados aos documentos fraudulentos (cartões Aadhaar, certidões de nascimento, certidões de óbito). No entanto, em vez de criar links para sites oficiais de verificação do governo, esses códigos QR direcionam os usuários a URLs falsificados, projetados para imitar páginas de verificação legítimas. Por exemplo, escanear o código QR em uma certidão de nascimento fraudulenta leva a um URL como

‍

https://crrsg.site/admin/web/index.php/auth/birthCertificate/view/B/bWF4VExRZC9GTnhBWkhtZTNrdWhUZz09.php?id=130272&cont=Anjsjdn

‍

que exibe o próprio documento fraudulento, criando a falsa impressão de verificação de uma fonte oficial.

‍

Da mesma forma, os códigos QR da certidão de óbito vinculam a URLs como

https://dc.crsorgi.gov.in.edistrict.site/crs/verifyCertificate.php?id=24

que imitam portais oficiais de verificação do governo. Esse engano sofisticado torna extremamente difícil distinguir documentos autênticos de documentos fraudulentos, mesmo com tentativas básicas de verificação.

‍

‍

Sistema de pagamento e participação nos lucros:

A operação emprega um sistema integrado de carteira virtual para pagamentos. Os afiliados depositam fundos em suas contas de plataforma e o custo de cada documento gerado é automaticamente deduzido de sua carteira. Os agentes da ameaça cobram uma taxa por cada documento (normalmente 20-35 INR em crrsg.site), enquanto os afiliados aumentam os preços, lucrando com a diferença e oferecendo maior comodidade aos clientes.

Segurança operacional (OPSEC) e resposta à aplicação da lei:

O OPSEC é um elemento crítico do sucesso da operação. Os agentes da ameaça usam canais de comunicação seguros, como o Telegram, para gerenciar a rede, emitir avisos sobre investigações policiais em andamento e fornecer suporte contínuo aos afiliados. Quando as ações policiais derrubam uma de suas plataformas, as operadoras mudam rapidamente, implantando novas plataformas e domínios para substituir os perdidos, demonstrando sua capacidade de se adaptar rapidamente aos esforços de fiscalização. Essa abordagem proativa destaca sua compreensão das táticas policiais e seu compromisso em manter a operação funcionando sem problemas, apesar do aumento do escrutínio.

‍

Atribuição de www.crrsg.site: Mg Khaan aka Manish Kumar

A investigação revelou que Manish Kumar é uma figura central na operação criminosa por trás do “crrsg.site”. Outros sites são operados por diferentes agentes de ameaças.

Motivação:

O principal motivo é o ganho financeiro por meio da geração e distribuição em grande escala de documentos KYC fraudulentos. Análise de crrsg.site Por si só, indica um lucro substancial de aproximadamente 40 Lakh, com base em preços documentados (Rs. 20-35 por documento) e na geração de mais de 160.000 documentos. Esse número, no entanto, provavelmente representa uma subestimação significativa do total de lucros gerados. Os lucros reais são significativamente maiores, considerando os serviços mais caros oferecidos, a existência de várias plataformas similares e a natureza contínua da operação. O modelo de negócios é eficiente e escalável, contando com uma rede de afiliados de várias camadas para distribuição e aproveitando APIs ilícitas prontamente disponíveis para aquisição de dados.

Análise técnica:

A plataforma é construída usando um Painel de administração/sistema de painel baseado em PHP que impulsiona sua funcionalidade principal. O backend é alimentado por PHP, lidando com a lógica do lado do servidor para gerar documentos fraudulentos e gerenciar as interações do usuário. O sistema usa MySQL como seu banco de dados para armazenar entradas de usuários, dados de documentos e informações de afiliados. No frontend, jQuery e Bootstrap 4 são utilizados para design responsivo e atualizações dinâmicas de conteúdo, enquanto o Administrador LTE A estrutura fornece uma interface personalizável e fácil de usar para gerenciar as operações da plataforma.

‍

• Código fonte: O código-fonte, baseado em um sistema de gestão educacional reaproveitado obtido de ahkwebsolutions. com, estava facilmente disponível on-line. Isso reduz significativamente a barreira de entrada para outras pessoas que desejam criar plataformas semelhantes, aumentando o risco de proliferação. O uso de um modelo prontamente disponível simplifica o desenvolvimento, reduzindo a necessidade de habilidades especializadas e facilitando para indivíduos menos experientes configurar e operar essas plataformas fraudulentas.‍
• Integração de API: A integração de APIs ilícitas de apizone.in e hhh00.xyz, entre outros, permite a recuperação eficiente de dados confidenciais, reduzindo a quantidade de dados que precisam ser coletados diretamente dos clientes. Essas APIs normalmente exigem uma chave de API e utilizam solicitações HTTP GET padrão, sugerindo que os agentes da ameaça possuem uma compreensão básica da interação da API. O uso dessas APIs destaca a crescente ameaça de fontes de dados ilícitas prontamente disponíveis na dark web e em outras plataformas on-line.

