1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Karma Se Pone al Día con el Servicio Global de Phishing 16Shop

Karma Se Pone al Día con el Servicio Global de Phishing 16Shop

Probablemente nunca hayas oído hablar de "16tienda, "pero es muy probable que alguien que lo use haya intentado estafarlo.

Una página de phishing de 16Shop que suplanta a Apple y se dirige a usuarios japoneses. Imagen: Akamai.com.

La organización policial internacional INTERPOL dijo la semana pasada cerró la notoria 16Shop, una popular plataforma de phishing como servicio lanzada en 2017 que simplificó incluso para principiantes completos la realización de estafas de phishing complejas y convincentes. INTERPOL dijo que las autoridades de Indonesia arrestaron al propietario de 21 años y a uno de sus presuntos facilitadores, y que un tercer sospechoso fue detenido en Japón.

La declaración de INTERPOL dice que la plataforma vendió herramientas de piratería para comprometer a más de 70,000 usuarios en 43 países. Dado el tiempo que ha existido 16Shop y la cantidad de clientes que pagan que disfrutó a lo largo de los años, ese número es casi seguro que sea muy conservador.

Además, la venta de "herramientas de piratería" no capta del todo de qué se trataba 16Shop: era una plataforma de phishing totalmente automatizada que ofrecía a sus miles de clientes una serie de kits de phishing específicos de la marca para usar, y proporcionaba los nombres de dominio necesarios para alojar las páginas de phishing y recibir las credenciales robadas.

Los expertos en seguridad que investigaron 16Shop descubrieron que el servicio utilizaba una interfaz de programación de aplicaciones (API) para administrar a sus usuarios, una innovación que permitía a sus propietarios cerrar el acceso a los clientes que no pagaban una tarifa mensual o a aquellos que intentaban copiar o piratear el kit de phishing.

16compra también páginas de phishing localizadas en varios idiomas, y el servicio mostraría contenido de phishing relevante según la geolocalización de la víctima.

Varios señuelos 16Shop para usuarios de Apple en diferentes idiomas. Imagen: Akamai.

Por ejemplo, en 2019 McAfee descubrió que para los objetivos en Japón, el kit 16Shop también recopilaría la identificación web y la Contraseña de la tarjeta, mientras que a las víctimas estadounidenses se les pedirá su Número de Seguro Social.

"Dependiendo de la ubicación, 16Shop también recopilará números de identificación (incluida la identificación Civil, la identificación Nacional y la identificación de ciudadano), números de pasaporte, números de seguro social, códigos de clasificación y límites de crédito", McAfee escribió.

Además, 16Shop empleó varios trucos para ayudar a las páginas de phishing de sus usuarios a mantenerse fuera del radar de las empresas de seguridad, incluida una "lista negra" local de direcciones de Internet vinculadas a empresas de seguridad, y una función que permitía a los usuarios bloquear rangos completos de direcciones de Internet para que no accedieran a páginas de phishing.

El anuncio de INTERPOL no menciona a ninguno de los sospechosos detenidos en relación con la investigación de 16Shop. Sin embargo, una serie de empresas de seguridad, que incluyen Akamai, McAfee y ZeroFOX, anteriormente conectó el servicio a un joven indonesio llamado Riswanda Noor Saputra, que vendió 16Shop bajo el nombre de hacker "Grito Diabólico.”

Según el blog de seguridad de Indonesia Cyberthreat.id, Saputra admitió ser el administrador de 16Shop, pero le dijo a la publicación que entregó el proyecto a otros a principios de 2020.

16comprar documentación que instruya a los operadores sobre cómo implementar el kit. Imagen: ZeroFOX.

Sin embargo, Cyberthreat informó que Devilscream fue arrestado por la policía indonesia a fines de 2021 como parte de una colaboración entre INTERPOL y el Oficina Federal de Investigaciones de los Estados Unidos (FBI). Aún así, los investigadores que rastrearon 16Shop desde sus inicios di que Devilscream era no es el propietario original de la plataforma de phishing, y puede que no sea el último.

NEGOCIOS RIZKY

No es raro que los ciberdelincuentes infectar accidentalmente sus propias máquinas con malware para robar contraseñas, y eso es exactamente lo que parece haber sucedido con uno de los administradores más recientes de 16Shop.

Inteligencia Constella, una plataforma de investigación de brechas de datos y actores de amenazas, ahora permite a los usuarios hacer referencias cruzadas de sitios web populares de delitos cibernéticos y habitantes de estos foros con infecciones de malware inadvertidas por troyanos que roban información. Una búsqueda en Constella en el nombre de dominio de 16Shop muestra que a mediados de 2022, un administrador clave del servicio de phishing infectó su computadora de escritorio Microsoft Windows con el Troyano ladrón de información Redline - al parecer, mediante la descarga de una copia agrietada (y secretamente backdoored) de Adobe Photoshop.

Las infecciones de Redline roban montones de datos de la máquina víctima, incluida una lista de descargas recientes, contraseñas almacenadas y cookies de autenticación, así como marcadores del navegador y datos de autocompletar. Esos registros indican que el administrador de 16Shop usó los apodos "Rudi"y"Rizki/ Rizky, "y mantenido varios Perfiles de Facebook bajo estos apodos.

Parece que el nombre completo de este usuario (o al menos parte de él) es Rizky Mauluna Sidik, y son de Bandung en Java Occidental, Indonesia. Una de las páginas de Facebook de este usuario dice que Rizky es el director ejecutivo y fundador de una entidad llamada BandungXploiter, cuyo Página de Facebook indica que es un grupo enfocado principalmente en hackear y desfigurar sitios web.

A Perfil de LinkedIn de Rizky dice que es un desarrollador web de backend en Bandung que obtuvo una licenciatura en tecnología de la información en 2020. Rizky no respondió a las solicitudes de comentarios.



>>Más