Il boss delle truffe telefoniche ottiene 13 anni per l'esecuzione del servizio "iSpoof".

Il boss delle truffe telefoniche ottiene 13 anni per l'esecuzione del servizio "iSpoof".

Timestamp: 22 maggio 2023 2:58
Nodo di origine: 2677389
by Scrittore di sicurezza nudo

Nel novembre 2022, abbiamo scritto di una rimozione multinazionale contro a Sistema di criminalità informatica come servizio (CaaS). conosciuto come iSpoof.

Sebbene iSpoof pubblicizzasse apertamente attività commerciali su un sito non darkweb, raggiungibile con un normale browser tramite un nome di dominio non-onion, e anche se l'utilizzo dei suoi servizi potrebbe essere stato tecnicamente legale nel tuo paese (se sei un avvocato, noi mi piacerebbe sentire la tua opinione su questo problema una volta che hai visto gli screenshot del sito web storico qui sotto)...

…un tribunale del Regno Unito non aveva dubbi sul fatto che il sistema iSpoof fosse stato implementato con in mente illeciti che rovinano la vita e prosciugano denaro.

Il boss del sito, Tejay Fletcher, 35 anni, di Londra, è stato condannato a una pena detentiva di oltre un decennio per riflettere questo fatto.

Mostra qualsiasi numero che ti piace

Fino a novembre 2022, quando il dominio è stato rimosso dopo che è stato emesso un mandato di sequestro alle forze dell'ordine statunitensi, la pagina principale del sito sembrava qualcosa del genere:

Puoi mostrare qualsiasi numero che desideri sul display della chiamata, essenzialmente falsificando il tuo ID chiamante.

E una sezione esplicativa più in basso nella pagina ha reso abbastanza chiaro che il servizio non era lì solo per migliorare la tua privacy, ma per aiutarti a fuorviare le persone che stavi chiamando:

Ottieni la possibilità di modificare ciò che qualcuno vede sul display dell'ID chiamante quando riceve una tua telefonata. Non sapranno mai che eri tu! Puoi scegliere qualsiasi numero che desideri prima di chiamare. Il tuo opposto penserà che sei qualcun altro. È facile e funziona su tutti i telefoni in tutto il mondo!

Nel caso tu fossi ancora in dubbio su come utilizzare iSpoof per aiutarti a derubare vittime ignare, ecco il sito del sito video di marketing, fornito per gentile concessione della Metropolitan Police (meglio nota come “the Met”) di Londra, Regno Unito:

Come vedrai di seguito, e nel ns copertura precedente di questa storia, gli utenti di iSpoof in realtà non erano affatto anonimi.

Sono già stati identificati più di 50,000 utenti del servizio, con quasi 200 persone già arrestate e sotto inchiesta solo nel Regno Unito.

Fai finta di essere una banca...

In poche parole, se ti iscrivi al servizio di iSpoof, non importa quanto tu sia tecnico o meno, potresti immediatamente iniziare a effettuare chiamate che verrebbero visualizzate sui telefoni delle vittime come se quelle chiamate provenissero da un'azienda di cui si fidavano già.

Come la Polizia Metropolitana metterlo:

Gli utenti di iSpoof, che dovevano pagare per utilizzare i suoi servizi, si sono atteggiati a rappresentanti di banche tra cui Barclays, Santander, HSBC, Lloyds e Halifax [famose banche britanniche], fingendo di avvertire di attività sospette sui loro conti.

I truffatori incoraggerebbero gli ignari membri del pubblico a divulgare informazioni di sicurezza come passcode monouso per ottenere i loro soldi.

La perdita totale riportata da quelli presi di mira tramite iSpoof è di 48 milioni di sterline nel solo Regno Unito, con una perdita media che si ritiene sia di 10,000 sterline. Poiché la frode è ampiamente sotto segnalata, si ritiene che l'intero importo sia molto più alto.

Nei 12 mesi fino ad agosto 2022 sono state effettuate circa 10 milioni di chiamate fraudolente a livello globale tramite iSpoof, di cui circa 3.5 milioni effettuate nel Regno Unito.

È interessante notare che il Met afferma che circa il 10% di quelle chiamate nel Regno Unito (circa 350,000 in tutto), fatte a 200,000 diverse potenziali vittime, è durato più di un minuto, suggerendo un tasso di successo sorprendentemente alto per i truffatori che hanno utilizzato il servizio iSpoof per dare loro falso chiama un'aria fraudolenta di legittimità.

Quando arrivano chiamate da un numero di cui sei propenso a fidarti, ad esempio un numero che usi abbastanza spesso da averlo aggiunto al tuo elenco di contatti in modo che fornisca un identificatore di tua scelta, ad esempio Credit Card Company, piuttosto che qualcosa di generico come +44.121.496.0149...

…non sorprende che tu sia più propenso a fidarti implicitamente del chiamante prima di sentire cosa ha da dire.

