Investigación sobre el Smishing Triad
Smith rastreó Reddit y otras fuentes en línea para encontrar personas que reportaban la estafa y las URL que se estaban utilizando, las cuales publicó posteriormente. Algunos de los sitios web que ejecutaban las herramientas del Smishing Triad estaban recolectando miles de datos personales diariamente, según Smith. Entre otros detalles, los sitios solicitaban nombres, direcciones, números de tarjetas de pago y códigos de seguridad, números de teléfono, fechas de nacimiento y sitios web bancarios. Este nivel de información permite a un estafador hacer compras en línea con las tarjetas de crédito. Smith menciona que su esposa canceló rápidamente su tarjeta, pero notó que los estafadores aún intentaron usarla, por ejemplo, con Uber. El investigador dice que recolectaba datos de un sitio web y regresaba unas horas más tarde, solo para descubrir cientos de nuevos registros. Smith proporcionó los detalles a un banco que se puso en contacto con él después de ver sus publicaciones iniciales en su blog. Smith se negó a nombrar al banco y también reportó los incidentes al FBI, además de proporcionar información al Servicio de Inspección Postal de los Estados Unidos (USPIS).
Investigación en Curso
Michael Martel, oficial de información pública nacional en USPIS, afirma que la información proporcionada por Smith se está utilizando como parte de una investigación en curso y que la agencia no puede comentar sobre detalles específicos. “USPIS ya está persiguiendo activamente este tipo de información para proteger al pueblo estadounidense, identificar víctimas y llevar ante la justicia a los actores maliciosos detrás de todo esto,” dice Martel, señalando consejos sobre cómo detectar y reportar estafas de entrega de paquetes de USPS. Inicialmente, Smith dice que era cauteloso al hacer pública su investigación, ya que este tipo de “hackeo de revancha” cae en una “zona gris”: puede estar rompiendo la Ley de Fraude y Abuso Informático de EE. UU., una amplia ley sobre delitos informáticos en el país, pero lo está haciendo contra criminales basados en el extranjero. Sin duda no es el primero, ni será el último, en hacerlo.
Operaciones del Smishing Triad
El Smishing Triad es prolífico. Además de utilizar servicios postales como cebos para sus estafas, el grupo de habla china ha apuntado a la banca en línea, el comercio electrónico y los sistemas de pago en los EE. UU., Europa, India, Pakistán y los Emiratos Árabes Unidos, según Shawn Loveland, director de operaciones de Resecurity, que ha seguido constantemente al grupo. El Smishing Triad envía entre 50,000 y 100,000 mensajes diariamente, según la investigación de Resecurity. Sus mensajes de estafa se envían utilizando SMS o iMessage de Apple, este último cifrado. Loveland afirma que el Triad se compone de dos grupos distintos: un pequeño equipo liderado por un hacker chino que crea, vende y mantiene el kit de smishing, y un segundo grupo de personas que compran la herramienta de estafa. (Una puerta trasera en el kit permite al creador acceder a detalles de los administradores que usan el kit, según Smith en una publicación de blog.)
Y la Aumento del Smishing
“Es muy maduro,” dice Loveland sobre la operación. El grupo vende el kit de estafas en Telegram por una suscripción de $200 al mes, lo cual puede personalizarse para mostrar la organización que los estafadores intentan suplantar. “El actor principal es un chino que se comunica en chino,” dice Loveland. “No parecen estar hackeando sitios web o usuarios de habla china.” (En comunicaciones con el contacto principal en Telegram, el individuo le afirmó a Smith que era un estudiante de informática.) El bajo costo mensual de la suscripción para el kit de smishing significa que, con la cantidad de datos de tarjetas de crédito que están recolectando los estafadores, es muy probable que quienes lo utilizan estén obteniendo beneficios significativos. Loveland dice que usar mensajes de texto que envían inmediatamente una notificación a las personas es una forma más directa y exitosa de phishing, en comparación con enviar correos electrónicos que incluyen enlaces maliciosos. Como resultado, el smishing ha ido en aumento en los últimos años. Pero hay algunas señales características: Si recibes un mensaje de un número o correo electrónico que no reconoces, si contiene un enlace para hacer clic, o si te insta a hacer algo urgentemente, debes ser sospechoso.
Fuente y créditos: www.wired.com
Cats: Security
