Sitios de phishing dirigidos a estafadores y ladrones: Krebs on Safety


Me estaba preparando para terminar el trabajo de la semana un viernes por la noche reciente cuando llegó un correo electrónico curioso y molesto a través del formulario de contacto en este sitio:

«Hola, uso el nombre de usuario Nuclear27 en su sitio Briansclub (.) Com,» escribió «Mitch, «Confundiéndome con el propietario de quizás el bazar más grande del subterráneo de datos de identidad y crédito robados. «Hice un depósito en mi billetera en el sitio, pero aún no ha aparecido nada y me gustaría saber por qué».

La página de inicio de sesión authentic de BriansClub.

Varias cosas se destacaron en el mensaje de Mitch. Para empezar, ese no es el dominio actual de BriansClub. Y es fácil ver por qué Mitch se burló: el sitio real de BriansClub no se encuentra actualmente en la parte exceptional de los resultados de búsqueda cuando uno consulta el nombre de esa tienda en Google.

Además, este delincuente novato claramente había comprado la publicidad de BriansClub, que united states mi nombre y mi imagen en una serie de anuncios que se publican en todos los foros principales sobre delitos cibernéticos. En esos anuncios, un cangrejo con mi cabeza zigzaguea sobre la arena. Todo esto está destinado a ser una gran broma: Krebs significa «cangrejo» o «cáncer» en alemán, pero a veces se usa «cangrejo» en la jerga de los piratas informáticos rusos para referirse a un «carder» o una persona que participa habitualmente en la calle – Fraude de tarjetas de crédito a nivel. Como Mitch.

A fines de 2019, BriansClub cambió su página de inicio para incluir imágenes manipuladas de mis tarjetas de seguro social y pasaporte, informe de crédito e información de facturas de teléfonos móviles. Eso fue justo después de que KrebsOnSecurity diera la noticia de que alguien había pirateado BriansClub y desviado información sobre 26 millones de cuentas de crédito y débito robadas. La base de datos de BriansClub pirateada tenía un valor de calle colectivo estimado de $ 566 millones, y esa información se compartió posteriormente con miles de instituciones financieras.

Mitch dijo que acababa de hacer un depósito de $ 240 en bitcoins en BriansClub (.) Com, y se preguntaba cuándo se reflejarían los fondos en el saldo de su cuenta en la tienda.

Siguiendo el juego, dije que lamentaba escuchar sobre su awful experiencia y le pregunté a Mitch si había tarjetas robadas emitidas por un banco en individual o para una región específica que estaba buscando.

Mitch no mordió, pero tampoco se disuadió de que yo tuviera la culpa de sus caprichosos fondos. Compartió una imagen que muestra los fondos que había enviado a la dirección de bitcoin indicada por BriansClub (.) Com – 1PLALmM5rrmLTGGVRHHTnB6VnZd3FFwh1Z – utilizando un cajero automático de Bitcoin en Canadá.

El BriansClub serious utiliza un servicio de cambio de moneda virtual poco fiable con sede en San Petersburgo, Rusia llamado PinPays. El sitio internet de la empresa ha presentado durante mucho tiempo poco más que un ícono de marca y una dirección de mensajería instantánea para comunicarse con el propietario, y esa misma dirección está activa en varios de los principales foros rusos sobre delitos informáticos. El BriansClub falso le dijo a Mitch que la dirección de Bitcoin que le pidieron que pagara era una dirección de PinPays que cambiaría con cada transacción.

El mensaje de pago que muestra el dominio de phishing del sitio de tarjetas BriansClub (.) Com.

Sin embargo, al registrarme en el sitio de phishing y hacer clic para financiar mi cuenta, se me presentó exactamente la misma dirección de Bitcoin que Mitch dijo que pagó. Además, el sitio no usaba PinPays solo pretendía hacerlo para imitar aún más al BriansClub genuine.

Según Blockchain, esa dirección de Bitcoin que Mitch pagó ha recibido más de mil pagos en los últimos cinco meses por un total de más de USD $ 40,000 en Bitcoin. La mayoría son pagos relativamente pequeños como los de Mitch.

La captura de pantalla que envió Mitch de su depósito.

Los estafadores desprevenidos como Mitch son una moneda de diez centavos la docena, al igual que los sitios de phishing que suplantan los servicios criminales en línea. Poco después de que se pusiera en línea como un sitio de phishing el año pasado, BriansClub (.) Com se alojó en una empresa en Moscú con solo un puñado de otras tiendas populares de delitos informáticos de phishing, incluidas Jstashbazar (.) Com, vclub (.) Playing cards, vclubb (.) com y vclub (.) crédito.

