Phishing llave en mano

Hoy en día, un estafador no necesita saber cómo escribir malware o idear sofisticados esquemas de fraude digital. Las estafas actuales vienen pre-empaquetadas en forma de fraude como servicio (FaaS). El estafador promedio solo necesita buscar víctimas y luego vaciar sus carteras; el operador se encarga del resto.

Hoy nos fijamos en un grupo especializado en estafas a través de sitios web de anuncios clasificados para explicar qué es el phishing llave en mano y cuál es la mejor forma de defenderse contra él.

¿Quién presta el servicio?

La persona clave de una banda criminal es el fundador o el iniciador del tema. Esta persona administra a todos los demás:

• Codificadores, que son responsables de los canales, chats y bots de Telegram
• Encargados de reembolsos o agentes de soporte falsos
• Tarjeteros, que retiran dinero de la cuenta bancaria de la víctima.
• Trabajadores, que buscan anuncios, responden y persuaden a las víctimas para que hagan clic en un enlace de phishing

Así es como se ve la formación principal de casi cualquier banda criminal. Los equipos especialmente sofisticados también incluyen a especialistas en marketing, motivadores y mentores. Estos realizan campañas de promoción del proyecto y proporcionan apoyo moral y formación a los trabajadores.

Los miembros de una banda de estafadores se comunican principalmente a través de grupos privados y chats en Telegram. El canal que investigamos tenía alrededor de 15 000 miembros, de los cuales solo cinco eran mentores. Prácticamente todos los demás eran trabajadores; un peón en este esquema. Lee la historia de investigación en Securelist para obtener más información sobre otros roles que tienen los miembros de una banda de estafadores.

El bot de Telegram como principal arma de los trabajadores

Los bots ayudan a las bandas criminales a automatizar la mayor parte del proceso de estafa. Por ejemplo, los estafadores pueden usarlos para crear anuncios de phishing únicos y personalizados. Un bot de Telegram que descubrimos produce hasta 48 anuncios a la vez, en cuatro idiomas, para seis sitios web de clasificados y en dos versiones: estafa al vendedor (2.0) y estafa al comprador (1.0).

Un bot crea enlaces para dos tipos de estafa a la vez: estafa al vendedor (2.0) y estafa al comprador (1.0)

Luego, un trabajador utiliza el bot de Telegram para enviar automáticamente los enlaces al correo electrónico, la cuenta de mensajería instantánea o la bandeja de entrada de SMS de la víctima. Tan pronto como se abre un enlace de phishing, el bot muestra un mensaje que dice “Mamut en línea”. Esto le indica al trabajador que la estafa casi ha tenido éxito: la víctima no tiene protección, por lo que la banda criminal está a punto de robarle el dinero.

El bot le cuenta al trabajador todo lo que hace la víctima, en detalle

Las notificaciones instantáneas sobre todo lo que sucede es una de las funciones principales de los bots de Telegram. Así, si la víctima muerde el anzuelo y paga por la “mercancía” o la “entrega”, el trabajador se entera de inmediato. El bot calcula la parte del botín del trabajador y comparte el nombre del tarjetero que retira los fondos.

“¡Otro engaño!”: el nuevo himno de los trabajadores

Esto es todo lo que tiene que hacer el trabajador, ya que el dinero se ingresará en su cuenta automáticamente, a menos que sus propios compañeros de banda le estafen, lo que no es raro.

Cuánto ganan las bandas de estafadores

Los trabajadores son las gallinas de los huevos de oro de la banda: pagan comisiones al cerebro, al mentor, al cardador y al refundidor. Este proyecto es sin duda una máquina de hacer dinero: la banda ganó más de dos millones de dólares estadounidenses entre agosto de 2023 y junio de 2024. Eso es lo que dicen los estafadores de todos modos, pero pueden declarar las cifras que quieran, por muy infladas que estén, en su chat interno para motivar a los trabajadores.

Un buen día para toda la humanidad, un mal día para los estafadores

Las ganancias de la fábrica de estafas están restringidas por los límites de transacción de los bancos. La banda que nos ocupa opera desde Suiza, y las normas bancarias locales le impiden robar más de 15.000 francos suizos (unos 16.700 dólares estadounidenses) a la vez. Los trabajadores tienen un importe mínimo de retirada: no se molestan en utilizar tarjetas si hay menos de 300 francos suizos (333 dólares estadounidenses) en la cuenta asociada; de lo contrario, los costes superarían las ganancias.

Evitar la trampa

Recibir un ataque de phishing completamente equipado (a diferencia del phishing “regular”) no supone ninguna diferencia para el objetivo: los estafadores siguen siendo estafadores que intentan todo tipo de formas de estafar a las víctimas. Pero, dado que FaaS hace que el trabajo de los estafadores sea mucho más fácil, este tipo de estafa va en aumento. En consecuencia, los consejos de protección siguen siendo los mismos que para otros tipos de phishing:

• Utiliza seguridad fiable para evitar abrir enlaces de phishing.
• Echa un vistazo a cómo vender de forma segura en Internet.
• Restringe tus conversaciones con vendedores y compradores de los sitios de anuncios clasificados; para evitar que los trabajadores vean tus datos personales, no uses aplicaciones de mensajería instantánea.
• Paga tus compras online solo con tarjetas virtuales que tengan límites de transacción y no tengas cantidades significativas en las cuentas vinculadas a ellas.
• Lee sobre cómo funcionan otras estafas para mantenerte al tanto de las tendencias.