Dopotutto, il sistema che trasmette il numero del chiamante al destinatario prima ancora che la chiamata riceva risposta è noto in gergo come Caller ID, o Identificazione della linea chiamante (CLI) al di fuori del Nord America.

Non è una sorta di documento d'identità

Quelle parole magiche ID ed , non dovrebbe davvero essere lì, perché un chiamante tecnicamente esperto (o un chiamante completamente non tecnico che stava usando il servizio iSpoof) potrebbe inserire qualsiasi numero che desiderava quando si avviava la chiamata.

In altre parole, l'ID chiamante non solo non ti dice nulla sulla persona che utilizza il telefono che ti sta chiamando, ma non ti dice nemmeno nulla di affidabile sul numero del telefono che ti sta chiamando.

L'ID chiamante "identifica" il chiamante e il numero chiamante in modo non più affidabile dell'indirizzo del mittente stampato sul retro di una busta di posta ordinaria o del Reply-To indirizzo che si trova nelle intestazioni di tutte le email che ricevi.

Tutte queste "identificazioni" possono essere scelte dall'autore della comunicazione e possono dire praticamente qualsiasi cosa scelga il mittente o il chiamante.

Dovrebbero davvero essere chiamati Quello che il chiamante vuole che tu pensi, che potrebbe essere un mucchio di bugie, piuttosto che essere indicato come un ID o un ,.

E c'erano un sacco di bugie in corso, grazie a iSpoof, con il Met che affermava:

Prima di essere chiuso nel novembre 2022, iSpoof era in costante crescita. 700 nuovi utenti si registravano al sito ogni settimana e guadagnava in media £ 80,000 a settimana. Al momento della chiusura aveva 59,000 utenti registrati.

Il sito Web offriva una serie di pacchetti per gli utenti che avrebbero acquistato, in Bitcoin, il numero di minuti per i quali desideravano utilizzare il software per effettuare chiamate.

Il sito ha incassato un sacco di profitti, secondo il Met:

iSpoof ha guadagnato poco più di £ 3 milioni con Fletcher che ha guadagnato circa £ 1.7-£ 1.9 milioni dalla gestione e consentendo ai truffatori di rovinare la vita delle vittime. Ha vissuto uno stile di vita stravagante, possedendo una Range Rover del valore di £ 60,000 e una Lamborghini Urus del valore di £ 230,000. Andava regolarmente in vacanza, con viaggi in Giamaica, Malta e Turchia solo nel 2022.

All'inizio del 2023, Fletcher si è dichiarato colpevole dei reati di fabbricazione o fornitura di articoli da utilizzare in frode, incoraggiamento o assistenza alla commissione di un reato, possesso di beni criminali e trasferimento di beni criminali.

La scorsa settimana è stato condannato a 13 anni e 4 mesi di reclusione; 169 altre persone nel Regno Unito "ora sono stati arrestati con l'accusa di utilizzare iSpoof [e] rimangono sotto inchiesta della polizia."

Cosa fare?

  • SUGGERIMENTO 1. Tratta l'ID chiamante come nient'altro che un suggerimento.

La cosa più importante da ricordare (e da spiegare a qualsiasi amico e famiglia che pensi possa essere vulnerabile a questo tipo di truffa) è questa: IL NUMERO DEL CHIAMANTE CHE VIENE VISUALIZZATO SUL TUO TELEFONO PRIMA DI RISPONDERE NON PROVA NULLA.

  • SUGGERIMENTO 2. Avvia sempre tu stesso le chiamate ufficiali, utilizzando un numero di cui ti puoi fidare.

Se hai davvero bisogno di contattare telefonicamente un'organizzazione come la tua banca, assicurati di avviare la chiamata e di utilizzare un numero diverso da quello che hai elaborato tu stesso.

Ad esempio, guarda un recente estratto conto bancario ufficiale, controlla il retro della tua carta di credito o visita una filiale e chiedi a un membro del personale faccia a faccia il numero ufficiale che dovresti chiamare in future emergenze.

  • SUGGERIMENTO 3. Sii presente per amici e familiari vulnerabili.

Assicurati che gli amici e la famiglia che ritieni possano essere vulnerabili alle parole dolci (o intimidite, confuse e intimidite) dai truffatori, indipendentemente da come vengono contattati per la prima volta, sappiano che possono e devono rivolgersi a te per un consiglio prima di accettare a qualsiasi cosa al telefono.

E se qualcuno chiede loro di fare qualcosa che è chiaramente un'intrusione nel loro spazio digitale personale, come installare Teamviewer per farli accedere al computer, leggere un codice di accesso segreto dallo schermo o comunicare loro un numero di identificazione personale o una password...

… assicurati che sappiano che va bene semplicemente riattaccare senza aggiungere una sola parola e mettersi in contatto con te per verificare prima i fatti.

Timestamp:

Di più da Sicurezza nuda