El capo de la estafa telefónica obtiene 13 años por ejecutar el servicio "iSpoof"

El capo de la estafa telefónica obtiene 13 años por ejecutar el servicio "iSpoof"

Sello de tiempo: 22 de mayo de 2023 2:58 p.m.
Nodo de origen: 2677389
by Escritor de seguridad desnuda

En noviembre de 2022, escribimos sobre un derribo en varios países contra un Sistema de cibercrimen como servicio (CaaS) conocido como iSpoof.

Si bien iSpoof se publicitó abiertamente para negocios en un sitio que no es la web oscura, accesible con un navegador normal a través de un nombre de dominio que no sea cebolla, y aunque el uso de sus servicios técnicamente podría haber sido legal en su país (si es abogado, Me encantaría escuchar su opinión sobre ese tema una vez que haya visto las capturas de pantalla históricas del sitio web a continuación)...

…un tribunal del Reino Unido no tuvo ninguna duda de que el sistema iSpoof se implementó teniendo en cuenta la malversación que arruina vidas y drena dinero.

El capo del sitio, Tejay Fletcher, de 35 años, de Londres, recibió una sentencia de prisión de más de una década para reflejar ese hecho.

Muestra cualquier número que quieras

Hasta noviembre de 2022, cuando se eliminó el dominio después de que se emitiera una orden de incautación a las fuerzas del orden de EE. UU., la página principal del sitio parecía algo como esto:

Puede mostrar cualquier número que desee en la pantalla de llamadas, esencialmente falsificando su identificador de llamadas.

Y una sección explicativa más abajo en la página dejó bastante claro que el servicio no solo estaba allí para mejorar su propia privacidad, sino para ayudarlo a engañar a las personas a las que estaba llamando:

Obtén la capacidad de cambiar lo que alguien ve en la pantalla de su identificador de llamadas cuando recibe una llamada tuya. ¡Nunca sabrán que fuiste tú! Puede elegir cualquier número que desee antes de llamar. Tu opuesto pensará que eres otra persona. ¡Es fácil y funciona en todos los teléfonos del mundo!

En caso de que todavía tenga alguna duda sobre cómo podría usar iSpoof para ayudarlo a estafar a las víctimas desprevenidas, aquí está el propio sitio. video de marketing, proporcionado por cortesía de la Policía Metropolitana (más conocida como "el Met") en Londres, Reino Unido:

Como verá a continuación, y en nuestro cobertura anterior de esta historia, los usuarios de iSpoof en realidad no eran anónimos en absoluto.

Ya se han identificado más de 50,000 usuarios del servicio, con cerca de 200 personas ya arrestadas y bajo investigación solo en el Reino Unido.

Hazte pasar por un banco...

En pocas palabras, si se suscribió al servicio de iSpoof, sin importar cuán técnico o no técnico fuera, podría comenzar a realizar llamadas de inmediato que aparecerían en los teléfonos de las víctimas como si esas llamadas vinieran de una compañía en la que ya confían.

Como la Policía Metropolitana ponlo:

Los usuarios de iSpoof, que tenían que pagar para usar sus servicios, se hicieron pasar por representantes de bancos como Barclays, Santander, HSBC, Lloyds y Halifax [bancos británicos muy conocidos], pretendiendo advertir sobre actividades sospechosas en sus cuentas.

Los estafadores alentarían a los desprevenidos miembros del público a revelar información de seguridad, como códigos de acceso de un solo uso, para obtener su dinero.

La pérdida total informada de los objetivos a través de iSpoof es de 48 millones de libras esterlinas solo en el Reino Unido, y se cree que la pérdida promedio es de 10,000 XNUMX libras esterlinas. Debido a que el fraude es muy poco denunciado, se cree que el monto total es mucho mayor.

En los 12 meses hasta agosto de 2022, se realizaron alrededor de 10 millones de llamadas fraudulentas en todo el mundo a través de iSpoof, de las cuales alrededor de 3.5 millones se realizaron en el Reino Unido.

Curiosamente, el Met dice que alrededor del 10 % de esas llamadas en el Reino Unido (alrededor de 350,000 200,000 en total), realizadas a XNUMX XNUMX víctimas potenciales diferentes, duraron más de un minuto, lo que sugiere una tasa de éxito sorprendentemente alta para los estafadores que usaron el servicio iSpoof para dar su información falsa. llama un aire fraudulento de legitimidad.

Cuando llegan llamadas de un número en el que tiende a confiar, por ejemplo, un número que usa con tanta frecuencia que lo ha agregado a su propia lista de contactos para que aparezca un identificador de su elección, como Credit Card Company, en lugar de algo de apariencia genérica como +44.121.496.0149...

