Sitio de estafa de voz "iSpoof" incautado, 100s arrestados en la represión masiva PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.

Sitio de estafa de voz “iSpoof” incautado, 100 arrestados en represión masiva

Marca de tiempo: 25 de noviembre de 2022 12:17 p.m.

by
Escritor de seguridad desnuda

En estos días, la mayoría de nosotros tenemos teléfonos que muestran el número que está llamando antes de contestar.

Esta "característica" en realidad se remonta a la década de 1960, y se conoce en inglés norteamericano como Identificador de llamadas, aunque en realidad no identifica a la persona que llama, solo el número de la persona que llama.

En otras partes del mundo de habla inglesa, verá el nombre CLI usado en su lugar, abreviatura de Identificación de la línea de llamada, que a primera vista parece ser un término mejor y más preciso.

Pero aquí está la cosa: ya sea que lo llames Identificador de llamadas or CLI, no es más útil para identificar el número de teléfono real de la persona que llama que el From: encabezado en un correo electronico es identificar al remitente de un correo electrónico.

muestra lo que te gusta

En términos generales, un estafador que sabe lo que está haciendo puede engañar a su teléfono para que muestre casi cualquier número que desee como origen de sus llamadas.

Pensemos en lo que eso significa.

Si recibe una llamada entrante de un número que no reconoce, es casi seguro que no se haya realizado desde un teléfono que pertenezca a alguien que conozca lo suficientemente bien como para tenerlo en su lista de contactos.

Por lo tanto, como medida de ciberseguridad destinada a evitar llamadas de personas de las que no desea saber o que podrían ser estafadores, puede utilizar la frase de la jerga baja tasa de falsos positivos para describir la efectividad de CLI.

Un falso positivo en este contexto representa una llamada de alguien que conoces, llamando desde un número en el que sería seguro confiar, siendo mal detectado y bloqueado por error porque es un número que no reconoces.

Ese tipo de error es poco probable, porque es probable que ni los amigos ni los estafadores pretendan ser alguien que no conoces.

Pero esa utilidad solo funciona en una dirección.

Como medida de seguridad cibernética para ayudarlo a identificar a las personas que llaman en las que confía, CLI tiene un extremo problema de falso negativo, lo que significa que si surge una llamada de Dado Auntie Gladys, o quizás más significativamente, de Your Bank...

…entonces existe un riesgo significativo de que se trate de una llamada fraudulenta manipulada deliberadamente para burlar su "¿Conozco a la persona que llama?" .

No hay prueba de nada

En pocas palabras: los números que aparecen en su teléfono antes de contestar una llamada solo sugieren quién está llamando y debería nunca debe usarse como "prueba" de la identidad de la persona que llama.

De hecho, hasta principios de esta semana, había un sistema de crimeware como servicio en línea disponible a través del sitio web sin disculpas ispoof.cc, donde los posibles delincuentes vishing (phishing de voz) podían comprar servicios telefónicos a través de Internet con suplantación de número incluida.

En otras palabras, por un desembolso inicial modesto, los estafadores que no eran lo suficientemente técnicos como para configurar sus propios servidores de telefonía por Internet fraudulentos, pero que tenían el tipo de habilidades de ingeniería social que les ayudaron a encantar, engañar o intimidar a las víctimas sobre el teléfono…

…no obstante, podría aparecer en su teléfono como la oficina de impuestos, como su banco, como su compañía de seguros, como su ISP, o incluso como la misma compañía telefónica a la que estaba comprando su propio servicio.

Escribimos "hasta principios de esta semana" porque el sitio iSpoof ahora ha sido incautado, gracias a una operación global contra el ciberdelito que involucra a equipos de aplicación de la ley en al menos diez países diferentes (Australia, Canadá, Francia, Alemania, Irlanda, Lituania, Países Bajos , Ucrania, Reino Unido y Estados Unidos):

Megabusto realizado

Apoderarse de un dominio de clearweb y sacar sus ofertas fuera de línea a menudo no es suficiente por sí solo, sobre todo porque los delincuentes, si siguen en libertad, a menudo aún podrán operar en la web oscura, donde los derribos son mucho más difíciles debido a la dificultad de rastrear dónde están realmente los servidores.

O los ladrones simplemente aparecerán de nuevo con un nuevo dominio, tal vez bajo un nuevo "nombre de marca", atendido por una empresa de hospedaje aún menos escrupulosa.

Pero en este caso, la incautación del dominio fue precedida poco tiempo por una gran cantidad de arrestos: 142, de hecho, según Europol:

Las autoridades judiciales y policiales de Europa, Australia, Estados Unidos, Ucrania y Canadá han eliminado un sitio web que permitía a los estafadores hacerse pasar por corporaciones o contactos de confianza para acceder a información confidencial de las víctimas, un tipo de delito cibernético conocido como "suplantación de identidad". Se cree que el sitio web ha causado una pérdida mundial estimada superior a los 100 millones de libras esterlinas (115 millones de euros).

En una acción coordinada liderada por Reino Unido y apoyada por Europol y Eurojust, se ha detenido a 142 sospechosos, incluido el administrador principal de la web.

Más de 100 de esos arrestos fueron solo en el Reino Unido, según la Policía Metropolitana de Londres, con hasta 200,000 víctimas del Reino Unido siendo estafadas por muchos millones de libras:

iSpoof permitió a los usuarios, que pagaron por el servicio en Bitcoin, disfrazar su número de teléfono para que pareciera que estaban llamando desde una fuente confiable. Este proceso se conoce como 'suplantación de identidad'.

