Miércoles 14 de febrero de 2024 15:37
"La entrega de su paquete ha sido suspendida": La red que busca extraer datos de cuentas bancarias a través de estafas por SMS
Dos expertos en ciberseguridad recomiendan fijarse en que “los mensajes estén bien escritos, sin faltas de ortografía o redacción".
Los ingenieros expertos en ciberseguridad, Rodrigo Apablaza y Carlos Baeza, investigaron estafas por medio de mensajes SMS, conocidas como "smishing", que han llegado a celulares de cientos de personas.
“No podemos organizar la entrega del paquete porque la dirección que proporciono no coincide con su codigo postal, actualice”, asi dice uno de los textos que busca robar datos de tarjetas bancarias.
“La entrega de su paquete ha sido suspendida debido a que falta un número de calle en el paquete, por favor actualice“, dice otro.
A veces, los remitentes simulan ser empresas específicas como Correos de Chile o Chilexpress.
Según consigna Ciper Chile, los profesionales fundadores del laboratorio Twoko, aseguran que “nos enfrentamos a un grupo de ciberdelincuentes internacionales”.
La indagatoria los llevó hasta un usuario de Telegram identificado como @chenlun, que vende paquetes con instrucciones para generar estafas por SMS.
Además, dieron con un canal de YouTube con el mismo nombre, donde se publicaban tutoriales para realizar “campañas maliciosas”.
La red ofrece un kit de información detallada para montar una página web que suplanta a alguna institución real. Ese sitio falso es al que los SMS maliciosos redirigen a los usuarios.
Las personas que caen en el engaño entran a esas páginas y registran sus datos bancarios pensando que están en una web segura, por lo que esa información llega a manos de delincuentes.
Rodrigo Apablaza y Carlos Baeza analizaron los movimientos de 80 números telefónicos que enviaron mensajes maliciosos para estafas, con lo que pudieron sistematizar datos relevantes. Entre ellos resalta que los números se inician con el prefijo “56 44”, y que probablemente pertenecen a un callcenter.
Los investigadores apuntan a que “como equipo consideramos que tenemos dos grandes hallazgos. El primero es que logramos identificar al grupo de cibercriminales tras estas campañas y tenemos evidencia de cómo este grupo ofrece información muy detallada para montar el kit de la página web que suplanta a alguna institución, que es donde finalmente te dirigen estos SMS, y donde tus datos bancarios son filtrados. El segundo, es que estas campañas son enviadas por empresas proveedores de internet o que ofrecen el servicio de envío de mensajes masivos, lo que involucra muchos elementos y componentes técnicos además del aprovechamiento de vacíos normativos y tecnológicos”.
Los ingenieros recomiendan fijarse en que “los mensajes estén bien escritos, sin faltas de ortografía o redacción. Desconfiar de remitentes desconocidos, de promociones, cupones o concursos. Nunca facilitar información personal o hacer clic en los enlaces y por ningún motivo descargar archivos adjuntos”.
Ambos entregaron en octubre de 2023 un reporte detallado de su análisis al Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), dependiente del Ministerio del Interior, a través del formulario web y, adicionalmente, por un correo institucional. No obstante, indican que hasta el momento no han recibido confirmación de recepción de su denuncia, lo que es negado por la repartición pública.
En el reporte se incluyeron a las compañías a través de las cuales se distribuirían los mensajes, como Netline Telefónica Ltda., Idustel Chile Ltda., Andes Inversiones SpA, Cellplus SpA, Hablaip SpA, TCS Chile SpA e Intermax SpA.
Los especialistas rastrearon las URL que se incluían en los mensajes que supuestamente provenían de instituciones como Chilexpress o Correos de Chile, y al analizar los metadatos y el código de fuente de los distintos enlaces, hallaron comentarios en chino y una palabra clave: Chenlun.
“En este punto pudimos identificar que el desarrollador de la plataforma provenía específicamente de China. Además, siguiendo la IP (43.153.45.143), logramos encontrar desde dónde se administraba este smishing”, indicó Apablaza.
Al buscar a Chenlun, el profesional indicó que “llegamos hasta canales de Telegram asociados a su nombre en los que se venden ‘packs de smishing‘. Allí también se puede encontrar información técnica sobre la plataforma de administración que ejecuta estas estafas. Nos dimos cuenta de que hay toda una red detrás de estas campañas maliciosas de SMS”.
Otras páginas dedicadas a la ciberseguridad también lo identifican como una pieza clave en la ejecución de estafas vía smishing, que confirman que esta forma de operar es un fenómeno mundial, y que en cada país se adapta según los servicios de correspondencia locales como Correos de Chile o Chilexpress.
Una página oficial de Entel dedicada al reporte de amenazas digitales identifica a Chenlun como “un orquestador chino de robo de tarjetas de crédito a través de sitios web falsos”.
Según la empresa, “Chenlun utiliza Telegram para promocionar sus servicios y mantiene un canal de YouTube con tutoriales sobre implementación de campañas de phishing. Las actividades de Chenlun resaltan la sofisticación y gravedad de las amenazas cibernéticas actuales”.
Apablaza y Baeza sostienen que “la comunidad en torno a los productos Chenlun parece activa y en crecimiento. Cada día se unen nuevos usuarios y diariamente se publican anuncios de servicios de otros individuos”.
Finalmente, comentan que las campañas maliciosas que analizaron “son ejecutadas por una red de cibercriminales conocida como ‘Triad Smishing‘. Se trata de un grupo delictivo que ofrece una infraestructura de cibercrimen como servicio, suministrando kits personalizados a otros actores maliciosos a nivel internacional”.
PURANOTICIA