La llamada telefónica entrante parpadea en el teléfono de la víctima. Puede que solo dure unos segundos, pero puede terminar cuando la víctima entrega códigos que brindan a los ciberdelincuentes la capacidad de secuestrar sus cuentas en línea o vaciar sus billeteras criptográficas y digitales.
“Este es el equipo de seguridad de PayPal. Hemos detectado alguna actividad inusual en su cuenta y lo llamamos como medida de precaución”, dice la voz robótica de la persona que llama. “Ingrese el código de seguridad de seis dígitos que le enviamos a su dispositivo móvil”.
La víctima, ignorante de las intenciones maliciosas de la persona que llama, introduce en el teclado de su teléfono el código de seis dígitos que acaba de recibir por mensaje de texto.
“¡Tengo ese boom!” se lee un mensaje en la consola del atacante.
En algunos casos, el atacante también puede enviar un correo electrónico de phishing con el objetivo de capturar la contraseña de la víctima. Pero muchas veces, ese código de su teléfono es todo lo que el atacante necesita para ingresar a la cuenta en línea de la víctima. Cuando la víctima finaliza la llamada, el atacante ya ha utilizado el código para iniciar sesión en la cuenta de la víctima como si fuera el propietario legítimo.
Desde mediados de 2023, una operación de interceptación llamada Estate ha permitido a cientos de miembros realizar miles de llamadas telefónicas automatizadas para engañar a las víctimas para que introduzcan contraseñas de un solo uso, según ha sabido TechCrunch. Estate ayuda a los atacantes a derrotar funciones de seguridad como la autenticación multifactor, que se basa en un código de acceso de un solo uso enviado al teléfono o correo electrónico de una persona o generado desde su dispositivo mediante una aplicación de autenticación. Los códigos de acceso de un solo uso robados pueden otorgar a los atacantes acceso a las cuentas bancarias, tarjetas de crédito, billeteras criptográficas y digitales y servicios en línea de la víctima. La mayoría de las víctimas han estado en Estados Unidos.
Pero un error en el código de Estate expuso la base de datos del sitio, que no estaba cifrada. La base de datos de Estate contiene detalles del fundador del sitio y sus miembros, y registros línea por línea de cada ataque desde que se lanzó el sitio, incluidos los números de teléfono de las víctimas que fueron atacadas, cuándo y por qué miembro.
Vangelis Stykas, investigador de seguridad y director de tecnología de Atropos.ai, proporcionó la base de datos Estate a TechCrunch para su análisis.
La base de datos de back-end proporciona una visión poco común de cómo funciona una operación de interceptación de contraseña de un solo uso. Servicios como Estate anuncian sus ofertas con el pretexto de proporcionar un servicio aparentemente legítimo que permite a los profesionales de la seguridad realizar pruebas de resistencia a los ataques de ingeniería social, pero caen en un espacio legal gris porque permiten a sus miembros utilizar estos servicios para ataques cibernéticos maliciosos. En el pasado, las autoridades han procesado a los operadores de sitios similares dedicado a la automatización de ciberataques para prestar sus servicios a delincuentes.
La base de datos contiene registros de más de 93.000 ataques desde que se lanzó Estate el año pasado, dirigidos a víctimas que tienen cuentas en Amazon, Bank of America, Capital One, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (propietario de TechCrunch) y muchos otros.
Algunos de los ataques también muestran esfuerzos para secuestrar números de teléfono mediante la realización de ataques de intercambio de SIM (una campaña se tituló simplemente “estás recibiendo un amigo de intercambio de SIM”) y amenazando con doxar a las víctimas.
El fundador de Estate, un programador danés de unos 20 años, le dijo a TechCrunch en un correo electrónico la semana pasada: “Ya no opero el sitio”. El fundador, a pesar de los esfuerzos por ocultar las operaciones en línea de Estate, configuró mal el servidor de Estate, lo que expuso su ubicación en el mundo real en un centro de datos en los Países Bajos.
Estate se anuncia como capaz de “crear soluciones OTP personalizadas que se adaptan perfectamente a sus necesidades” y explica que “nuestra opción de secuencias de comandos personalizadas le da el control”. Los miembros del patrimonio acceden a la red telefónica global haciéndose pasar por usuarios legítimos para obtener acceso a proveedores de comunicaciones ascendentes. Un proveedor fue Telnyx, cuyo director ejecutivo, David Casem, dijo a TechCrunch que la empresa bloqueó las cuentas de Estate y que se estaba llevando a cabo una investigación.
Aunque Estate tiene cuidado de no utilizar lenguaje explícito que pueda incitar o alentar ataques cibernéticos maliciosos, la base de datos muestra que Estate se utiliza casi exclusivamente con fines delictivos.
“Este tipo de servicios forman la columna vertebral de la economía criminal”, dijo Allison Nixon, directora de investigación de Unit 221B, una empresa de ciberseguridad conocida por investigar grupos de ciberdelincuentes. “Hacen que las tareas lentas sean eficientes. Esto significa que más personas reciben estafas y amenazas en general. Más personas mayores pierden su jubilación debido a la delincuencia, en comparación con los días anteriores a que existieran este tipo de servicios”.
