Come i criminali informatici rubano codici di accesso monouso per attacchi di scambio di carte SIM e saccheggi di conti bancari, in particolare sfruttando servizi online dedicati

-

Secondo quanto riferito, una massiccia campagna di devastanti attacchi informatici in corso almeno nell’ultimo anno ha consentito agli autori delle minacce di rubare milioni di dollari alle loro vittime. Si ritiene che questa ondata di attacchi informatici, che combinano tecniche di ingegneria sociale e lo sfruttamento di codici di accesso monouso (OTP), venga effettuata attraverso una piattaforma chiamata “Estate” con sede nei Paesi Bassi. Gli aggressori raccolgono codici OTP sfruttando la credulità delle loro vittime e poi si lanciano in un furto paralizzante che può privare permanentemente una persona di tutti i fondi nel suo conto bancario o pensionistico.

Il servizio online Estate Call consente ai criminali informatici di effettuare attacchi informatici

La strategia del gruppo hacker Estate si basa su una tecnica semplice ma estremamente efficace: l’intercettazione di codici di accesso monouso. Una password monouso (OTP) è una sequenza generata automaticamente di caratteri numerici o alfanumerici che autentica un utente per una singola connessione o transazione. Sono progettati per migliorare la sicurezza attraverso l’autenticazione a più fattori (2FA). Ma Estate utilizza tecniche avanzate di ingegneria sociale o telefonate automatizzate per ottenere codici OTP.

L’azienda immobiliare è in attività da qualche tempo. Fino a poco tempo fa, gli esperti di sicurezza informatica non erano in grado di determinare dove si trovasse questa banda di criminali informatici e, soprattutto, chi si nascondesse dietro di essa. Ma un bug nel codice di Estate ha esposto il database del sito, che non era crittografato, rivelando molte informazioni preziose. Include informazioni sul fondatore del sito e sui suoi membri, nonché registri riga per riga di ogni attacco dal lancio del sito, inclusi i numeri di telefono di quali vittime sono state prese di mira, quando e da quale membro.

Fornisce una rara visione di come funziona un’operazione di intercettazione del codice OTP. Servizi come Estate pubblicizzano le loro offerte con il pretesto di un servizio apparentemente legittimo che consente ai professionisti della sicurezza di testare la resistenza agli attacchi di ingegneria sociale. Ma cadono nell’oscurità legale perché consentono ai loro membri di utilizzare questi servizi per attacchi informatici devastanti. In passato, le autorità hanno perseguito gli operatori di siti simili dediti all’automazione degli attacchi informatici per fornire i propri servizi ai criminali informatici.

Ciò porta, non sorprende, a difficoltà e sofferenze tra le vittime. Per questi ultimi, la truffa inizia con una chiamata, presumibilmente proveniente da un’entità fidata, come il team di sicurezza di PayPal, che li avvisa di attività sospette sul loro conto. Dalla metà del 2023, centinaia di membri dell’Operazione Estate avrebbero effettuato migliaia di chiamate automatizzate per incoraggiare le vittime a inserire i codici OTP. Richieste di verificare la propria identità, le vittime forniscono goffamente il codice OTP inviato ai loro dispositivi mobili. Gli hacker prendono automaticamente il controllo dei dispositivi.

I codici di accesso monouso rubati possono consentire agli hacker di accedere ai conti bancari, alle carte di credito, ai portafogli crittografici e digitali e ai servizi online delle vittime. Si ritiene che la maggior parte delle vittime si trovi negli Stati Uniti. Il database, analizzato da Techcrunch, contiene i registri di oltre 93.000 attacchi effettuati dal lancio di Estate lo scorso anno, prendendo di mira le vittime con conti su Amazon, Bank of America, Capital One, Chase Bank, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo. e molti altri. Ma non è tutto.

L’analisi del database rivela anche che alcuni degli attacchi sono tentativi di dirottare numeri di telefono effettuando attacchi di scambio di SIM e minacciando le vittime di inserirli. Il fondatore di Estate, un programmatore danese poco più che ventenne, afferma di non gestire più il sito. Nonostante i suoi sforzi per nascondere le operazioni online di Estate, il fondatore ha configurato erroneamente il server del sito, che ha rivelato la sua reale ubicazione in un data center nei Paesi Bassi.

