Un día en la vida de un defraudador de SIM swap

por Parth Awasthi | junio 22, 2021
A person in front of three computer monitors

Te tomas en serio la ciberseguridad. Utilizas contraseñas fuertes y únicas que no se pueden adivinar. Tus cuentas confidenciales están respaldadas con autenticación de dos factores (2FA). Tus dispositivos están contigo en todo momento.

Pero un día, sin previo aviso, te despiertas y descubres que tu teléfono móvil no funciona. Pronto descubres que han cambiado la contraseña de tu correo electrónico y te han bloqueado. Y para tu horror, han vaciado tus monederos bancarios o de criptomonedas... sin forma de averiguar quién es el responsable.

Como miles de personas, usted acaba de ser víctima de un fraude de intercambio de SIM, una forma de ataque de toma de control de cuentas (ATO) en rápido aumento que puede eludir el 2FA tradicional. El fraude por SIM swap va en aumento y cualquiera puede ser un objetivo, pero la mejor forma de estar preparado es entender cómo funciona.

En este artículo nos adentraremos en los entresijos de este tipo de fraude y veremos cómo se cometen, cómo operan y cómo se salen con la suya, antes de explicar una nueva solución que puede ayudar a las empresas a protegerse a sí mismas y a sus clientes.

Fraude en el intercambio de SIM: aprender el "oficio


Cuando uno piensa en el típico ciberdelincuente, puede imaginarse a un hacker solitario con capucha. En realidad, las personas que cometen fraudes de usurpación de cuentas lo hacen sobre todo en comunidades virtuales, como aplicaciones de chat privadas. Allí socializan, aprenden y comparten técnicas, y a veces coordinan esfuerzos para un ataque.

Algunos son principiantes interesados en la programación que ni siquiera son conscientes de la plena ilegalidad de lo que hacen: alentados por la percepción de que se trata de una actividad esencialmente "sin víctimas", pueden pensar que simplemente se aprovechan de una laguna legal. Otros son delincuentes experimentados que son plenamente conscientes de ello, pero confían en que no se les puede seguir el rastro.

Ex hacker de sombrero negro Sala Alexander Ya tenía una carrera delictiva falsificando y vendiendo drogas, pero vio en el fraude por Internet una opción más segura tras una condena. Como defraudador, estaba al mando y veía todos sus beneficios. Hall "se comprometió a no ser ostentoso con el dinero y a centrarse en aplicaciones repetibles de bajo riesgo", hasta que pasó página y ahora trabaja en la prevención del fraude.

Otros lo utilizan para financiarse estilos de vida más ostentosos: a los 21 años, el estafador del cambio de SIM Nick Truglia Al parecer, exhibió montones de dinero suelto, lució un Rolex de $100.000, se jactó abiertamente en Twitter de su actividad delictiva y pensó en comprarse un jet privado... antes de que lo pillaran.

Uno de los estafadores más notorios del canje de SIM tenía sólo 15 años cuando llevó a cabo un atraco de $24 millones de criptodivisas, ganando Ellis Plinsky el apodo de "Baby Al Capone".

Según un informante, Plinsky era un adolescente normal con interés por los juegos, que aprendió sobre piratería informática en chats en línea donde los usuarios se jactaban de robar nombres de usuario deseables.

Pero una vez que un iniciado en el pirateo ha aprendido a entrar en el teléfono de una víctima por su nombre de usuario, el iniciado sugiere...tomar su Bitcoin parece obvio. Además, robar criptomonedas es impersonal. Para unos niños que se pasan la vida mirando pantallas y jugando, es algo natural".

El fraude a distancia no sólo es más difícil de rastrear hasta el autor, sino que el hecho de no tener que interactuar nunca con la víctima facilita que el atacante se mantenga distante y considere el fraude como un pirateo para ganar dinero en lugar de un robo grave.

Cuando aún era un estudiante de secundaria que trabajaba desde su habitación, Plinsky ya ganaba millones; sus padres y amigos creían que había tenido suerte invirtiendo en criptomoneda.

Perfil de la víctima


A diferencia de otros ciberataques que se dirigen indiscriminadamente a masas de personas, los intercambios de SIM se orquestan cuidadosamente y se planifican con antelación. Las víctimas con ahorros o inversiones conocidas, especialmente en criptomonedas, suelen ser el objetivo, pero también lo son una gran variedad de otras personas.

Un estafador pasa la mayor parte del día delante del ordenador, dice Hall. Comienza con la "creación de perfiles", es decir, la recopilación de información exhaustiva sobre el objetivo a través de sus redes sociales. Esto incluye información de identificación personal que puede no ser pública, como el número de teléfono y la dirección de correo electrónico de la víctima.

Estos datos suelen obtenerse de los éxitos anteriores de otros delincuentes en bases de datos compradas en la web oscura, o de estafas de ingeniería social y phishing, es decir, correos electrónicos y sitios web falsos y convincentes que engañan a los usuarios para que compartan información. Desde la llegada de las redes sociales, muchas personas han hecho públicos muchos datos privados, incluidos los de identificación personal, sin darse cuenta de las consecuencias.