Observação: os serviços de API usados nessa operação exigem uma investigação mais aprofundada para entender como eles estão obtendo e fornecendo dados confidenciais para a geração fraudulenta de documentos.

• ‍Infraestrutura de hospedagem: O uso de hospedagem compartilhada de vários provedores dificulta o rastreamento e a interrupção da operação. Não há evidências de técnicas sofisticadas para mascarar endereços IP ou origens. Essa estratégia é econômica e minimiza o risco de detecção.

• Evolução e variantes: A operação evoluiu com o tempo, com novas plataformas surgindo para substituir as retiradas. Isso indica desenvolvimento e adaptação contínuos às contramedidas. Isso demonstra a resiliência e adaptabilidade dos atores da ameaça, destacando a necessidade de uma abordagem proativa e dinâmica para combater esse tipo de atividade criminosa.
• Distribuição geográfica de documentos falsos identificados:

A análise da operação PrintSteal revela um amplo alcance geográfico em toda a Índia, com atividade confirmada em Andhra Pradesh, Arunachal Pradesh, Assam, Bihar, Chandigarh, Chhattisgarh, Delhi, Gujarat, Haryana, Jammu e Caxemira, Jharkhand, Karnataka, Madhya Pradesh, Maharashtra, Odisha, Punta Jab, Rajastão, Tamil Nadu, Telangana, Tripura, Uttar Pradesh, Uttarakhand e Bengala Ocidental. Essa presença generalizada destaca a escala e o impacto da empresa criminosa, sugerindo uma rede sofisticada capaz de recrutar e gerenciar afiliados em diversas regiões. A distribuição da atividade pode refletir vários fatores, incluindo acesso à internet, condições socioeconômicas e redes informais existentes. No entanto, a extensão precisa do alcance geográfico da operação permanece sob investigação, e uma análise mais aprofundada é necessária para mapear completamente sua distribuição e compreender os fatores subjacentes que contribuem para sua presença variada nesses estados.

‍

Avaliação de impacto:

1. Impacto financeiro:

A operação PrintSteal causou perdas financeiras substanciais. Somente o crrsg.site gerou cerca de 40 lakh a partir de mais de 160.000 documentos fraudulentos. Com mais de 1.800 domínios na rede, o ganho financeiro total provavelmente é muito maior. Esses lucros ilegais impulsionam o crescimento da operação, representando um risco financeiro contínuo. Além disso, a distribuição ilícita de documentos falsos do KYC mina a confiança nos sistemas financeiro e jurídico da Índia, levando a consequências financeiras significativas a longo prazo.

• Uso fraudulento de identidade: documentos falsos do KYC permitem outras atividades fraudulentas, como abertura de contas bancárias, obtenção de empréstimos e outros crimes financeiros, amplificando os danos econômicos.
• Aumento de crimes financeiros: O uso generalizado de documentos falsos do KYC facilita crimes complexos, como lavagem de dinheiro e evasão fiscal, minando a segurança econômica nacional.

2. Impacto na reputação:

O PrintSteal prejudicou gravemente a reputação da iniciativa Common Service Center (CSC). Ao se passar por serviços do CSC e contornar processos legítimos, os criminosos exploram a confiança do público nos sistemas governamentais.

• Erosão da confiança pública: os cidadãos se tornam céticos em relação aos serviços governamentais on-line, temendo o uso indevido de informações confidenciais. Essa erosão da confiança pode diminuir a adoção de serviços governamentais essenciais que dependem da integridade do KYC.
• Iniciativas governamentais em risco: Essa fraude compromete iniciativas futuras, como identidades digitais, esquemas de governo eletrônico e processos de registro on-line, retardando a adoção e a participação do público.

3. Implicações legais e regulatórias:

A escala e a sofisticação do PrintSteal têm consequências legais e regulatórias significativas:

• Violação das leis de identidade e proteção de dados: A operação viola as leis indianas, incluindo a Lei de TI de 2000, a Lei Aadhaar de 2016 e disposições relacionadas a fraude, roubo de identidade e privacidade de dados. Operadores e afiliados enfrentam penalidades severas.
• Ramificações internacionais: Dada a natureza da operação e a acessibilidade global, a cooperação internacional pode ser necessária para lidar com essas atividades transfronteiriças de crimes cibernéticos.

4. Ameaças à segurança nacional:

A criação e circulação fraudulentas de documentos KYC representam um risco mais amplo à segurança nacional:

• Vulnerabilidades nos serviços públicos: documentos falsos (certidões de nascimento, cartões Aadhaar, cartões PAN) permitem a aquisição ilegal de serviços restritos. Entidades criminosas poderiam explorar isso para obter acesso a recursos restritos, criando uma questão mais ampla de segurança nacional.