Quien esté detrás de estos sitios está obteniendo un ingreso decente desplumando a los delincuentes despistados. Una revisión de la billetera Bitcoin enumerada como la dirección de pago para BriansClub (.) Org, por ejemplo, muestra un recorrido equivalent: 704 transacciones por un overall de $ 38,000 en Bitcoin durante los últimos 10 meses.

«Vaya, gracias por estafarme», escribió Mitch, después de que me quedé dormido por la noche sin responder a sus correos electrónicos cada vez más estridentes. «Debería haber gastado el último dinero en mis facturas que estoy tratando de pagar. Debería haber sabido que no eras más que un ladrón «.

Decidiendo que la artimaña había ido demasiado lejos, le confesé a Mitch que yo no era realmente el administrador de BriansClub, y que la persona con la que se había acercado era un periodista independiente que escribe sobre delitos informáticos. Le dije que no se sintiera mal, ya que el taller de cardado había engañado de manera equivalent a más de mil personas.

Pero Mitch no pareció aceptar mi confesión.

«Si ese es el caso, ¿por qué aparece su nombre en la ventana que se abre cuando realiza un depósito?», Preguntó Mitch, refiriéndose al sitio de phishing.

Claramente, nada de lo que dije iba a disuadir a Mitch en este momento. Preguntó en un correo electrónico de seguimiento si un enlace que incluyó en el mensaje period realmente la dirección «legítima» de BriansClub. Mi única respuesta fue que tal vez debería considerar otra línea de trabajo antes de que lo estafaran una vez más, o la Authentic Policía Montada de Canadá apareciera en su puerta.

Los estafadores que caen en sitios de tarjetas falsas pueden esperar que sus cuentas se apoderen de la tienda true, lo que generalmente significa que alguien gasta su saldo en tarjetas robadas. Pero sobre todo, estos sitios de tarjetas impostores piden a los nuevos miembros que financien sus cuentas haciendo depósitos en moneda virtual como Bitcoin.

En 2018, KrebsOnSecurity examinó una enorme purple de sitios de phishing que se hacen pasar por las principales tiendas de tarjetas que se remontan a un grupo de desarrollo net en Pakistán que aparentemente ha estado robando a los ladrones durante años.

Como señalé en ese artículo, crear una crimson de sitios de tarjetas falsas es el delito cibernético perfecto. Después de todo, nadie que sea víctima de suplantación de identidad o estafa va a denunciar el delito a las autoridades. Nadie ayudará al pobre imbécil que es acosado por uno de estos sitios de tarjetas falsas. ¡Advertencia Emptor!

Lo máximo que se puede esperar es que el phisher emprendedor ocasional sea llevado ante la justicia. Si bien puede ser difícil de creer que las autoridades persigan a los delincuentes que se roban entre sí, en 2017 un hombre de Connecticut se declaró culpable de los cargos de suplantación de identidad en varios mercados criminales de la internet oscura en un esquema que eventualmente generó más de $ 365,000 y más de 10,000 credenciales de usuario robadas.

¿Y la procedencia del dominio de phishing briansclub (.) Com? Mirando más de cerca los registros de registro de WHOIS originales para briansclub (.) Com a través de DomainTools (un anunciante en este sitio), podemos ver que se registró en noviembre de 2015, varios meses después de que el verdadero BriansClub entrara en línea. Se registró en un «Brian multimillonario, ”También conocido como Brian O&#39Connor, un DJ musical aparentemente consumado, rapero y productor de música rap en Florida.

Brian multimillonario.

Durante varios años después de que se puso en línea, BriansClub (.) Com y otros dominios aparentemente registrados para Mr. Billionaire redirigidos a su sitio principal: newhotmusic.com, que es anterior a la tienda de tarjetas BriansClub y también tiene una sección del sitio solo para miembros llamada Brian&#39s Club.

El señor multimillonario no respondió a múltiples solicitudes de comentarios, pero parece que su único delito es ser un DJ algo vergonzoso. El registro de DomainTools para briansclub (.) Com dice que el dominio fue abandonado o inactivo durante un período en 2019, solo para ser recuperado nuevamente por alguien en mayo de 2020 cuando se convirtió en un sitio de phishing que falsificaba el BriansClub genuine.



Enlace a la noticia first