Europol desmantela importante operación de phishing dirigida a credenciales de teléfonos móviles

Phishing Scheme

Esquema de phishing

Las autoridades policiales anunciaron el desmantelamiento de una red criminal internacional que utilizaba una plataforma de phishing para desbloquear teléfonos celulares robados o perdidos.

La plataforma de phishing como servicio (PhaaS), llamada iServer, se ha cobrado más de 483.000 víctimas en todo el mundo, encabezadas por Chile (77.000), Colombia (70.000), Ecuador (42.000), Perú (41.500), España (30.000 ) y Argentina (29.000).

«Las víctimas son principalmente ciudadanos de habla hispana de países europeos, norteamericanos y sudamericanos», dijo Europol. dicho en un comunicado de prensa.

La acción, denominada Operación Kaerb, contó con la participación de organismos policiales y judiciales de España, Argentina, Chile, Colombia, Ecuador y Perú.

De acuerdo con el ejercicio conjunto Entre el 10 y el 17 de septiembre fue detenido un ciudadano argentino responsable del desarrollo y gestión del servicio PhaaS desde 2018.

En total, la operación se saldó con 17 detenciones, 28 registros y la incautación de 921 objetos, entre teléfonos móviles, dispositivos electrónicos, vehículos y armas. Se cree que hasta la fecha se han desbloqueado hasta 1,2 millones de teléfonos móviles.

«Si bien iServer es esencialmente una plataforma de phishing automatizada, su enfoque específico en la recopilación de credenciales para desbloquear teléfonos robados lo distingue de las ofertas típicas de phishing como servicio», dijo Group-IB. dicho.

iServer, según la empresa con sede en Singapur, ofrecía una interfaz web que permitía a delincuentes poco cualificados, conocidos como «desbloqueadores», desviar contraseñas de dispositivos y credenciales de usuario de plataformas móviles basadas en la nube, lo que les permitía evitar el Modo Perdido y desbloquear. dispositivos.

Ciberseguridad

El administrador del sindicato criminal anunció el acceso a estos desbloqueadores, quienes, a su vez, utilizaron iServer no solo para realizar desbloqueos de phishing, sino también para vender sus ofertas a otros terceros, como ladrones de teléfonos.

Los desbloqueadores de teléfonos también son responsables de enviar mensajes falsos a las víctimas de robo de teléfonos en un intento de recopilar datos para obtener acceso a estos dispositivos. Lo hacen enviando mensajes de texto que engañan a los destinatarios para que localicen su teléfono perdido haciendo clic en un enlace.

Esto desencadena una cadena de redireccionamiento que finalmente lleva a la víctima a una página de destino donde se le solicita que ingrese sus credenciales, el código de acceso del dispositivo y los códigos de autenticación de dos factores (2FA), que luego se utilizan indebidamente para obtener acceso ilícito al dispositivo, desactivar el Modo Perdido y y desvincular el dispositivo de la cuenta del propietario.

«iServer automatiza la creación y distribución de páginas de phishing que imitan plataformas móviles populares basadas en la nube, con varias implementaciones únicas que mejoran su efectividad como herramienta de cibercrimen», dijo Group-IB.

Plataforma fantasma destruida en acción global

Este acontecimiento se produce cuando Europol y la Policía Federal Australiana (AFP) revelaron el desmantelamiento de una red de comunicaciones cifradas llamada Ghost («Ghost»).www.chatfantasma[.]neto«), lo que ha facilitado la delincuencia grave y organizada en todo el mundo.

La plataforma, que se incluía en un teléfono inteligente Android personalizado por alrededor de 1.590 dólares por una suscripción de seis meses, se utilizaba para llevar a cabo una amplia gama de actividades ilegales, como tráfico, lavado de dinero e incluso actos de violencia extrema. Esta es sólo la última incorporación a una lista de servicios similares como Phantom Secure, EncroChat, Sky ECC y Exclu que han sido cerrados por razones similares.

«La solución utilizaba tres estándares de cifrado y ofrecía la posibilidad de enviar un mensaje seguido de un código específico que haría que todos los mensajes en el teléfono objetivo se autodestruyeran», dijo Europol. dicho“Esto ha permitido a las redes criminales comunicarse de forma segura, evadir la detección, contrarrestar las medidas forenses y coordinar sus operaciones ilegales a través de las fronteras. »

Según los informes, varios miles de personas utilizaron la plataforma y se intercambiaron alrededor de 1.000 mensajes a través del servicio cada día antes de su interrupción.

Durante la investigación iniciada en marzo de 2022, se detuvo a 51 sospechosos: 38 en Australia, 11 en Irlanda, uno en Canadá y uno en Italia, pertenecientes al grupo mafioso italiano Sacra Corona Unita.

Encabeza la lista un hombre de 32 años de Sydney, Nueva Gales del Sur, que ha sido acusado de crear y administrar Ghost como parte de la Operación Kraken, junto con varios otros acusados ​​de utilizar la plataforma para traficar cocaína y cannabis y distribuir drogas. y fabricar un falso complot terrorista.

Se cree que el administrador, Jay Je Yoon Jung, lanza Hace nueve años, estuvo involucrado en una empresa criminal que le reportó millones de dólares en ganancias ilegales. Fue arrestado en su casa en Narwee. En la operación también se desmanteló un laboratorio de drogas en Australia, además de confiscarse armas, drogas y un millón de euros en efectivo.

AFP dicho se infiltró en la infraestructura de la plataforma para lanzar un ataque a la cadena de suministro de software modificando el proceso de actualización de software para acceder al contenido almacenado en 376 teléfonos activos ubicados en Australia.

«El panorama de las comunicaciones cifradas se ha vuelto cada vez más fragmentado debido a las recientes acciones policiales dirigidas a plataformas utilizadas por redes criminales», señaló Europol.

Ciberseguridad

“En respuesta a esto, los actores criminales están recurriendo a una variedad de herramientas de comunicación personalizadas o menos conocidas que brindan diversos grados de seguridad y anonimato. Para ello buscan nuevas soluciones técnicas y también utilizan aplicaciones de comunicación populares para diversificar sus métodos. »

La agencia encargada de hacer cumplir la ley, además de resaltar la necesidad de acceso a las comunicaciones entre sospechosos para combatir delitos graves, llamó a las empresas privadas a garantizar que sus plataformas no se conviertan en refugios seguros para malos actores y a proporcionar medios de acceso legal a los datos “bajo supervisión judicial y con pleno respeto a los derechos fundamentales”.

Alemania desmantela 47 casas de cambio de criptomonedas

Estas acciones también coinciden con la incautación por parte de Alemania de 47 servicios de intercambio de criptomonedas alojados en el país que permitieron actividades ilegales de lavado de dinero para ciberdelincuentes, incluidos grupos de ransomware, revendedores de redes oscuras y operadores de redes de bots. La operación fue llamada Intercambio final.

Los servicios fueron acusados ​​de no implementar programas de conocimiento de su cliente (KYC) o contra el lavado de dinero y de enmascarar intencionalmente la fuente de los fondos obtenidos de manera criminal, permitiendo así que prospere el cibercrimen. No se han anunciado públicamente arrestos.

«Los servicios de intercambio permitieron transacciones de trueque sin pasar por un proceso de registro y sin verificación de identidad», dijo la Oficina Federal de Policía Criminal (también conocida como Bundeskriminalamt). dicho“La oferta tenía como objetivo intercambiar criptomonedas de forma rápida, sencilla y anónima por otras criptomonedas o monedas digitales para ocultar su origen. »

El Departamento de Justicia de EE. UU. acusa a dos personas de estafa de criptomonedas por valor de 230 millones de dólares

En un colofón a los esfuerzos de las fuerzas del orden para combatir el delito cibernético, el Departamento de Justicia de Estados Unidos (DoJ) dijo que dos sospechosos fueron arrestados y acusados ​​de conspirar para robar y lavar más de 230 millones de dólares en criptomonedas de una víctima anónima en Washington DC.

Malone Lam, de 20 años, y Jeandiel Serrano, de 21, y otros cómplices supuestamente cometieron robos de criptomonedas al menos desde agosto de 2024 accediendo a las cuentas de las víctimas, que luego fueron blanqueadas a través de diversos intercambios y servicios.

Las ganancias mal habidas se utilizaron luego para financiar un estilo de vida extravagante, como viajes internacionales, clubes nocturnos, autos de lujo, relojes, joyas, bolsos de diseñador y casas de alquiler en Los Ángeles y Miami.

«Lavaron las ganancias, incluido el movimiento de fondos a través de varios mezcladores e intercambios utilizando ‘peeling chains’, billeteras de transferencia y redes privadas virtuales (VPN) para enmascarar sus verdaderas identidades», dijo el Ministerio de Justicia. dicho.

¿Te pareció interesante este artículo? Síguenos en Gorjeo Y LinkedIn para leer más del contenido exclusivo que publicamos.