8. Recomendações

1. Resposta imediata da polícia:

• Investigue e processe os principais atores: É necessário um esforço coordenado de aplicação da lei nacional para desmantelar a liderança da rede PrintSteal. Isso inclui investigar fluxos financeiros, identificar os principais atores (por exemplo, Manish Kumar) e perseguir agressivamente acusações criminais.
• Colaboração entre agências: a colaboração entre unidades de crimes cibernéticos, autoridades financeiras (por exemplo, Diretoria de Execução) e equipes de perícia digital é crucial para rastrear fundos ilícitos, descobrir atividades criminosas associadas e identificar possíveis lavagens de dinheiro.

2. Operações de remoção de domínios e sites:

• Colaboração com provedores de hospedagem: trabalhe com provedores de hospedagem globais e locais para identificar e desligar rapidamente as plataformas PrintSteal. Isso inclui uma política de remoção rápida para domínios que hospedam sites fraudulentos ou se envolvem em atividades maliciosas.
• Bloqueio de IP e lista negra de domínios: utilize ferramentas de inteligência cibernética para mapear a infraestrutura do domínio, bloquear endereços IP maliciosos e colocar domínios suspeitos na lista negra em todo o mundo. Isso reduz a disponibilidade de plataformas fraudulentas e interrompe as operações dos afiliados.

3. Interrupção da rede de afiliados:

• Investigação direcionada de afiliados: as agências policiais e de segurança cibernética devem investigar e interromper a rede de lojas móveis locais, cibercafés e outras empresas afiliadas. As campanhas de conscientização pública devem alertar os participantes em potencial sobre os riscos e penalidades legais.
• Identifique e interrompa fluxos financeiros: investigue carteiras virtuais, IDs UPI e transações de criptomoedas para rastrear fluxos financeiros e congelar contas ilícitas.

4. Protocolos aprimorados de segurança e autenticação:

• Métodos de verificação mais fortes: implemente métodos de verificação de identidade mais fortes, incluindo verificação biométrica, autenticação de dois fatores (2FA) para atualizações de KYC e verificações de banco de dados em tempo real com base em registros governamentais.
• Aprimoramentos na segurança da API: analise todas as APIs governamentais para garantir que elas não sejam vulneráveis ao acesso não autorizado. As APIs usadas nos serviços KYC e Aadhaar devem ser rigidamente controladas, com acesso limitado a entidades verificadas.

5. Segurança cibernética e proteção de infraestrutura:

• Monitoramento constante de atividades fraudulentas: implemente sistemas de monitoramento em tempo real para detectar atividades incomuns relacionadas à geração de documentos KYC, incluindo o rastreamento de padrões de domínio suspeitos, solicitações rápidas de documentos em massa e o uso de APIs ilícitas.
• Verificação de blockchain para KYC: considere adotar a tecnologia blockchain para verificação de dados KYC para aumentar a transparência e a autenticidade.

6. Campanhas de conscientização pública e educação:

• Iniciativas de conscientização pública: lance uma campanha de educação pública em plataformas de mídia para aumentar a conscientização sobre sites fraudulentos de KYC e os perigos de fornecer informações pessoais a fontes não verificadas. Inclua guias fáceis de seguir sobre como verificar a autenticidade de documentos emitidos pelo governo.
• Destaque os riscos de documentos KYC falsos: Promova a compreensão dos riscos associados ao uso de documentos KYC fraudulentos, especialmente para serviços financeiros, assistência médica e benefícios governamentais.

7. Colaboração internacional para prevenção de crimes cibernéticos:

• Cooperação transfronteiriça: A cooperação internacional é necessária para abordar o alcance global da operação. Colabore com agências de segurança cibernética em outros países e organizações como a INTERPOL para rastrear e processar redes criminosas transfronteiriças.
• Colaboração com equipes de vigilância da Dark Web: monitore a dark web em busca de fornecedores ilícitos de API (por exemplo, apizone.in, hhh00.xyz) e corretores de dados que fornecem a operação PrintSteal. Esforços internacionais coordenados podem fechar essas fontes de dados.

8. Fortalecimento dos marcos legais e regulatórios:

• Reforme as leis de privacidade de dados e crimes cibernéticos: fortaleça as leis sobre roubo de identidade, privacidade de dados e crimes cibernéticos, com penalidades mais rigorosas.
• Imponha um licenciamento mais rigoroso para provedores de serviços: imponha regulamentações mais rígidas às empresas que oferecem serviços de KYC e documentos, exigindo licenças operacionais e protocolos de segurança claros.

9. Contramedidas de longo prazo:

• IA e aprendizado de máquina para detecção de fraudes: implemente algoritmos de aprendizado de máquina para identificar padrões na geração de documentos fraudulentos, como criação em massa de documentos KYC, atividades anormais de código QR e registros de domínios suspeitos.

• Resposta colaborativa do setor público-privado: Incentive parcerias entre o governo, empresas de tecnologia e empresas de segurança cibernética para criar melhores sistemas de prevenção, incluindo o compartilhamento de inteligência sobre ameaças em evolução e vetores de ataque.

Apêndice

‍

‍

‍

‍

‍

‍