Chefão do golpe por telefone pega 13 anos por executar o serviço “iSpoof”

Chefão do golpe por telefone pega 13 anos por executar o serviço “iSpoof”

Carimbo de data / hora: 22 de maio de 2023 2h
Nó Fonte: 2677389
by Escritor Naked Security

Em novembro de 2022, escrevemos sobre uma remoção em vários países contra um Sistema de crime cibernético como serviço (CaaS) conhecido como iSpoof.

Embora o iSpoof tenha anunciado abertamente para negócios em um site não darkweb, acessível com um navegador comum por meio de um nome de domínio não onion, e embora o uso de seus serviços possa ser tecnicamente legal em seu país (se você for um advogado, Eu adoraria ouvir sua opinião sobre esse assunto depois de ver as capturas de tela históricas do site abaixo)…

…um tribunal do Reino Unido não teve dúvidas de que o sistema iSpoof foi implementado tendo em mente a má conduta que arruína a vida e drena o dinheiro.

O chefão do site, Tejay Fletcher, 35, de Londres, recebeu uma sentença de prisão de mais de uma década para refletir esse fato.

Mostre qualquer número que você gosta

Até novembro de 2022, quando o domínio foi retirado após a emissão de um mandado de apreensão para a polícia dos EUA, a página principal do site parecia algo como isto:

Você pode mostrar qualquer número que desejar na exibição da chamada, basicamente falsificando seu identificador de chamadas.

E uma seção explicativa mais abaixo na página deixou bem claro que o serviço não estava lá apenas para aumentar sua própria privacidade, mas para ajudá-lo a enganar as pessoas para quem você estava ligando:

Obtenha a capacidade de alterar o que alguém vê no visor do identificador de chamadas quando recebe uma ligação sua. Eles nunca saberão que foi você! Você pode escolher qualquer número que quiser antes de ligar. Seu oposto estará pensando que você é outra pessoa. É fácil e funciona em todos os telefones do mundo!

Caso você ainda esteja em dúvida sobre como usar o iSpoof para ajudá-lo a enganar vítimas inocentes, aqui está o próprio site vídeo de marketing, cortesia da Metropolitan Police (mais conhecida como “the Met”) em Londres, Reino Unido:

Como você verá abaixo, e em nosso cobertura anterior Nesta história, os usuários do iSpoof não eram realmente anônimos.

Mais de 50,000 usuários do serviço já foram identificados, com cerca de 200 pessoas já presas e sob investigação somente no Reino Unido.

Finja ser um banco...

Simplificando, se você se inscreveu no serviço iSpoof, não importa o quão técnico ou não técnico você fosse, você poderia começar imediatamente a fazer chamadas que apareceriam nos telefones das vítimas como se essas chamadas fossem provenientes de uma empresa em que eles já confiavam.

Como a Polícia Metropolitana colocá-lo:

Os usuários do iSpoof, que tinham que pagar para usar seus serviços, se faziam passar por representantes de bancos como Barclays, Santander, HSBC, Lloyds e Halifax [conhecidos bancos britânicos], fingindo alertar sobre atividades suspeitas em suas contas.

Os golpistas encorajariam os membros desavisados ​​do público a divulgar informações de segurança, como senhas de uso único, para obter seu dinheiro.

A perda total relatada daqueles visados ​​pelo iSpoof é de £ 48 milhões somente no Reino Unido, com perda média estimada em £ 10,000. Como a fraude é amplamente subnotificada, acredita-se que o valor total seja muito maior.

Nos 12 meses até agosto de 2022, cerca de 10 milhões de chamadas fraudulentas foram feitas globalmente via iSpoof, com cerca de 3.5 milhões delas feitas no Reino Unido.

Curiosamente, o Met diz que cerca de 10% dessas ligações no Reino Unido (cerca de 350,000 no total), feitas para 200,000 vítimas em potencial diferentes, duraram mais de um minuto, sugerindo uma taxa de sucesso surpreendentemente alta para golpistas que usaram o serviço iSpoof para dar suas falsas chama de ar fraudulento de legitimidade.

Quando chegam chamadas de um número em que você confia - por exemplo, um número que você usa com tanta frequência que o adicionou à sua própria lista de contatos para que ele tenha um identificador de sua escolha, como Credit Card Company, em vez de algo de aparência genérica, como +44.121.496.0149...

…é muito mais provável que você confie implicitamente no chamador antes de ouvir o que ele tem a dizer.

