Departament Sprawiedliwości Stanów Zjednoczonych poinformował o likwidacji nielegalnego rynku internetowego o nazwie Rydox („rydox[.]ru” oraz „rydox[.]cc”), który służył do sprzedaży skradzionych danych osobowych, urządzeń dostępowych oraz narzędzi ułatwiających działalność cyberprzestępczą i oszustwa.
W związku z tą operacją aresztowano troje kosowskich obywateli: Ardita Kutleshiego, Jetmira Kutleshiego oraz Shpenda Sokoli, którzy pełnili rolę administratorów serwisu. Dwóch z nich — Ardit i Jetmir Kutleshi — ma zostać wydanych władzom USA. Z kolei Shpend Sokoli, zatrzymany 12 grudnia 2024 roku w Albanii, zostanie osądzony w swoim kraju.
Zgodnie z informacjami przedstawionymi przez Departament Sprawiedliwości, rynek Rydox przeprowadził ponad 7,600 transakcji sprzedaży danych osobowych, urządzeń umożliwiających dostęp oraz narzędzi cyberprzestępczych. Od początku swojej działalności w lutym 2016 roku platforma wygenerowała przychód wynoszący co najmniej 230 tysięcy dolarów.
Skala działalności Rydox
Wśród oferowanych na platformie dóbr znalazły się dane dotyczące kart kredytowych oraz poświadczenia logowania skradzione tysiącom ofiar zamieszkujących w Stanach Zjednoczonych. Rydox reklamował również ponad 321,000 produktów związanych z cyberprzestępczością, takich jak fałszywe strony internetowe, zapisy zdarzeń spamerskich czy instrukcje tworzenia oszustw. Platforma miała ponad 18,000 użytkowników.
Z dokumentów sądowych wynika, że użytkownicy musieli założyć konto, aby kupować lub sprzedawać nielegalne produkty i usługi na platformie. By tego dokonać, wymagano dokonania wpłaty kryptowalutowej na konto kontrolowane przez administratorów strony. Dodatkowo za możliwość zostania autoryzowanym sprzedawcą serwis pobierał jednorazową opłatę w wysokości od 200 do 500 dolarów. Sprzedawcy otrzymywali 60% kwoty transakcji, podczas gdy pozostałe 40% trafiało do administratorów Rydox.
Podstawy śledztwa
Federalne Biuro Śledcze (FBI) przeprowadziło prowokację, podczas której tajny agent założył konto na Rydox, wpłacił równowartość 300 dolarów w kryptowalutach i zakupił 40 zestawów danych osobowych ofiar. Zestawy te zawierały takie informacje jak pełne imię i nazwisko, adres e-mail, adres zamieszkania, numer telefonu, numer Social Security, datę urodzenia oraz numery prawa jazdy ofiar.
W dalszej części operacji FBI, przy współudziale Królewskiej Policji Malezyjskiej, skonfiskowało serwery w Kuala Lumpur, co doprowadziło do całkowitego wyłączenia strony. Ponadto przejęto kryptowaluty o wartości około 225,000 dolarów z kont kontrolowanych przez oskarżonych. W Albanii skonfiskowano komputery, laptopy, telefony komórkowe oraz inne nośniki danych, a także dokumenty i środki finansowe w kryptowalutach.
Oskarżenia i grożące kary
Obaj bracia Kutleshi zostali oskarżeni o kradzież tożsamości, udział w spisku mającym na celu kradzież tożsamości, oszustwa związane z urządzeniami dostępowymi oraz pranie brudnych pieniędzy. W przypadku skazania grozi im do 37 lat pozbawienia wolności.
Egzekucje prawa w innych krajach
Sprawa Rydox to jedynie część szerszej walki z cyberprzestępczością. Tego rodzaju działania podejmowane są na całym świecie. Przykładem może być ekstradycja 37-letniego Nigeryjczyka Abiola Kayode do Stanów Zjednoczonych. Kayode jest oskarżony o udział w procederze polegającym na przejmowaniu firmowych e-maili (BEC) w celu wyłudzania pieniędzy. Między styczniem 2015 roku a wrześniem 2016 roku oszukańcze działania doprowadziły do strat wynoszących ponad 6 milionów dolarów.
Podobne działania przeprowadzono w Hiszpanii, gdzie rosyjski FSB i hiszpańska policja zdemaskowały organizację zajmującą się oszustwami vishingowymi. Grupa podszywała się pod pracowników banków, wyłudzając od ofiar kody weryfikacyjne, które później wykorzystywano do wypłat z bankomatów.