De la llamada falsa al SMS fraudulento
Las estafas telefónicas han sido una preocupación constante en la sociedad y, a lo largo del tiempo, han evolucionado en sus modalidades. Mientras que las llamadas de urgencia o los falsos secuestros de familiares solían ser los métodos más comunes, hoy las estafas telefónicas se han sofisticado. Nos enfrentamos a delincuentes que se hacen pasar por ejecutivos bancarios, solicitan códigos de verificación de WhatsApp para realizar secuestros virtuales y utilizan SMS fraudulentos con diversas finalidades.
En los últimos meses observamos un aumento alarmante en las campañas de smishing que suplantan a Correos de Chile, con el objetivo de sustraer datos de tarjetas de crédito. Estas campañas demostraron tener un alcance significativo, lo que plantea una seria preocupación respecto de la seguridad de los usuarios del territorio nacional.
Una de las principales problemáticas asociadas a esta creciente ola de estafas es la falta de mecanismos de protección efectivos para el usuario final. A diferencia del correo electrónico, donde existen sistemas antispam bien establecidos, el ámbito de los SMS maliciosos carece de una protección equivalente. Esto deja a los usuarios en una situación vulnerable, expuestos a las amenazas sin una capa de seguridad sólida que los resguarde.
Detección con fuentes públicas de información
Para llevar a cabo este proceso investigativo analizamos muestras obtenidas de diferentes fuentes, con el objetivo de identificar patrones o información relevante que ayudara a determinar la fuente de origen de estas estafas.
Recolectamos alrededor de 80 muestras, organizadas según su número de origen, fecha de envío, contenido del mensaje y URL, entre otros campos. Una vez agrupados los datos, analizamos las URLs y los números emisores de los mensajes de texto, para luego cruzar esa información con fuentes públicas.
Los resultados indican que nos enfrentamos a un grupo de ciberdelincuentes internacionales. En este contexto recomendamos establecer comunicación, a la brevedad, con los proveedores nacionales afectados, que están permitiendo la entrega de mensajes de texto maliciosos a través de servicios legítimos.
1 · Análisis de los números de origen
Para comenzar buscamos patrones en el número de origen del SMS, donde identificamos dos patrones. El primero: el número "44", que según la información encontrada corresponde a la zona primaria de telefonía IP (ejemplo: 56 44 XXX XXXX).
El segundo patrón son los tres números que siguen al identificador 44 de telefonía IP:
56 44 217 XXXX56 44 236 XXXX56 44 240 XXXX56 44 245 XXXX56 44 262 XXXX56 44 329 XXXX56 44 334 XXXX
Para seguir obteniendo información del origen de los SMS fraudulentos buscamos en fuentes públicas el plan de numeración de telefonía IP. En este caso, SUBTEL mantiene pública y actualizada la base de numeración telefónica asignada a cada proveedor en Chile.
Cruzando los SMS analizados con la base de numeración de telefonía IP pudimos determinar el origen de los mensajes, lo que dio como resultado que ciertas organizaciones están siendo utilizadas para distribuir SMS maliciosos.
2 · Investigación de las URLs
Tras identificar el origen de los SMS, analizamos el código fuente del formulario web que suplanta a Correos de Chile.
Según las evidencias recopiladas desde el código fuente de la URL maliciosa, pudimos determinar que:
- El desarrollador de la plataforma es de origen chino, según los comentarios encontrados en el código.
- La URL
https://hd.cool-admin.topestá asociada a la IP43.153.45.143. - Al ingresar por la IP encontramos el panel de administración de la plataforma de smishing, el mismo que se ofrece a la venta vía Telegram.
- Al ingresar al dominio directamente no arroja información, pero al hacerlo por la IP se accede al login de administración del servicio.
- En el index del servicio de administración se menciona a "Chenlun".
3 · El actor malicioso: "Chenlun"
Para conocer la identidad del o de los actores maliciosos, buscamos el nombre de usuario "Chenlun" en distintas redes sociales. Encontramos tres canales de Telegram donde es posible comprar "packs de smishing". Dentro de los canales también hay información técnica de la plataforma de administración de smishing y phishing.
