La Guàrdia Civil desarticula una important xarxa dedicada a cometre estafes a través d'Internet

La Guàrdia Civil, en el marc de l'operació AIGÜES VIVAS, ha desarticulat una organització delictiva dedicada a cometre estafes a través d'Internet. A través d'un programari maliciós, instal·lat en l'ordinador de la víctima per la tècnica coneguda com a «email spoofing», haurien aconseguit desviar als seus comptes grans quantitats de diners.

S'ha detingut a 16 persones en Ribeira (la Corunya), Madrid, Parla i Móstoles (Madrid), Seseña (Toledo), Villafranca dels fangs (Badajoz) i Aranda de Duero (Burgos) pels presumptes delictes d'estafa i pertinença a organització criminal. 

S'han esclarit 20 delictes d'estafa, per un import total defraudat de 276.470 euros, dels quals han pogut ser recuperats 87.000 euros.

Així mateix, s'han realitzat 2 registres a Madrid, en els quals han intervingut gran quantitat de documentació, dispositius mòbils i equips informàtics. 

La investigació es va iniciar fa més d'un any, després de diverses denúncies presentades per diferents organisme oficials, situats al llarg de tota la geografia nacional, per la suposada infecció dels seus equips informàtics amb alguna mena de programari maliciós, amb el qual haurien aconseguit desviar dels seus comptes, a través de la banca en línia, grans quantitats de diners.

Després d'analitzar els equips informàtics afectats, els agents van observar que la infecció es duia a terme a través d'una tècnica coneguda com a «email spoofing», consistent en l'enviament fraudulent de correus electrònics en els quals els atacants ocultaven la vertadera adreça del remitent, substituint-la per una altra, aparentment, legítima, aconseguint així suplantar la identitat d'organismes estatals com l'Agència Tributària, Hisenda, Correus o la DGT.

Modus operandi

Els denunciants rebien en els seus comptes de correu electrònic uns missatges, suposadament provinents d'organismes oficials com l'Agència Tributària, Hisenda, Correus, DGT, etc., en els quals se'ls requeria pagar deutes fiscals, abonar multes de trànsit, o la recollida de paquets, per a això havien d'obrir un enllaç inserit en el correu rebut per a veure els detalls. Quan accedien a aqueix enllaç, en realitat estaven accedint a una adreça o pàgina web des de la qual, en segon pla, era descarregat i instal·lat el programa maliciós. 

Una vegada instal·lat en l'ordinador, sense que l'usuari s'adonara, romania latent a l'espera de ser activat en el moment en què l'usuari accedira a qualsevol pàgina web d'un banc, executant una transacció bancària. En aqueix moment el programari maliciós realitzava una intercepció i modificació de les dades emeses, aconseguint que els comptes beneficiaris dels diners foren un total de 30 comptes bancaris pertanyents a la xarxa. Després d'això, els diners eren diversificats mitjançant el seu enviament a altres comptes, o mitjançant extracció d'efectiu en caixers, transferències per BIZUM, targetes REVOLUT, etc.

Una característica en la qual coincidien totes la víctimes és que, una vegada que realitzaven qualsevol operació bancària a través de la web, els seus ordinadors es reiniciaven diverses vegades fins a bloquejar-se l'accés, comprovant més tard que s'havien realitzat transferències de grans quantitats de diners a comptes de desconeguts.

68 comptes de correu electrònic infectades per troians 

Els investigadors, en col·laboració amb el Departament d'Informàtica de la Diputació Provincial de Càceres, van detectar una activitat sospitosa en almenys 68 comptes de correu electrònic pertanyents a organismes oficials, els quals estaven infectats amb els troians «Mekotio» i «Grandoreiro», i que romanien a l'espera de consumar les transferència fraudulentes. Els agents han aconseguit bloquejar temptatives de transferències per un import de 3.500.000 euros, després d'analitzar més de 1.800 correus electrònics.

L'organització estava perfectament estructurada i jerarquitzada, en 4 nivells. D'una banda es trobaven els que es dedicaven a rebre les quantitats de les transferències fraudulentes (Nivell 1), que posteriorment transferien a altres membres de l'organització (Nivell 2). D'altra banda, es trobaven els que transferien els diners a altres comptes situats a l'estranger (Nivell 3) i, finalment, els que es dedicaven a emmascarar l'operativa en línia dels comptes (Nivell 4).

Phishing, Vishing i Smishing 

Es tracten de tres atacs basats en enginyeria social molt similars en la seua execució. De manera general, el ciberdelincuente enviarà un missatge suplantant a una entitat legítima, com pot ser un banc, una xarxa social, un servei tècnic o una entitat pública, amb la qual ens sentim confiats, per a aconseguir el seu objectiu. Aquests missatges solen ser de caràcter urgent o atractiu, per a evitar que aplicació el sentit comú i s'ho pensen dues vegades.

    Phishing: Sol emprar-se el correu electrònic, xarxes socials o aplicacions de missatgeria instantània. 
    Vishing: Es duu a terme mitjançant trucades de telèfon. 
    Smishing: El canal utilitzat són els SMS. 

A vegades, porten amb si un enllaç a una web fraudulenta, que ha pogut ser suplantada, fingint ser un enllaç legítim, o bé es tracta d'un arxiu adjunt maliciós per a infectar-nos amb malware. 

El seu objectiu és obtindre dades personals i/o bancaris dels usuaris, fent-nos creure que els estem compartint amb algú de confiança. També poden utilitzar aquesta tècnica perquè descarreguem malware amb el qual infectar i/o prendre el control del dispositiu.