Los delincuentes intentan engañar a las personas para que entreguen dinero o proporcionen información confidencial, como códigos de acceso únicos a cuentas bancarias.

Se cree que la pérdida promedio de aquellos que informaron haber sido atacados es de £ 10,000.

En los 12 meses hasta agosto de 2022, se realizaron alrededor de 10 millones de llamadas fraudulentas en todo el mundo a través de iSpoof, de las cuales alrededor de 3.5 millones se realizaron en el Reino Unido.

De ellas, 350,000 llamadas duraron más de un minuto y se realizaron a 200,000 personas.

Según la BBC, la presunto cabecilla era un hombre de 34 años llamado Teejai Fletcher, que ha sido puesto bajo custodia en espera de una comparecencia ante el tribunal en Southwark, Londres, el 2022-12-06.

¿Qué hacer?

  • SUGERENCIA 1. Trata el identificador de llamadas como nada más que una pista.

Lo más importante que debe recordar (y explicar a cualquier amigo y familiar que crea que podría ser vulnerable a este tipo de estafa) es lo siguiente: EL NÚMERO DE LA LLAMADA QUE APARECE EN SU TELÉFONO ANTES DE CONTESTAR NO PRUEBA NADA.

Esos números de identificación de llamadas no son más que una vaga pista de la persona o la empresa que parece estar llamándote.

Cuando su teléfono suena y nombra la llamada con las palabras Your Bank's Name Here, recuerde que las palabras que aparecen provienen de su propia lista de contactos, lo que significa que el número proporcionado por la persona que llama coincide con una entrada que usted mismo agregó a sus contactos.

Dicho de otra manera, el número asociado con una llamada entrante no proporciona más "prueba de identidad" que el texto en el Subject: línea de un correo electrónico, que contiene lo que el remitente eligió escribir.

  • CONSEJO 2. Inicie siempre las llamadas oficiales usted mismo, utilizando un número en el que pueda confiar.

Si realmente necesita ponerse en contacto con una organización, como su banco, por teléfono, asegúrese de iniciar la llamada y utilizar un número que haya calculado usted mismo.

Por ejemplo, mire un extracto bancario oficial reciente, revise el reverso de su tarjeta bancaria o incluso visite una sucursal y pregunte a un miembro del personal personalmente por el número oficial al que debe llamar en futuras emergencias.

  • CONSEJO 3. No deje que la coincidencia lo convenza de que una llamada es genuina.

Nunca use la coincidencia como "evidencia" de que la llamada debe ser genuina, como asumir que la llamada "seguramente" debe ser del banco simplemente porque tuvo algunos problemas molestos con la banca por Internet esta misma mañana, o pagó a un nuevo proveedor por la primera. tiempo justo esta tarde.

Recuerde que los estafadores de iSpoof realizaron al menos 3,500,000 6.5 12 llamadas solo en el Reino Unido (y XNUMX millones de llamadas en otros lugares) durante un período de XNUMX meses, y los estafadores realizaron un promedio de una llamada cada tres segundos en los momentos más probables del día, por lo que las coincidencias como este no son simplemente posibles, son tan buenos como inevitables.

Estos estafadores no pretenden estafar a 3,500,000 10 10,000 personas con XNUMX libras esterlinas cada una... de hecho, es mucho menos trabajo para ellos estafar XNUMX XNUMX libras esterlinas a cada una de unas pocas miles de personas, teniendo suerte y poniéndose en contacto con esas pocas miles de personas en el momento en el que se encuentran en su punto más vulnerable.

  • CONSEJO 4. Esté ahí para los amigos y familiares vulnerables.

Asegúrese de que los amigos y familiares que crea que podrían ser vulnerables a que los estafadores les hablen con dulzura (o los intimiden, los confundan o los intimiden), sin importar cómo los contacten por primera vez, sepan que pueden y deben pedirle consejo antes de aceptar. a cualquier cosa por teléfono.

Y si alguien les pide que hagan algo que es claramente una intrusión en su espacio digital personal, como instalar Teamviewer para permitirles acceder a la computadora, leer un código de acceso secreto de la pantalla o decirles un número de identificación personal o una contraseña...

…asegúrese de que sepan que está bien simplemente colgar sin decir una sola palabra más y ponerse en contacto con usted para verificar los hechos primero.

Oh, una cosa más: la policía de Londres ha dicho que en el curso de esta investigación, adquirieron un archivo de base de datos (suponemos que es de algún tipo de sistema de registro de llamadas) que contiene 70,000,000 filas, y que han identificado una enorme 59,000 sospechosos, de los cuales más de 100 ya han sido arrestados.

Claramente, esos sospechosos no son tan anónimos como podrían haber pensado, por lo que la policía se está enfocando primero en "aquellos que han gastado al menos £ 100 de Bitcoin para usar el sitio".

Es posible que los estafadores que se encuentran más abajo en el orden jerárquico no estén llamando a la puerta todavía, pero podría ser solo cuestión de tiempo...

APRENDA MÁS SOBRE LA DIVERSIFICACIÓN DEL DELITO CIBERNÉTICO Y CÓMO LUCHAR CONTRA ELLO DE MANERA EFECTIVA EN NUESTRO PODCAST DEL INFORME SOBRE AMENAZA

Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.

Transcripción completa para los que prefieren leer a escuchar.

Con Paul Ducklin y John Shier.

Música de introducción y final de Edith Mudge.

Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.

Sello de tiempo:

Mas de Seguridad desnuda