Il database immobiliare espone attività dannose di alcuni di questi membri

Estate si vanta di essere in grado di creare soluzioni OTP su misura che soddisfano perfettamente le tue esigenze e spiega: La nostra opzione di script personalizzato ti dà il controllo. I suoi membri sfruttano la rete telefonica globale fingendosi utenti legittimi per ottenere l’accesso ai fornitori di comunicazioni a monte. Uno di questi fornitori era Telnyx. Sebbene Estate faccia attenzione a non utilizzare un linguaggio esplicito che possa incitare o incoraggiare attacchi informatici dannosi, il database mostra che il sito viene utilizzato quasi esclusivamente per scopi criminali.

Questi tipi di servizi costituiscono la spina dorsale dell’economia criminale. Rendono le attività lente più efficienti. Ciò significa che sempre più persone sono vittime di truffe e minacce. Sono sempre più numerosi gli anziani che perdono la pensione a causa della criminalità rispetto a quando questi servizi non esistevano, osserva Allison Nixon, capo della ricerca presso l’Unità 221B, una società di sicurezza informatica. Una delle più grandi campagne su Estate prendeva di mira le vittime più anziane sulla premessa che i boomer hanno maggiori probabilità di accettare una telefonata non richiesta rispetto alle generazioni più giovani.

Dal database emerge che il fondatore di Estate è consapevole che la sua clientela è composta in gran parte da attori criminali e da tempo promette il rispetto della privacy dei suoi membri. Non registriamo alcun dato né chiediamo alcuna informazione personale per utilizzare i nostri servizi, afferma il sito web dell’Estate. Ma questo non è del tutto vero. Estate ha registrato tutti gli attacchi effettuati dai suoi membri, in modo preciso e dettagliato, dal lancio del sito a metà del 2023. Il database ha rivelato informazioni che potrebbero compromettere alcuni di questi membri.

Inoltre, il fondatore del sito ha mantenuto l’accesso ai log del server, che consentono di vedere in tempo reale cosa sta succedendo sul server Estate in qualsiasi momento, inclusa ogni chiamata effettuata dai suoi membri, così come ogni volta che un membro carica una pagina sul sito dell’Ente. Il database mostra che Estate conserva anche gli indirizzi e-mail dei potenziali membri. Rivela che alcuni membri si sono fidati della promessa di anonimato dell’Estate lasciando frammenti delle proprie informazioni identificabili negli script che hanno scritto e negli attacchi che hanno effettuato.

Queste informazioni includono indirizzi e-mail e pseudonimi online. Il database di Estate contiene anche gli script di attacco dei suoi membri, che rivelano modi specifici in cui gli aggressori sfruttano i punti deboli nel modo in cui i giganti della tecnologia e le banche implementano funzionalità di sicurezza, come codici di accesso monouso, per verificare l’identità dei clienti. Questi attacchi informatici mostrano che le aziende tecnologiche, le banche, ecc. c’è ancora del lavoro da fare per garantire la sicurezza degli utenti nonostante l’autenticazione 2FA.

Il pezzo mancante è che le forze dell’ordine devono arrestare gli attori criminali che si stanno rendendo così dannosi. I giovani fanno carriera deliberatamente in questo campo, perché si convincono di essere solo una piattaforma e di non essere responsabili del crimine facilitato dal loro progetto. Sperano di fare soldi facili nell’economia della truffa. Alcuni influencer incoraggiano metodi non etici per fare soldi online. Le forze dell’ordine devono porre fine a tutto ciò, ha detto Nixon.

E lei ?

Qual è la tua opinione sull’argomento?

Cosa ne pensi delle tecniche utilizzate dagli Estate per ottenere i codici d’uso univoci delle loro vittime?

Queste campagne di attacchi informatici mettono in discussione l’efficacia dell’autenticazione a due fattori?

Come possono gli utenti Internet non iniziati proteggersi da questo tipo di attacchi informatici?

Vedi anche

Le password deboli consentono ancora agli hacker di penetrare nelle reti, l’83% delle password compromesse soddisfa gli standard di conformità della sicurezza informatica

I bot consentono agli hacker di entrare facilmente e in modo convincente nei conti Coinbase, Amazon, PayPal e bancari nonostante l’utilizzo dell’autenticazione a due fattori

I PDF crittografati sono l’ultimo trucco degli hacker per fornirti malware, che poi esfiltra le tue informazioni personali

-

PREV Un nuovo amministratore delegato alla guida di Atos
NEXT Trasformare il futuro tecnologico dell’Africa: 3 giorni per parlarne a Marrakech