La comunidad en torno a los productos de Chenlun parece activa y en crecimiento: cada día se suman nuevos usuarios y diariamente se publican anuncios de servicios de otros individuos. Es importante mencionar que Chenlun sólo proporciona el front-end como servicio, aunque comparte tutoriales y consejos sobre cómo implementar sus productos en una campaña de la vida real.
Conclusiones
La investigación arroja conclusiones significativas sobre las campañas de smishing que se desarrollan en el territorio nacional. Identificamos que son ejecutadas por una red de cibercriminales conocida como "Smishing Triad". Este grupo ofrece una infraestructura de cibercrimen como servicio (CaaS), suministrando kits de phishing y smishing personalizados a otros actores maliciosos.
Encontramos información actualizada en línea sobre las actividades de "Smishing Triad" en varios países, incluyendo España, México, Estados Unidos, Reino Unido, Kuwait, Polonia, Suecia, Italia, Indonesia y Japón.
Los resultados también revelan que la mayoría de los mensajes SMS recopilados corresponden a servicios legítimos de mensajería masiva. Por lo tanto, recomendamos que las empresas chilenas que permiten la distribución de SMS maliciosos sean contactadas de inmediato para alertar sobre esta actividad delictiva. Para las organizaciones afectadas, aconsejamos llevar a cabo investigaciones exhaustivas con el fin de identificar y bloquear posibles accesos no autorizados a sus servicios. Twoko está disponible para entregar los datos procesados y ayudar en la solución del problema.
Elementos clave de la campaña
Antecedentes y tácticas
Las campañas de smishing analizadas no sólo se despliegan en el territorio nacional: se pueden encontrar en los cinco continentes. Si bien la investigación se enfoca en "Smishing Triad", no descartamos que otros actores maliciosos estén involucrados.
Método de envíos masivos de SMS
No es posible determinar cómo obtienen acceso a los servicios de delivery de SMS ni a las bases de datos de números, ya que no controlamos esa plataforma. Sin embargo, encontramos muestras de SMS enviadas por al menos siete proveedores. También está disponible el sistema de pago (desde fuera de Chile) para contratar estos servicios, y se conocen técnicas que buscan utilizar API Keys sin restricciones de permisos para el envío de SMS.
Detalles técnicos
La campaña experimentó un pico en agosto, con casi 30 nombres de dominio diferentes registrados por los atacantes y con reportes de estos mensajes desde varios proveedores autorizados de envío de SMS, lo que confunde aún más al usuario final. Además, ofrecen kits de smishing a través de Telegram, creando un efecto de red de fraude como servicio.
Cibercrimen como servicio (CaaS)
El cibercrimen como servicio es un modelo de negocio en el que los delincuentes ofrecen una variedad de servicios y herramientas para actividades ilícitas a cambio de dinero. Se asemeja al modelo de Software como Servicio (SaaS): los usuarios pagan por servicios en línea sin necesidad de adquirir o desarrollar la infraestructura por sí mismos. En este contexto, los actores maliciosos ofrecen:
- Herramientas de hacking
- Servicios de alojamiento y distribución
- Servicios de soporte técnico
- Servicios de ataques DDoS
- Servicios de lavado de dinero digital
El CaaS ha hecho que el ciberdelito sea más accesible para una gama más amplia de personas: ya no es necesario ser un experto en seguridad informática para llevar a cabo actividades delictivas en línea. Este modelo aumentó la sofisticación y la propagación de las amenazas, representando un desafío significativo para la ciberseguridad en todo el mundo.
Alcance del impacto
Los cibercriminales aprovechan vacíos normativos y tecnológicos para distribuir sus campañas: no existe ninguna normativa sobre la distribución de SMS y faltan herramientas tecnológicas (un antispam) que permitan controlar el alto volumen de tráfico. Este contexto les permite alcanzar un alto grado de masividad, con bajos niveles de control y trasladando toda la responsabilidad final al usuario.