Clicky

Europol desmantela un importante esquema de phishing

intervención de la Policía Nacional

Tenía como objetivo las credenciales de teléfonos móviles, con 30.000 víctimas en España

Las autoridades policiales han anunciado el desmantelamiento de una red criminal internacional que utilizaba una plataforma de phishing para desbloquear teléfonos móviles robados o perdidos.

Se estima que la plataforma de phishing como servicio (PhaaS), llamada iServer, ha causado más de 483.000 víctimas en todo el mundo, lideradas por Chile (77.000), Colombia (70.000), Ecuador (42.000), Perú (41.500), España (30.000) y Argentina (29.000).

"Las víctimas son principalmente ciudadanos hispanohablantes procedentes de países europeos, norteamericanos y sudamericanos", indicó Europol en un comunicado de prensa.

La acción, denominada Operación Kaerb, contó con la participación de fuerzas de seguridad y judiciales de España, Argentina, Chile, Colombia, Ecuador y Perú.

A raíz del ejercicio conjunto que tuvo lugar entre el 10 y el 17 de septiembre, fue detenido un ciudadano argentino responsable del desarrollo y operación del servicio PhaaS desde 2018.

En total, la operación permitió detener a 17 personas, realizar 28 registros y decomisar 921 objetos, entre ellos teléfonos móviles, aparatos electrónicos, vehículos y armas. Se cree que hasta ahora se han desbloqueado 1,2 millones de teléfonos móviles.

"Si bien iServer era esencialmente una plataforma de phishing automatizada, su enfoque específico en la recolección de credenciales para desbloquear teléfonos robados lo diferenciaba de las típicas ofertas de phishing como servicio", dijo Group-IB.

iServer, según la empresa con sede en Singapur, ofrecía una interfaz web que permitía a delincuentes poco cualificados, conocidos como "desbloqueadores", sustraer contraseñas de dispositivos y credenciales de usuarios de plataformas móviles basadas en la nube, lo que básicamente les permitía eludir el Modo Perdido y desbloquear los dispositivos.

esquema iServer

El administrador del sindicato criminal anunció el acceso a estos desbloqueadores, quienes, a su vez, utilizaron iServer no sólo para realizar desbloqueos de phishing, sino también para vender sus ofertas a terceros, como ladrones de teléfonos.

Los desbloqueadores también son responsables de enviar falsos mensajes a las víctimas de robo de teléfonos con el objetivo de recopilar datos que permitan el acceso a esos dispositivos. Esto se logra enviando mensajes de texto SMS que instan a los destinatarios a localizar su teléfono perdido haciendo clic en un enlace.

Esto desencadena una cadena de redirección que finalmente lleva a la víctima a una página de destino que le solicita que ingrese sus credenciales, el código de acceso del dispositivo y los códigos de autenticación de dos factores (2FA), que luego se utilizan de forma abusiva para obtener acceso ilícito al dispositivo, desactivar el Modo Perdido y desvincular el dispositivo de la cuenta del propietario.

"iServer automatiza la creación y entrega de páginas de phishing que imitan populares plataformas móviles basadas en la nube, presentando varias implementaciones únicas que mejoran su eficacia como herramienta contra el ciberdelito", afirmó Group-IB.

Jesus_Caceres