En los últimos años, las estafas de SMS conocidas como 'smishing' se han multiplicado de forma alarmante, y han permitido sostener la actividad de diversas redes de ciberestafadores. Una de las más activas en este ámbito es la conocida como 'Smishing Triad', conformada por criminales de habla china que envían diariamente hasta 100.000 mensajes de texto fraudulentos, intentando manipular a personas en todo el mundo para que revelen información personal y financiera.
Hasta que un investigador de ciberseguridad llamado Grant Smith decidió tomar cartas en el asunto después de que su esposa fuera víctima de uno de estos mensajes. Tras ello, puso en marcha una audaz operación para infiltrarse en los sistemas de estos estafadores y exponerlos ante las autoridades estadounidenses.
Estafar a la mujer de un hacker, matar al perro de John Wick, y otras malas decisiones
Todo comenzó con un SMS aparentemente inocente, que afirmaba que el Servicio Postal de los Estados Unidos (USPS) necesitaba más detalles para entregar un paquete. Este mensaje, como muchos otros similares (nuestro Correos también es suplantado a menudo de la misma manera), dirigía a las víctimas a un sitio web donde se les pedía ingresar información confidencial, incluyendo números de tarjetas de crédito.
La esposa de Smith (fundador de la firma Phantom Security) cayó en la trampa, lo que motivó al investigador a actuar: utilizando técnicas avanzadas como la inyección SQL y la inclusión de archivos locales (LFI), logró acceder a la base de datos y archivos de uno de los sitios fraudulentos.
Lo que encontró fue un sistema bien organizado, diseñado para recolectar y almacenar masivamente datos personales y financieros de miles de víctimas.
El análisis de Smith reveló no sólo el nivel de organización de los estafadores, sino también que su campaña se basaba en el uso de un kit de smishing, desarrollado por un estudiante chino y que se vendía en Telegram por una suscripción mensual de 200 dólares. Este kit permitía a los estafadores crear fácilmente páginas web falsas que imitaban a empresas legítimas, como era el caso de USPS.
A medida que Smith profundizaba en el código del kit, descubrió múltiples capas de cifrado y técnicas de ofuscación diseñadas para proteger el código de miradas indiscretas. Sin embargo, con la ayuda de herramientas de desofuscación y la colaboración de otros investigadores, Smith pudo descifrar el código y obtener información crucial sobre cómo funcionaba el sistema.
Desenmascarando a los estafadores (y a los que estafan a los estafadores)
Una de las revelaciones más impactantes fue que el kit incluía una puerta trasera que permitía al creador acceder a los paneles de administración de los estafadores que compraban su producto. Esto significaba que, además de ganar dinero vendiendo el kit, el desarrollador también tenía acceso a los datos robados por sus clientes, lo que sugiere una doble explotación de los datos filtrados.
Durante su investigación, Smith recopiló una impresionante cantidad de datos. En total, se registraron:
- 438.669 números de tarjetas de crédito únicos en 1.133 dominios utilizados por los estafadores.
- Se recolectaron más de 50.000 direcciones de e-mail, incluyendo cientos de correos de universidades y dominios gubernamentales o militares.
Estos números reflejan solo una fracción del alcance de la estafa, ya que Smith no pudo rastrear todos los sitios fraudulentos operados por la 'Tríada del Smishing'. Se estima que el alcance real de la estafa abarca varias decenas de miles de víctimas más en países como India, Pakistán y los Emiratos Árabes Unidos.
Smith proporcionó todos estos datos a las autoridades estadounidenses, incluyendo al Servicio de Inspección Postal de los Estados Unidos (USPIS) y al FBI, quienes han iniciado investigaciones basadas en la información recibida. Según Michael Martel, oficial de información pública nacional de USPIS, la agencia está utilizando los datos de Smith como parte de una investigación en curso.
Sin embargo, lo ocurrido también pone de manifiesto la delgada línea entre la investigación ética y la actividad ilegal, ya que muchas de las técnicas utilizadas por Smith podrían interpretarse como una violación de la Ley de Fraude y Abuso Informático estadounidense.
Vía | Smith Security
Imagen | Marcos Merino mediante IA
Ver 1 comentarios