Una operación conjunta entre la Interpol y empresas de ciberseguridad ha llevado al arresto y cierre de la notoria plataforma de phishing como servicio (PhaaS) 16shop.
Las plataformas de phishing como servicio ofrecen a los ciberdelincuentes una ventanilla única para realizar ataques de phishing. Estas plataformas generalmente incluyen todo lo que necesita, incluida la distribución de correo electrónico, kits de phishing listos para usar para marcas conocidas, alojamiento, proxy de datos, paneles de información general de víctimas y otras herramientas que ayudan a aumentar el éxito de sus operaciones.
Estas plataformas suponen un riesgo significativo, ya que reducen la barrera de entrada para los ciberdelincuentes sin experiencia, ofreciéndoles una forma sencilla y rentable de lanzar ataques de phishing con solo unos pocos clics.
Group-IB, que ayudó a Interpol en la operación de eliminación, informa que la plataforma 16shop ofreció kits de phishing dirigidos a cuentas de Apple, PayPal, American Express, Amazon y Cash App, entre otras.
Según Group-IB, los kits de phishing en cuestión se habían comercializado desde al menos noviembre de 2017. Los kits de phishing se vendían a un precio relativamente modesto de 60 a 150 dólares estadounidenses, según la marca objetivo. Como tal, las páginas falsas que imitaban a Amazon se ofrecieron por U$S 60 y las páginas de phishing dirigidas a los usuarios de American Express, por U$S 150. Los desarrolladores de los kits de phishing aseguraron la localización de las páginas de phishing en más de 8 idiomas. Una víctima vería contenido de phishing relevante según su geolocalización. Esta característica permitió a los compradores de estos kits de phishing atacar a las víctimas en casi cualquier parte del mundo.
Los datos de telemetría de Group-IB muestran que 16shop fue responsable de crear 150.000 páginas de phishing, dirigidas principalmente a personas de Alemania, Japón, Francia, EE. UU. y el Reino Unido. El anuncio de Interpol menciona que al menos 70.000 usuarios de 43 países se vieron comprometidos por páginas de phishing creadas a través de 16shop.
Los datos robados en estos ataques incluyen datos personales, correos electrónicos y contraseñas de cuentas, tarjetas de identificación, números de tarjetas de crédito y números de teléfono.
Arresto del operador
La operación de Interpol resultó en el arresto del operador de la plataforma de 21 años en febrero de 2022 en Indonesia y luego condujo a la detención de dos facilitadores, uno en Japón y otro en Indonesia.
"Una notoria plataforma de 'phishing-as-a-service' (PaaS) conocida como '16shop' ha sido cerrada en una investigación global coordinada por INTERPOL, con las autoridades indonesias arrestando a su operador y uno de sus facilitadores, con otro arrestado en Japón", dice el comunicado de prensa de la Interpol. "Con la ayuda de información de una serie de socios del sector privado, el equipo de INTERPOL pronto pudo determinar la identidad y la ubicación probable del administrador de la plataforma", agregó Interpol.
Una empresa con sede en EE.UU. alojaba los servidores de 16shop, pero su información de registro mostraba que tenía su sede en Indonesia. La policía de Indonesia arrestó al joven y confiscó artículos electrónicos y varios vehículos de lujo que estaban en posesión del operador.
Los dos facilitadores fueron identificados y posteriormente arrestados luego de la detención del administrador, lo que sugiere que pudo haber divulgado información sobre sus cómplices.
Fuente: BC