Afinal, o sistema que transmite o número do chamador ao destinatário antes mesmo de a chamada ser atendida é conhecido no jargão como Caller IDou Identificação da linha de chamada (CLI) fora da América do Norte.

Não é nenhum tipo de identificação

Essas palavras mágicas ID e identificação realmente não deveria estar lá, porque um chamador tecnicamente experiente (ou um chamador completamente não técnico que estava usando o serviço iSpoof) poderia inserir qualquer número que quisesse ao iniciar a chamada.

Em outras palavras, o identificador de chamadas não apenas não informa nada sobre a pessoa que está usando o telefone que está ligando para você, mas também não informa nada confiável sobre o número do telefone que está ligando para você.

O identificador de chamadas "identifica" o chamador e o número chamador de forma não mais confiável do que o endereço do remetente impresso no verso de um envelope de correio tradicional ou o Reply-To endereço que está nos cabeçalhos de todos os e-mails que você recebe.

Todas essas “identificações” podem ser escolhidas pelo originador da comunicação e podem dizer praticamente qualquer coisa que o remetente ou chamador escolher.

Eles realmente deveriam ser chamados O que o interlocutor quer que você pense, o que pode ser um monte de mentiras, em vez de ser referido como um ID ou um identificação.

E havia muita mentira acontecendo, graças ao iSpoof, com o Met afirmando:

Antes de ser encerrado em novembro de 2022, o iSpoof estava em constante crescimento. 700 novos usuários se registravam no site todas as semanas e ganhavam em média £ 80,000 por semana. No momento do fechamento, tinha 59,000 usuários registrados.

O site oferecia diversos pacotes para os usuários que comprassem, em Bitcoin, a quantidade de minutos que desejassem usar o software para fazer ligações.

O site arrecadou muito lucro, de acordo com o Met:

O iSpoof ganhou pouco mais de £ 3 milhões, com Fletcher lucrando entre £ 1.7 e £ 1.9 milhão por executar e permitir que fraudadores arruinassem a vida das vítimas. Ele viveu um estilo de vida extravagante, possuindo um Range Rover no valor de £ 60,000 e um Lamborghini Urus no valor de £ 230,000. Ele saía regularmente de férias, com viagens para Jamaica, Malta e Turquia apenas em 2022.

No início de 2023, Fletcher se declarou culpado dos crimes de fabricar ou fornecer artigos para uso em fraude, encorajar ou auxiliar na prática de um crime, possuir propriedade criminosa e transferir propriedade criminosa.

Na semana passada, ele foi condenado a 13 anos e 4 meses de prisão; 169 outras pessoas no Reino Unido “agora foram presos sob suspeita de usar o iSpoof [e] permanecem sob investigação policial”.

O que fazer?

  • DICA 1. Trate o identificador de chamadas como nada mais do que uma dica.

A coisa mais importante a lembrar (e explicar a todos os amigos e familiares que você acha que podem ser vulneráveis ​​a esse tipo de golpe) é o seguinte: O NÚMERO DA CHAMADA QUE APARECE NO SEU TELEFONE ANTES DE VOCÊ ATENDER NÃO PROVA NADA.

  • DICA 2. Sempre inicie você mesmo as ligações oficiais, usando um número em que possa confiar.

Se você realmente precisa entrar em contato com uma organização, como seu banco, por telefone, certifique-se de iniciar a chamada e usar um número que você mesmo calculou.

Por exemplo, veja um extrato bancário oficial recente, verifique o verso do seu cartão bancário ou até mesmo visite uma agência e peça a um funcionário pessoalmente o número oficial para o qual você deve ligar em futuras emergências.

  • DICA 3. Esteja presente para amigos e familiares vulneráveis.

Certifique-se de que amigos e familiares que você acha que podem ser vulneráveis ​​a conversa fiada (ou intimidados, confusos e intimidados) por golpistas, não importa como eles sejam contatados pela primeira vez, saibam que podem e devem recorrer a você para obter conselhos antes de concordar a qualquer coisa por telefone.

E se alguém lhes pedir para fazer algo que seja claramente uma invasão de seu espaço digital pessoal, como instalar o Teamviewer para deixá-los entrar no computador, ler um código de acesso secreto na tela ou informar um número de identificação pessoal ou senha…

…certifique-se de que eles saibam que não há problema em simplesmente desligar sem dizer mais uma palavra e entrar em contato com você para verificar os fatos primeiro.

Carimbo de hora:

Mais de Segurança nua