Golpe de INTERPOL al negocio criminal de los kits de phising

El pasado 8 de agosto INTERPOL anunciaba el cierre de una importante plataforma de servicios de phishing, conocida como “16shop”, en que se vendían «kits de phishing», que se habrían utilizado para estafar a unos 70.000 usuarios en 43 países.

En la investigación llevada a cabo por la Organización Internacional de Policía Criminal, en colaboración con las autoridades de Indonesia, Japón y Estados Unidos, así como diversas empresas de ciberseguridad, se consiguió averiguar la identidad y  ubicación del administrador de la plataforma con sede en Indonesia. Tras la detención del administrador, un varón de 21 años, fueron identificadas y detenidas otras dos personas relacionadas con esta web criminal.

“Phishing-as-a-service” (PhaaS)

El «Phishing como Servicio» se trata de un negocio ilícito en que se proporciona infraestructura informática y técnica para crear y distribuir campañas de phishing, a cambio de una contraprestación económica o reteniendo una parte de los beneficios ilícitos obtenidos de forma directa con los ataques desarrollados a través del soporte ofrecido.

Este tipo de servicios de facilitación delictiva pueden incluir desde kits de phishing, en que se proporcionan plantillas personalizadas, sitios web fraudulentos y herramientas para apoderarse de datos sustraídos, hasta servidores, dominios y hosting para alojar las webs fraudulentas, dificultando así el rastreo del phisher. Toda una serie de prestaciones que allanan el camino a potenciales ciberdelincuentes que carecen de conocimientos informáticos y de medios suficientes para llevar a cabo, por sí mismos, las sofisticadas campañas de phishing que permiten estas plataformas.

El kit de phising de «16shop»  

“16Shop” estaba disponible en varios idiomas: inglés, español, alemán, japonés y tailandés. Al parecer junto al kit de phishing, los desarrolladores del paquete proporcionaban al usuario un servicio completo que incluía un hosting y servidores propios para llevar a cabo las campañas, así como una interfaz de administrador intuitiva con asistencia técnica en directo a través de un chat.

Según informa la empresa desarrolladora de Software “Enigma Soft”, al igual que la mayoría de las páginas de phishing, aquellas creadas a través del kit «16Shop» tenían la capacidad de robar las claves de inicio de sesión de los usuarios. Sin embargo, “16Shop” iba más allá al permitir la recopilación de información confidencial adicional, lo que incrementaba su nivel de peligrosidad. Los datos recopilados durante la campaña, como números de tarjetas de crédito, ubicaciones geográficas, números de teléfonos móviles y direcciones de correo electrónico se enviaban directamente a la bandeja de entrada de los atacantes.

En definitiva, se trataba de un paquete de phishing que había ganando popularidad entre los cibercriminales por la cantidad de prestaciones que ofrecía y que lo convertía en una importante ciberamenaza.

La facilitación a la estafa informática  en nuestra Ley Penal

En España, nuestro Código Penal, castiga con la misma pena que al autor de la estafa a quien fabrique, importe, obtenga, posea, transporte, comercialice o facilite a terceros dispositivos, instrumentos, datos, programas informáticos o cualquier otro medio diseñado o adaptado específicamente para la comisión de estafas (art. 249.2 a) CP).

Si han usado fraudulentamente tu tarjeta o has sido víctima de un una estafa a través de medios informáticos, en Despacho Jurídico Valero Cuadra somos abogados expertos en phishing y sabemos cómo ayudarte a recuperar el dinero que te han sustraído. Contacta con nosotros.