Phishing completamente equipado

¿Una casa completamente equipada? ¿Qué tal el phishing completamente equipado? Los estafadores ahora venden servicios de phishing completamente equipado a otros estafadores. Sigue leyendo para descubrir cómo funciona.

En la actualidad, un estafador no necesita saber cómo escribir malware o idear sofisticados esquemas de fraude digital. Las estafas actuales vienen empaquetadas en forma de fraude como servicio (FaaS). El estafador promedio solo necesita buscar víctimas y luego vaciar sus billeteras; el operador se encarga del resto.

Hoy, analizamos un grupo que se especializa en estafas de sitios web de clasificados para explicar qué es el phishing completamente equipado y la mejor manera de defenderse frente a él.

¿Quién presta el servicio?

La persona clave de una banda criminal es el fundador o el iniciador del tema. Esta persona administra a todos los demás:

  • Codificadores, que son responsables de los canales, chats y bots de Telegram
  • Encargados de reembolsos o agentes de soporte falsos
  • Tarjeteros, que retiran dinero de la cuenta bancaria de la víctima.
  • Trabajadores, que buscan anuncios, responden y persuaden a las víctimas para que hagan clic en un enlace de phishing

Así es como se ve la formación principal de casi cualquier banda criminal. Los equipos especialmente sofisticados también incluyen a especialistas en marketing, motivadores y mentores. Estos realizan campañas de promoción del proyecto y proporcionan apoyo moral y formación a los trabajadores.

Los miembros de una banda de estafadores se comunican principalmente a través de grupos privados y chats en Telegram. El canal que investigamos tenía alrededor de 15 000 miembros, de los cuales solo cinco eran mentores. Prácticamente todos los demás eran trabajadores; un peón en este esquema. Lee la historia de investigación en Securelist para obtener más información sobre otros roles que tienen los miembros de una banda de estafadores.

El bot de Telegram como principal arma de los trabajadores

Los bots ayudan a las bandas criminales a automatizar la mayor parte del proceso de estafa. Por ejemplo, los estafadores pueden usarlos para crear anuncios de phishing únicos y personalizados. Un bot de Telegram que descubrimos produce hasta 48 anuncios a la vez, en cuatro idiomas, para seis sitios web de clasificados y en dos versiones: estafa al vendedor (2.0) y estafa al comprador (1.0).

Un bot crea enlaces para dos tipos de estafa a la vez: estafa al vendedor (2.0) y estafa al comprador (1.0)

Un bot crea enlaces para dos tipos de estafa a la vez: estafa al vendedor (2.0) y estafa al comprador (1.0)

Luego, un trabajador utiliza el bot de Telegram para enviar automáticamente los enlaces al correo electrónico, la cuenta de mensajería instantánea o la bandeja de entrada de SMS de la víctima. Tan pronto como se abre un enlace de phishing, el bot muestra un mensaje que dice “Mamut en línea”. Esto le indica al trabajador que la estafa casi ha tenido éxito: la víctima no tiene protección, por lo que la banda criminal está a punto de robarle el dinero.

El bot le cuenta al trabajador todo lo que hace la víctima, en detalle

El bot le cuenta al trabajador todo lo que hace la víctima, en detalle

Las notificaciones instantáneas sobre todo lo que sucede es una de las funciones principales de los bots de Telegram. Así, si la víctima muerde el anzuelo y paga por la “mercancía” o la “entrega”, el trabajador se entera de inmediato. El bot calcula la parte del botín del trabajador y comparte el nombre del tarjetero que retira los fondos.

"¡Otro engaño!": el nuevo himno de los trabajadores

“¡Otro engaño!”: el nuevo himno de los trabajadores

Esto es todo lo que el trabajador debe hacer, ya que el dinero se acredita en su cuenta automáticamente, a menos que sean estafados por sus propios compañeros de la banda, lo cual no es inaudito.

Cuánto ganan las bandas de estafadores

Los trabajadores son los generadores de dinero de la banda criminal: pagan comisiones al autor intelectual, al mentor, al tarjetero y al encargado de los reembolsos. Este proyecto es sin duda una fuente de ingresos: la banda criminal ha ganado más de dos millones de dólares estadounidenses entre agosto de 2023 y junio de 2024. Eso es lo que dicen los estafadores de todos modos en su chat interno para motivar a los trabajadores. Sin embargo, pueden declarar las cifras que quieran, por infladas que sean.

Un buen día para toda la humanidad, un mal día para los estafadores

Un buen día para toda la humanidad, un mal día para los estafadores

Las ganancias de la fábrica de estafas están restringidas por los límites de transacciones de los bancos. La banda criminal que estamos analizando opera fuera de Suiza y las reglas bancarias locales le impiden robar más de 15 000 francos suizos (aproximadamente 16 700 dólares estadounidenses) a la vez. Los trabajadores tienen una cantidad mínima de retiro: no se tomarán la molestia de usar tarjetas que tienen menos de 300 francos suizos (333 dólares estadounidenses) en la cuenta asociada; de lo contrario, los costos excederían las ganancias.

Evitar la trampa

Recibir un ataque de phishing completamente equipado (a diferencia del phishing “regular”) no supone ninguna diferencia para el objetivo: los estafadores siguen siendo estafadores que intentan todo tipo de formas de estafar a las víctimas. Pero, dado que FaaS hace que el trabajo de los estafadores sea mucho más fácil, este tipo de estafa va en aumento. En consecuencia, los consejos de protección siguen siendo los mismos que para otros tipos de phishing:

  • Utiliza seguridad fiable para evitar abrir enlaces de phishing.
  • Echa un vistazo a nuestras reglas de venta segura en línea.
  • Restringe tus conversaciones con vendedores y compradores de los sitios de anuncios clasificados; para evitar que los trabajadores vean tus datos personales, no uses aplicaciones de mensajería instantánea.
  • Paga tus compras en línea solo con tarjetas virtuales que tengan límites de transacción y no tengas montos significativos en las cuentas vinculadas a ellas.
  • Lee sobre cómo funcionan otras estafas para mantenerte al tanto de las tendencias.
Consejos