Os #SIMHighjackers: como os criminais están roubando millóns facendo números de teléfono altos

É unha historia común: as barras de sinal desaparecen dos seus teléfonos móbiles, chaman ao número de teléfono: soa, pero non é o seu teléfono. Intentan iniciar sesión na súa conta bancaria, pero o contrasinal falla. Convertéronse na nova vítima de fraude de intercambio de SIM e o seu número de teléfono agora está no control dun criminal. 

A fraude de intercambio de SIM cométese cando un defraudador engana ao operador de telefonía móbil da vítima para transportar o número de móbil da vítima a unha SIM que estea en mans do defraudador e así comeza a recibir as chamadas e mensaxes de texto entrantes, incluídos contrasinais bancarios únicos que se envían. ao número de teléfono da vítima.

O defraudador pode realizar transaccións, empregando as credenciais recollidas por outras técnicas como o malware, e cando o banco envía un contrasinal único por SMS, o defraudador recíbea e completa a autorización da transacción.

Con SIM cambiando os titulares nos últimos meses, a policía de toda Europa está a loitar contra esta ameaza, con dúas operacións dirixidas a atacantes de SIM chegando recentemente a bo porto.

Operación Quinientos Dusim

Os investigadores da Policía Nacional española (Policía Nacional) xunto coa Garda Civil (Guardia Civil) e Europol dirixidos en xaneiro en sospeitosos de toda España creron que formaban parte dun anel de piratería que roubou máis de 3 millóns de euros nunha serie de ataques de intercambio de SIM. 12 persoas foron detidas en Benidorm (cinco), Granada (seis) e Valladolid (un).

Composta por cidadáns de entre 22 e 52 anos de Italia, Romanía, Colombia e España, esta banda criminal golpeou máis de 100 veces, roubando entre 6,000 e 137,000 euros en contas bancarias de vítimas insospeitadas por ataque.

propaganda

o Juicy Fruit era sinxelo, pero eficaz. Os delincuentes conseguiron a obtención das credenciais bancarias en liña das vítimas dos distintos bancos mediante técnicas de piratería como o uso de troianos bancarios ou outro tipo de malware. Unha vez que teñan estas credenciais, os sospeitosos solicitarían un duplicado das tarxetas SIM das vítimas, proporcionando documentos falsos aos provedores de servizos móbiles. Con estes duplicados no seu poder, recibirían directamente aos seus teléfonos os códigos de autenticación de segundo factor que enviarían os bancos para confirmar as transferencias.

Os criminais procederon a realizar transferencias fraudulentas das contas das vítimas a contas de mulos de cartos empregadas para ocultar os seus rastros. Todo isto fíxose nun prazo moi curto –entre unha ou dúas horas–, que é o tempo que tardaría a vítima en darse conta de que o seu número de teléfono xa non funcionaba.

Operación Efectivo intelixente 

Unha investigación de oito meses entre a Policía Nacional Rumana (Poliția Română) e o Servizo austríaco de intelixencia criminal (Bundeskriminalamt) co apoio de Europol levou á detención de 14 membros dunha banda criminal que baleiraron contas bancarias en Austria ao obter o control. sobre os números de teléfono das súas vítimas.

Os sospeitosos foron arrestados a principios de febreiro en Romanía en ordes simultáneas nas súas casas en Bucarest (un), Constanta (cinco), Mures (seis), Braila (un) e Sibiu (un).

Os roubos, que fixeron decenas de vítimas en Austria, foron perpetrados pola banda na primavera de 2019 nunha serie de ataques de intercambio de SIM.

Unha vez gañada o control do número de teléfono da vítima, esta banda particular empregaría credenciais bancarias roubadas para iniciar sesión nunha aplicación bancaria móbil para xerar unha transacción de retirada que logo validaron cun contrasinal único enviado polo banco mediante SMS permitíndolles retirar cartos en caixeiros electrónicos sen tarxeta.

Estímase que esta pandilla conseguiu roubar máis de medio millón de euros deste xeito aos propietarios de contas bancarias que non sabían.

Os dous casos foron referidos Centro Europeo de Criminalización Europea de Europol (EC3) debido ás esixentes medidas de investigación cruzadas fronteiras. Os seus dedicados equipos de especialistas axudaron ás autoridades nacionais a construír unha imaxe de intelixencia actualizada dos distintos grupos criminais, facilitando o desenvolvemento dunha estratexia conxunta para dirixir aos delincuentes.

"Os defraudadores sempre están a buscar novas formas de roubar cartos ás contas de vítimas desaspectadas. Aínda que aparentemente inocuo, o intercambio de SIM rouba ás vítimas de algo máis que os seus teléfonos: os secuestradores SIM poden baleirar a súa conta bancaria en cuestión de horas. A aplicación da lei está axudando contra esta ameaza, e accións coordinadas suceden en toda Europa ", dixo Fernando Ruiz, responsable do Centro Europeo de Cibercriminalidade de Europol.

Non sexa a seguinte vítima

Entón, como pode evitar o intercambio de SIM? Simplificando, todo comeza polo roubo de identificación. Os delincuentes poden facerse cos seus datos persoais buscándoos en redes sociais, atacando o seu dispositivo con software malicioso que lles outorgará acceso aos seus datos sensibles ou mediante ataques de enxeñería social como phishing, apetito ou cheiro. Aquí tes algúns consellos para axudarche a ter un paso por diante:

• Mantén o software dos teus dispositivos actualizado
• Non faga clic en ligazóns nin descargue adxuntos que veñen con correos electrónicos inesperados
• Non responda a correos electrónicos sospeitosos nin póngase por teléfono con chamadores que solicitan a súa información persoal
• Limita a cantidade de datos persoais que compartes en liña
• Intente usar a autenticación de dous factores para os seus servizos en liña, en vez de enviar un código de autenticación por SMS
• Cando sexa posible, non asocies o teu número de teléfono a contas en liña sensibles
• Configura o teu PIN para restrinxir o acceso á tarxeta SIM. Non compartas este PIN con ninguén.

Se o teléfono perde a recepción de súpeto nunha zona onde ten que ter conectividade:

• Informe da situación ao seu fornecedor de servizos
• Se hai transaccións sospeitosas na súa conta bancaria, póñase en contacto co banco
• Cambie inmediatamente todos os contrasinais das túas contas en liña
• Conserve todas as probas, no caso de que necesite contactar coa policía

Para máis consellos como protexer a túa información financeira de golpes cibernéticos, visite esta páxina dedicada.