…como era de esperar, es más probable que confíe implícitamente en la persona que llama antes de escuchar lo que tiene que decir.

Después de todo, el sistema que transmite el número de la persona que llama al destinatario antes de que se responda la llamada se conoce en la jerga como Identificador de llamadaso Identificación de la línea de llamada (CLI) fuera de Norteamérica.

No es ningún tipo de identificación.

Esas palabras magicas ID y identificación realmente no debería estar allí, porque una persona que llama con conocimientos técnicos (o una persona que no tiene ningún conocimiento técnico y que estaba usando el servicio iSpoof) podría insertar cualquier número que quisiera al iniciar la llamada.

En otras palabras, el identificador de llamadas no solo no te dice nada sobre la persona que usa el teléfono que te está llamando, sino que tampoco te dice nada confiable sobre el número de teléfono que te está llamando.

El identificador de llamadas "identifica" a la persona que llama y el número que llama de manera no más confiable que la dirección del remitente que está impresa en el reverso de un sobre de correo postal, o el Reply-To dirección que está en los encabezados de cualquier correo electrónico que reciba.

Todas esas "identificaciones" pueden ser elegidas por el autor de la comunicación y pueden decir prácticamente cualquier cosa que elija el remitente o la persona que llama.

Realmente deberían llamarse Lo que la persona que llama quiere que pienses, lo que podría ser un montón de mentiras, en lugar de ser referido como un ID o un identificación.

Y hubo una gran cantidad de mentiras, gracias a iSpoof, con el Met afirmando:

Antes de que se cerrara en noviembre de 2022, iSpoof crecía constantemente. 700 nuevos usuarios se registraban en el sitio cada semana y ganaba una media de 80,000 libras esterlinas a la semana. En el momento del cierre tenía 59,000 usuarios registrados.

El sitio web ofrecía una serie de paquetes para los usuarios que comprarían, en Bitcoin, la cantidad de minutos que querían usar el software para hacer llamadas.

El sitio obtuvo muchas ganancias, según el Met:

iSpoof ganó poco más de £ 3 millones con Fletcher ganando alrededor de £ 1.7-£ 1.9 millones por ejecutar y permitir que los estafadores arruinen la vida de las víctimas. Llevaba un estilo de vida extravagante, poseía un Range Rover valorado en 60,000 libras esterlinas y un Lamborghini Urus valorado en 230,000 libras esterlinas. Se iba de vacaciones regularmente, con viajes a Jamaica, Malta y Turquía solo en 2022.

A principios de 2023, Fletcher se declaró culpable de los delitos de fabricación o suministro de artículos para su uso en el fraude, alentar o ayudar a cometer un delito, poseer bienes delictivos y transferir bienes delictivos.

La semana pasada se le impuso una pena de prisión de 13 años y 4 meses; 169 otras personas en el Reino Unido “ahora han sido arrestados bajo sospecha de usar iSpoof [y] permanecen bajo investigación policial”.

¿Qué hacer?

  • CONSEJO 1. Trate el identificador de llamadas como nada más que una pista.

Lo más importante que debe recordar (y explicar a cualquier amigo y familiar que crea que podría ser vulnerable a este tipo de estafa) es lo siguiente: EL NÚMERO DE LA LLAMADA QUE APARECE EN SU TELÉFONO ANTES DE CONTESTAR NO PRUEBA NADA.

  • CONSEJO 2. Inicie siempre las llamadas oficiales usted mismo, utilizando un número en el que pueda confiar.

Si realmente necesita ponerse en contacto con una organización, como su banco, por teléfono, asegúrese de iniciar la llamada y utilizar un número que haya calculado usted mismo.

Por ejemplo, mire un extracto bancario oficial reciente, revise el reverso de su tarjeta bancaria o incluso visite una sucursal y pregunte a un miembro del personal personalmente por el número oficial al que debe llamar en futuras emergencias.

  • CONSEJO 3. Esté ahí para los amigos y familiares vulnerables.

Asegúrese de que los amigos y familiares que crea que podrían ser vulnerables a que los estafadores les hablen con dulzura (o los intimiden, los confundan o los intimiden), sin importar cómo los contacten por primera vez, sepan que pueden y deben pedirle consejo antes de aceptar. a cualquier cosa por teléfono.

Y si alguien les pide que hagan algo que es claramente una intrusión en su espacio digital personal, como instalar Teamviewer para permitirles acceder a la computadora, leer un código de acceso secreto de la pantalla o decirles un número de identificación personal o una contraseña...

…asegúrese de que sepan que está bien simplemente colgar sin decir una sola palabra más y ponerse en contacto con usted para verificar los hechos primero.

Sello de tiempo:

Mas de Seguridad desnuda