Estate intentó mantener un perfil bajo ocultando su sitio web a los motores de búsqueda y atrayendo nuevos miembros de boca en boca. Según su sitio web, los nuevos miembros pueden iniciar sesión en Estate solo con un código de referencia de un miembro existente, lo que mantiene baja la cantidad de usuarios para evitar la detección por parte de los proveedores de comunicaciones ascendentes de los que depende Estate.
Una vez que cruzan la puerta, Estate proporciona a los miembros herramientas para buscar contraseñas de cuentas de sus posibles víctimas previamente violadas, dejando códigos de un solo uso como el único obstáculo para secuestrar las cuentas de los objetivos. Las herramientas de Estate también permiten a los miembros utilizar scripts personalizados que contienen instrucciones para engañar a los objetivos para que entreguen sus contraseñas de un solo uso.
En cambio, algunos scripts de ataque están diseñados para validar números de tarjetas de crédito robadas engañando a la víctima para que entregue el código de seguridad en el reverso de su tarjeta de pago.
Según la base de datos, una de las mayores campañas de llamadas en Estate se dirigió a víctimas mayores bajo el supuesto de que los “boomers” tienen más probabilidades de atender una llamada telefónica no solicitada que las generaciones más jóvenes. La campaña, que representó alrededor de mil llamadas telefónicas, se basó en un guión que mantenía al ciberdelincuente informado de cada intento de ataque.
“¡El viejo p—respondió!” parpadearía en la consola cuando su víctima contestara la llamada, y “Soporte vital desconectado” mostraría cuando el ataque tuviera éxito.
La base de datos muestra que el fundador de Estate es consciente de que su clientela son en gran medida actores criminales, y Estate ha prometido durante mucho tiempo privacidad a sus miembros.
“No registramos ningún dato y no requerimos ninguna información personal para utilizar nuestros servicios”, se lee en el sitio web de Estate, un desaire a los controles de identidad que los proveedores de telecomunicaciones y las empresas de tecnología suelen exigir antes de permitir que los clientes accedan a sus redes.
Pero eso no es estrictamente cierto. Estate registró cada ataque que llevaron a cabo sus miembros con gran detalle y se remonta al lanzamiento del sitio a mediados de 2023. Y el fundador del sitio retuvo el acceso a los registros del servidor que proporcionaban una ventana en tiempo real de lo que estaba sucediendo en el servidor de Estate en un momento dado, incluyendo cada llamada realizada por sus miembros, así como cada vez que un miembro cargaba una página en el sitio web de Estate.
La base de datos muestra que Estate también realiza un seguimiento de las direcciones de correo electrónico de los posibles miembros. Uno de esos usuarios dijo que quería unirse a Estate porque recientemente “comenzaron a comprar cc” (refiriéndose a tarjetas de crédito) y creía que Estate era más confiable que comprar un bot de un vendedor desconocido. Posteriormente, el usuario fue aprobado para convertirse en miembro del patrimonio, según muestran los registros.
La base de datos expuesta muestra que algunos miembros confiaron en la promesa de anonimato de Estate al dejar fragmentos de su propia información identificable, incluidas direcciones de correo electrónico y identificadores en línea, en los guiones que escribieron y los ataques que llevaron a cabo.
La base de datos de Estate también contiene los scripts de ataque de sus miembros, que revelan las formas específicas en que los atacantes explotan las debilidades en la forma en que los gigantes tecnológicos y los bancos implementan funciones de seguridad, como códigos de acceso de un solo uso, para verificar las identidades de los clientes. TechCrunch no describe los scripts en detalle, ya que hacerlo podría ayudar a los ciberdelincuentes a realizar ataques.
El veterano reportero de seguridad Brian Krebs, quien informó anteriormente sobre una operación de contraseña de un solo uso en 2021dijo que este tipo de operaciones criminales dejan claro por qué “nunca se debe proporcionar ninguna información en respuesta a una llamada telefónica no solicitada”.
“No importa quién dice estar llamando: si no iniciaste el contacto, cuelga”, escribió Krebs. Ese consejo sigue siendo válido hoy en día.
Pero si bien los servicios que ofrecen el uso de códigos de acceso de un solo uso aún brindan mejor seguridad a los usuarios que los servicios que no lo hacen, la capacidad de los ciberdelincuentes para eludir estas defensas muestra que las empresas de tecnología, los bancos, las carteras e intercambios de criptomonedas y las empresas de telecomunicaciones tienen más trabajo que hacer. hacer.
Nixon, de Unit 221B, dijo que las empresas están en una “batalla eterna” con malos actores que buscan abusar de sus redes, y que las autoridades deberían intensificar los esfuerzos para acabar con estos servicios.
“La pieza que falta es que necesitamos que las fuerzas del orden arresten a los actores del crimen que se convierten en una molestia”, dijo Nixon. “Los jóvenes están haciendo carrera deliberadamente con esto, porque se convencen de que son ‘sólo una plataforma’ y ‘no responsables del crimen’ facilitado por su proyecto”.
“Esperan ganar dinero fácil en la economía del fraude. Hay personas influyentes que fomentan formas poco éticas de ganar dinero en línea. Las fuerzas del orden deben detener esto”.
Lea más en TechCrunch:
