Confesiones de un capo del robo de identidad, Parte I – Krebs sobre seguridad


En el apogeo de su carrera como delincuente cibernético, el hacker conocido como "Hieupc”Ganaba 125.000 dólares al mes con un servicio de robo de identidad activo que desviaba expedientes de consumidores de algunos de los principales corredores de datos del mundo. Es decir, hasta que su codicia y ambición jugaron directamente en una elaborada trampa colocada por el Servicio Secreto de EE. UU.. Ahora, después de más de siete años en prisión, Hieupc está de regreso en su país de origen y espera convencer a otros posibles delincuentes cibernéticos para que utilicen sus habilidades informáticas para siempre.

Hieu Minh Ngo, en su adolescencia.

Durante varios años a partir de 2010, un adolescente solitario en Vietnam llamado Hieu Minh Ngo ejecutó uno de los servicios más populares y rentables de Internet para vender "fullz, "Registros de identidad robados que incluían el nombre del consumidor, la fecha de nacimiento, el número de Seguro Social y la dirección de correo electrónico y física.

Ngo obtuvo su tesoro de datos de consumidores mediante la piratería y la ingeniería social y se abrió camino en una serie de importantes corredores de datos. Para cuando el Servicio Secreto lo alcanzó en 2013, había ganado más de $ 3 millones vendiendo datos fullz a ladrones de identidad y redes del crimen organizado que operan en todo Estados Unidos.

Matt O'Neill es el agente del Servicio Secreto que en febrero de 2013 ejecutó con éxito un plan para atraer a Ngo fuera de Vietnam y llevarlo a Guam, donde el joven pirata informático fue arrestado y enviado a Estados Unidos continental para enfrentar el enjuiciamiento. O'Neill ahora dirige la agencia Centro de operaciones de investigación global, que apoya las investigaciones sobre grupos delictivos organizados transnacionales.

O'Neill dijo que abrió la investigación sobre el negocio de robo de identidad de Ngo después de leer sobre ello en una historia de KrebsOnSecurity de 2011, "¿Cuánto vale su identidad?" Según O'Neill, lo notable de Ngo es que hasta el día de hoy su nombre es prácticamente desconocido entre el panteón de ciberdelincuentes condenados infames, la mayoría de los cuales fueron arrestados por traficar grandes cantidades de tarjetas de crédito robadas.

Los negocios de Ngo permitieron que toda una generación de ciberdelincuentes comprometiera un valor estimado de $ 1 mil millones en fraude de cuenta nuevay mancillar el historial crediticio de innumerables estadounidenses en el proceso.

"No conozco ningún otro ciberdelincuente que haya causado más daño financiero material a más estadounidenses que Ngo", O'Neill le dijo a KrebsOnSecurity. "Vendía la información personal de más de 200 millones de estadounidenses y permitía que cualquiera la comprara por centavos cada uno".

Recién liberado del sistema penitenciario de EE. UU. Y deportado de regreso a Vietnam, Ngo actualmente está terminando una cuarentena COVID-19 obligatoria de tres semanas en una instalación administrada por el gobierno. Se puso en contacto con KrebsOnSecurity desde el interior de esta instalación con el objetivo declarado de contar su historia poco conocida y advertir a otros que no sigan sus pasos.

PRINCIPIOS

Hace diez años, el hacker de 19 años Ngo era un habitual en los foros de piratería informática en vietnamita. Ngo dice que provenía de una familia de clase media que tenía una tienda de electrónica, y que sus padres le compraron una computadora cuando tenía alrededor de 12 años. De ahí en adelante, quedó enganchado.

Al final de su adolescencia, viajó a Nueva Zelanda para estudiar inglés en una universidad allí. En ese momento, ya era administrador de varios foros de piratas informáticos de la web oscura, y entre sus estudios descubrió una vulnerabilidad en la red de la escuela que exponía los datos de las tarjetas de pago.

"Me comuniqué con el técnico de TI para solucionarlo, pero a nadie le importó, así que pirateé todo el sistema", recuerda Ngo. “Luego utilicé la misma vulnerabilidad para piratear otros sitios web. Estaba robando muchas tarjetas de crédito ".

Ngo dijo que decidió usar los datos de la tarjeta para comprar entradas para conciertos y eventos de Ticketmastery luego vender las entradas en un sitio de subastas de Nueva Zelanda llamado Intercambiarme. Más tarde, la universidad se enteró de la intrusión y el papel de Ngo en ella, y la policía de Auckland se involucró. La visa de viaje de Ngo no se renovó después de que terminó su primer semestre, y en represalia atacó el sitio de la universidad, apagándolo durante al menos dos días.

Ngo dijo que comenzó a tomar clases nuevamente en Vietnam, pero pronto descubrió que pasaba la mayor parte de su tiempo en foros de ciberdelincuencia.

"Pasé de piratear por diversión a piratear para obtener ganancias cuando vi lo fácil que era ganar dinero robando bases de datos de clientes". Dijo Ngo. "Estaba saliendo con algunos de mis amigos de los foros clandestinos y hablamos sobre la planificación de una nueva actividad delictiva".

“Mis amigos dijeron que usar tarjetas de crédito e información bancaria es muy peligroso, así que comencé a pensar en vender identidades”, continuó Ngo. “Al principio pensé bien, es solo información, tal vez no sea tan malo porque no está relacionado directamente con las cuentas bancarias. Pero estaba equivocado, y el dinero que comencé a ganar muy rápido me cegó a muchas cosas ".

MICROBILT

Su primer gran objetivo fue una empresa de informes de crédito al consumidor en Nueva Jersey llamada MicroBilt.

“Estaba pirateando su plataforma y robando su base de datos de clientes para poder usar sus inicios de sesión de clientes para acceder a sus bases de datos (de consumidores)”, dijo Ngo. "Estuve en sus sistemas durante casi un año sin que ellos lo supieran".

Muy poco después de obtener acceso a MicroBilt, dice Ngo, se puso de pie Superget (.) Información, un sitio web que anunciaba la venta de registros de consumidores individuales. Ngo dijo que inicialmente su servicio era bastante manual, lo que requería que los clientes solicitaran estados o consumidores específicos sobre los que querían información, y él realizaría las búsquedas a mano.

Servicio de robo de identidad anterior de ong, superget (.) Info

"Estaba tratando de obtener más registros a la vez, pero la velocidad de nuestra Internet en Vietnam era muy lenta", recordó Ngo. “No pude descargarlo porque la base de datos era enorme. Así que busco manualmente a quien necesite identidades ".

Pero Ngo pronto descubriría cómo utilizar servidores más potentes en los Estados Unidos para automatizar la recopilación de grandes cantidades de datos de consumidores de los sistemas de MicroBilt y de otros corredores de datos. Como escribí sobre el servicio de Ngo en noviembre de 2011:

“Superget permite a los usuarios buscar personas específicas por nombre, ciudad y estado. Cada "crédito" cuesta USD $ 1, y un éxito en un número de Seguro Social o fecha de nacimiento cuesta 3 créditos cada uno. Cuantos más créditos compre, más baratas serán las búsquedas por crédito: seis créditos cuestan $ 4,99; 35 créditos cuestan $ 20,99 y $ 100,99 le compran 230 créditos. Los clientes con necesidades especiales pueden beneficiarse del “plan de revendedor”, que promete 1500 créditos por $ 500,99 y 3500 créditos por $ 1000,99.

"Nuestras bases de datos se actualizan TODOS LOS DÍAS", dice entusiasmado el propietario del sitio. “Se pudo encontrar alrededor del 99%, casi el 100% de personas estadounidenses, más que cualquier otro sitio en Internet ahora”.

Finalmente, se detectó la intrusión de Ngo en MicroBilt y la empresa lo expulsó de sus sistemas. Pero dice que volvió a utilizar otra vulnerabilidad.

"Los estaba pirateando y fue de ida y vuelta durante meses", dijo Ngo. "Descubrirían (mis cuentas) y las arreglarían, y yo descubriría una nueva vulnerabilidad y las volvería a piratear".

CORTE (AD) EMPRESAS Y EXPERIENCIA

Este juego del gato y el ratón continuó hasta que Ngo encontró una fuente de datos del consumidor mucho más confiable y estable: una empresa con sede en EE. UU. Llamada Court Ventures, que agregó registros públicos de documentos judiciales. Ngo no estaba interesada en los datos recopilados por Court Ventures, sino en su acuerdo de intercambio de datos con un intermediario de datos externo llamado Búsqueda de información de EE. UU., que tenía acceso a registros de consumidores mucho más sensibles.

Utilizando documentos falsificados y más de unas pocas mentiras, Ngo pudo convencer a Court Ventures de que era un investigador privado con sede en Estados Unidos.

“Al principio (cuando) me inscribí, me pidieron algunos documentos para verificar”, dijo Ngo. "Así que utilicé algunas habilidades sobre ingeniería social y pasé por el control de seguridad".

Luego, en marzo de 2012, sucedió algo aún más notable: Court Ventures fue comprada por Experian, uno de los tres grandes burós de crédito al consumo de Estados Unidos. Y durante nueve meses después de la adquisición, Ngo pudo mantener su acceso.

"Después de eso, la base de datos estuvo bajo el control de Experian", dijo. "Le estaba pagando a Experian un buen dinero, miles de dólares al mes".

No está claro si alguien en Experian alguna vez realizó la debida diligencia en las cuentas protegidas por Court Ventures. Pero no habría sido necesario un cirujano espacial para darse cuenta de que este cliente en particular estaba tramando algo sospechoso.

Por un lado, Ngo pagó las facturas mensuales de las solicitudes de datos de sus clientes mediante transferencias bancarias de una multitud de bancos en todo el mundo, pero principalmente de nuevas cuentas en instituciones financieras en China, Malasia y Singapur.

O'Neill dijo que el sitio web de robo de identidad de Ngo generaba decenas de miles de consultas cada mes. Por ejemplo, la primera factura que Court Ventures envió a Ngo en diciembre de 2010 fue de 60.000 consultas. Para cuando Experian adquirió la empresa, el servicio de Ngo había atraído a más de 1.400 clientes habituales y tenía un promedio de 160.000 consultas mensuales.

Más importante aún, los márgenes de beneficio de las ONG eran enormes.

“Su servicio fue todo un escándalo”, dijo. "Court Ventures le cobraba 14 centavos por búsqueda, pero cobraba a sus clientes alrededor de $ 1 por cada consulta".

En ese momento, O'Neill y sus compañeros agentes del Servicio Secreto habían entregado docenas de citaciones relacionadas con el servicio de robo de identidad de Ngo, incluida una que les concedía acceso a la cuenta de correo electrónico que usaba para comunicarse con los clientes y administrar su sitio. Los agentes descubrieron varios correos electrónicos de Ngo que indicaban a un cómplice que pagara a Experian mediante transferencias bancarias de diferentes bancos asiáticos.

TLO

Trabajando con el Servicio Secreto, Experian rápidamente se centró en las cuentas de Ngo y las cerró. Consciente de una oportunidad aquí, el Servicio Secreto se puso en contacto con Ngo a través de un intermediario en el Reino Unido: un ciberdelincuente conocido y condenado que aceptó seguir el juego. El colaborador con sede en el Reino Unido le dijo a Ngo que personalmente había cerrado el acceso de Ngo a Experian porque había estado allí primero y Ngo estaba interfiriendo con su negocio.

"El tipo del Reino Unido le dijo a Ngo: 'Oye, estás pisando mi terreno y decidí dejarte fuera. Pero mientras pague un pago a través de mí, su acceso no desaparecerá ", recordó O'Neill.

El ciberdelincuente del Reino Unido, actuando a instancias del Servicio Secreto y las autoridades del Reino Unido, le dijo a Ngo que si quería mantener su acceso, podía acceder a reunirse en persona. Pero Ngo no aceptó la oferta de inmediato.

En cambio, se abrió camino hacia otro enorme almacén de datos. De la misma manera que había obtenido acceso a Court Ventures, Ngo obtuvo una cuenta en una empresa llamada TLO, otro corredor de datos que vende acceso a información extremadamente detallada y sensible sobre la mayoría de los estadounidenses.

El servicio de TLO es accesible para las agencias de aplicación de la ley y para un número limitado de profesionales examinados que puedan demostrar que tienen una razón legal para acceder a dicha información. En 2014, TLO fue adquirida por Trans Unión, una de las otras tres grandes oficinas de informes de crédito al consumidor de EE. UU.

Y por un corto tiempo, Ngo usó su acceso a TLO para impulsar una nueva iteración de su negocio: un servicio de robo de identidad rebautizado como usbuscando (.) información. Este sitio también extrajo datos de consumidores de una compañía de préstamos de día de pago que Ngo hackeó, como se documenta en mi historia de septiembre de 2012, Servicio de robo de identidad vinculado a sitios de préstamos de día de pago. Ngo dijo que el sitio pirateado de préstamos de día de pago le dio acceso instantáneo a aproximadamente 1,000 nuevos registros fullz cada día.

El antiguo servicio de robo de identidad de Ngo utilizaba información de búsqueda (.).

Cegados por la codicia

En ese momento, Ngo era multimillonario: sus diversos sitios y acuerdos de reventa con tres tiendas de ciberdelincuentes en ruso en línea le habían ganado más de USD $ 3 millones. Les dijo a sus padres que su dinero provenía de ayudar a las empresas a desarrollar sitios web, e incluso usó algunas de sus ganancias mal habidas para pagar las deudas de la familia (su negocio de electrónica había fracasado y un miembro de la familia había pedido prestado pero nunca devolvió una cantidad significativa de dinero). suma de dinero).

Pero sobre todo, dijo Ngo, gastó su dinero en cosas frívolas, aunque dice que nunca ha tocado las drogas ni el alcohol.

“Lo gasté en vacaciones, autos y muchas otras cosas estúpidas”, dijo.

Cuando TLO bloqueó a Ngo de su cuenta allí, el Servicio Secreto lo utilizó como otra oportunidad para que su portavoz del ciberdelincuente en el Reino Unido volviera los tornillos a Ngo una vez más.

"Le dijo a Ngo que lo había dejado afuera de nuevo, y que podía hacer esto todo el día", dijo O'Neill. "Y si realmente quisiera tener acceso duradero a todos estos lugares a los que solía tener acceso, estaría de acuerdo en reunirse y formar una asociación más segura".

Después de varios meses de conversar con su aparente torturador en el Reino Unido, Ngo acordó reunirse con él en Guam para finalizar el trato. Ngo dice que entendió en ese momento que Guam es un territorio no incorporado de los Estados Unidos, pero que descartó las posibilidades de que todo esto fuera algún tipo de operación encubierta elaborada por las fuerzas del orden.

"Estaba tan desesperado por tener una base de datos estable, que me cegó la codicia y comencé a actuar como un loco sin pensar", dijo Ngo. "Mucha gente me dijo '¡No te vayas!', Pero yo les dije que tenía que intentar ver qué estaba pasando".

Pero inmediatamente después de bajar del avión en Guam, fue detenido por agentes del Servicio Secreto.

"Uno de los nombres de sus servicios de robo de identidad era encontrarme (.)", Dijo O'Neill. "Nos lo tomamos en serio e hicimos lo que nos pidió".

Esta es la Parte I de una serie de varias partes. Vuelva mañana (27 de agosto) para ver la Parte II, que examinará lo que los investigadores descubrieron después del arresto de Ngo y profundizará en su esfuerzo más reciente para corregir los errores que ha cometido.


Etiquetas: Court Ventures, Experian, Findget, Centro de operaciones de investigación global, Hieu Minh Ngo, hieupc, Matt O'Neill, MicroBilt, Superget, TLO, Trans Union, Búsqueda de información de EE. UU., Servicio secreto de EE. UU.

Esta entrada se publicó el miércoles 26 de agosto de 2020 a las 2:39 pm y está archivada en A Little Sunshine, Ne'er-Do-Well News.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2.0.

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original