Las autoridades encargadas de hacer cumplir la ley en los Países Bajos han detenido a dos presuntos miembros del equipo holandés de ciberdelincuencia involucrados en el desarrollo, la venta y el alquiler de marcos de phishing sofisticados a otros actores de amenazas en una operación conocida como «fraude como servicio».
Según los informes, los sospechosos arrestados, un ingeniero de software de 24 años y un niño de 15 años, eran los principales desarrolladores y proveedores de los marcos de phishing utilizados para recopilar información de inicio de sesión de los clientes bancarios. Los ataques se dirigieron a usuarios de los Países Bajos y Bélgica.
Desde entonces, el sospechoso de 15 años ha sido puesto en libertad «hasta que se lleve a cabo una mayor investigación», dijo la policía holandesa.
Se cree que ha estado activo desde al menos 2020, el Cybercrime Syndicate ha sido denominado en código «Fraud Family» por Group-IB para seguridad cibernética. Los marcos vienen con suites de phishing, herramientas de robo de información y paneles web que permiten a los estafadores interactuar con el sitio de phishing real en tiempo real y obtener datos de usuarios robados.
«Los marcos de phishing permiten a los atacantes con habilidades mínimas optimizar la creación y el diseño de campañas de phishing para realizar operaciones fraudulentas masivas sin pasar por 2FA», Roberto Martínez de Group-IB Europe, analista sénior de amenazas, y Anton Ushakov, director adjunto de investigación de alta tecnología. El informe agrega que la pandilla «anuncia sus servicios y se comunica con otros ciberdelincuentes en un mensajero de telegramas».
Infecciones que involucran familia de estafadores Comienza con un mensaje de correo electrónico, SMS o WhatsApp que pretende ser una marca local conocida y contiene enlaces maliciosos que, cuando se hace clic, redirigen a un destinatario desprevenido a sitios de phishing que roban información de pago y están bajo control enemigo. En un escenario de ataque alternativo, se observó a los estafadores haciéndose pasar por compradores en una plataforma holandesa de anuncios clasificados para contactar al vendedor y luego pasar la conversación a WhatsApp para que visitara el sitio de phishing.
Los investigadores de Group-IB han notado el «alto nivel de personalización» que ofrecen los sitios de phishing, que no solo pretenden ser un mercado holandés legítimo, sino que también afirman utilizar el conocido sistema de pago de comercio electrónico del país, solo para guiar a la víctima. . al sitio web falso del banco, desde donde se envían los datos de inicio de sesión en función del banco seleccionado.
«Cuando las víctimas envían sus datos bancarios, el sitio de phishing los envía a un panel web controlado por fraude», dijo Group-IB. «Este en realidad les dice a los estafadores que la nueva víctima está en línea. Los estafadores pueden solicitar información adicional para ayudarlos a acceder a sus cuentas bancarias, incluidos tokens de autenticación de dos factores e información de identificación personal».
Según los informes publicados por el grupo en Telegram, los precios de los paneles web, uno de los cuales es una rama de otro panel llamado «U-Admin», oscilaron entre 200 EUR por mes para el Panel Express y 250 EUR por mes. los ciberdelincuentes optan por un Panel Reliable (o Administrador Reliable). Hasta la fecha, se han identificado al menos ocho canales de Telegram operados por Fraud Family, con 2.000 suscriptores entre ellos.
«Los ataques que dependen de la infraestructura de Fraud Family han aumentado en los últimos meses en 2020», dijeron los investigadores de Group-IB. “Esta tendencia continúa en 2021, cuando aparecen el Panel Express y el Panel Reliable”.
