Una lucha real contra el cibercrimen en pantalla chica

¿Qué pasa cuando los verdaderos ciberexpertos llegan a la televisión para detener el cibercrimen?

Hace unos meses nos contactaron del programa de televisión holandés, Opgelicht?!, donde se exponen diferentes tipos de fraude. Uno de los temas de discusión era la campaña de phishing “We-Cycle”, sobre la que pidieron nuestra opinión. Obviamente accedimos porque consideramos de vital importancia advertir a la gente sobre el peligro del phishing, educarlos para saber cómo reconocerlo y qué deben hacer para protegerse.

La estrategia de phishing

La estrategia es algo simple: una víctima potencial recibe el típico correo electrónico de phishing que informa que una nueva tarjeta de débito será expedida y que la antigua tiene que ser devuelta al banco. Hay dos opciones para esto. La primera es ir al banco y devolver la tarjeta, lo que te costará 22 euros. Esto no ocurre normalmente, pero fue algo que hizo que fallaran algunas de las posibles víctimas.

Real cybercrime fighting on the small screenLa segunda opción es hacer click en el enlace, que suele ser un enlace de phishing, rellenar un montón de información incluyendo el código PIN de tu tarjeta de débito, y enviar la tarjeta de débito por correo a la dirección indicada en la página web de phishing. Lo bueno es que, tal como lo explica el correo electrónico, ¡esta opción no te costaría dinero!

Después de que la víctima envía su tarjeta de débito en un sobre a la dirección indicada, los estafadores solo esperan a que les llegue la tarjeta. Una vez que les llega, los criminales sacan las tarjetas de los sobres recibidos en el buzón de la dirección indicada en la página web. Estos criminales no utilizan buzones registrados con sus nombres, sino buzones a los que pueden acceder fácilmente. Ahora tienen toda la información necesaria para ir al cajero automático y robar el dinero de las víctimas.

Asociación-público privada

Por suerte para las víctimas y las víctimas potenciales, existe el programa de Opgelicht?! (el nombre podría traducirse como Estafado?!). Los creadores del show se sienten con el deber de informar a la gente sobre varias técnicas de fraude y esta campaña de phishing en particular, les llamó la atención. Los productores contactaron a Kaspersky Lab para que comentaran al respecto. Obviamente estábamos encantados de ayudarles.

Después de que el episodio saliera al aire y después de ver los comentarios en la televisión, los estafadores cambiaron su estrategia de phishing, por lo que todos los consejos que di sobre cómo reconocer un correo electrónico de phishing, dejaron de ser útiles.

Entonces, Opgelicht?! decidió adelantarse: Fueron a las direcciones donde se enviaban las tarjetas de débito y empezaron a grabar. Claro, se escondieron para que los estafadores no los vieran, e incluso llegaron a colgar una Go-Pro en un árbol. Tuvieron la suerte de atrapar a los criminales con la cámara y emitieron las grabaciones en televisión.

El próximo paso era advertir de nuevo a las víctimas potenciales sobre los cambios en la estrategia de phishing, por lo que me volvieron a pedir que comentara considerando dichos cambios.

Ciberbullying

Como podrás imaginar, los estafadores no estaban contentos con nuestra campaña anti-fraude. Para combatir su frustración, intentaron manchar mi reputación. Registraron un dominio con mi nombre y usaron palabras horribles. Claramente me sentí ofendido y me preocupaba bastante que la gente pudiese llegar a conclusiones erróneas. Algunos incluso pensarían que estaba involucrado en la estrategia de phishing porque el dominio está registrado a mi nombre, lo que es absurdo.

Por otro lado, era una clara señal de que los consejos que di eran útiles. Al no estar muy seguros sobre cómo manejar la situación, contactamos a los creadores de Opgelicht?!, que ya estaban en contacto con la policía, y propusieron presentar un informe para añadirlo al caso que estaba investigando la policía.

Los resultados

La policía continúa con la investigación y han arrestado recientemente a 4 personas de Amsterdam, de entre 21 y 25 años. En total, la banda consiguió robar 1.8 millones de euros de 650 víctimas en Holanda. Estamos muy contentos de ver que la asociación público-privada sí funciona bien, y que juntos podemos luchar contra el crimen.

En este caso fue una cooperación entre las fuerzas de seguridad, una compañía de seguridad de TI privada y periodistas de televisión. Trabajando de cerca con un mismo objetivo en mente, investigamos esta campaña de fraude, ayudamos a alejar a las víctimas potenciales y finalmente la policía pudo arrestar a los sospechosos y prevenir más daños.

Consejos