Entre las tácticas más comunes se incluyen el envío de un mensaje en el que se afirma que la víctima ha perdido una entrega de paquetes y necesita reprogramarla, el planteamiento de un problema con su formulario de impuestos o su licencia de televisión, o la notificación de que se le ha cobrado un pedido que nunca realizó. Todas ellas están diseñadas para engañar al usuario para que revele más información personal sin pensárselo dos veces, dando así al atacante acceso a información que le permitirá suplantar la identidad de la víctima de forma convincente.

Realización del canje


Para llevar a cabo el intercambio de tarjetas SIM, el estafador tiene que convencer a un empleado del operador de red móvil (ORM) de la víctima para que transfiera su número de teléfono a una nueva tarjeta SIM. En algunos casos, el estafador simplemente soborna a un empleado del MNO prometiéndole una parte de los beneficios.

De lo contrario, el estafador se hará pasar por la víctima y le dirá que ha perdido o le han robado el teléfono y que necesita urgentemente uno nuevo. A veces, esto significa pedir que se envíe una nueva tarjeta SIM a su dirección, alegando que se han mudado, pero muchas redes no lo autorizan y los estafadores quieren completar su estafa lo más rápido posible, antes de que la víctima tenga la oportunidad de darse cuenta de que algo va mal.

Lo más habitual es que el estafador entre en una tienda o se ponga en contacto a distancia con el operador de telefonía móvil con una tarjeta SIM ya comprada. A continuación, utilizan la información que han recopilado para saltarse los controles de seguridad: muchas personas utilizan fechas memorables como el nacimiento de sus hijos como código PIN, por ejemplo. Incluso cuando esta información está incompleta, algunos empleados de las tiendas pueden ser poco estrictos con los procedimientos de seguridad o dar pistas para ayudar al aparentemente frenético estafador.

Obtener beneficios


Una vez realizado el intercambio, el daño es instantáneo: el teléfono de la víctima pierde la señal y su número de teléfono pasa a conectar los mensajes SMS y las llamadas entrantes a la nueva tarjeta SIM del estafador. ¿Cómo les permite esto robar el dinero y la identidad de la víctima?

El fallo está en el propio protocolo diseñado para mantener segura la identidad del usuario. Si olvidas tu contraseña, o crees que te la han robado y necesitas cambiarla, tienes que demostrar tu identidad enviando un código a otra parte: normalmente a tu teléfono móvil.

Para llegar tan lejos, el estafador ya dispone de suficiente información de ingeniería social para conocer la dirección de correo electrónico, los nombres de usuario y las posibles respuestas de seguridad de la víctima. Ahora pueden trabajar rápidamente para activar códigos de restablecimiento de contraseña para el correo electrónico de la víctima, recuperarlos en el teléfono SIM intercambiado y cambiar las credenciales de la víctima antes de que se den cuenta de que algo va mal.

Si las cuentas de la víctima están protegidas con 2FA por SMS o llamada telefónicaNo hay problema: el estafador también las recibirá. El simple hecho de obtener acceso a la dirección de correo electrónico de la víctima desbloquea todo tipo de cuentas en línea, incluidas, sobre todo, las carteras de criptomonedas y otras aplicaciones financieras.

Dado que las criptomonedas son totalmente digitales y no están reguladas de la misma forma que los bancos, constituyen el objetivo ideal para los estafadores, ya que la transacción es muy difícil de revertir. Y al indagar en los correos electrónicos de la víctima en busca de más datos personales, el estafador puede seguir construyendo un perfil convincente y causar más daño.

¿Qué podemos hacer al respecto?


Aunque los esfuerzos contra el fraude evolucionan constantemente, también lo hacen los métodos de los delincuentes para mantenerse a la vanguardia. La mejor manera de evitar que se conviertan en un objetivo es ser diligente con su seguridad personal y con lo que comparte en Internet. aquí.

Pero si usted es una empresa que quiere proteger su marca y a sus clientes, la buena noticia es que ahora existe una forma sencilla de detectar la actividad de intercambio de SIM y evitar que los estafadores entren en su plataforma.

Si ya utiliza SMS OTP para la autenticación, puede utilizar IDlayr para verificar que la tarjeta SIM no ha cambiado antes de enviar un código al usuario. Y si aún no has añadido 2FA, puedes utilizar la comprobación de prueba de posesión más potente, que también atrapa el intercambio de SIM a través de una única API: Strong SubscriberCheck. Con ambos productos, su aplicación o sitio pasa el número de móvil verificado a IDlayr a través de nuestra API, y nuestra API le proporciona una respuesta inmediata y procesable.

Si el usuario registrado sigue teniendo la misma tarjeta SIM, la comprobación será positiva y podrás enviar el SMS OTP con normalidad. Pero si ha habido un cambio de tarjeta SIM, la comprobación fallará, y podrá seguir su flujo de seguridad escalonado. Obtenga más información sobre cómo IDlayr combate la apropiación de cuentas reservando una demostración. aquí.

Cómo empezar

Resolver el intercambio de SIM es rápido y fácil con IDlayr. Nuestros productos se integran fácilmente en cualquier arquitectura de aplicación cliente-servidor mediante API restful y SDK para iOS, Android, React Native y Mobile Web.

Los desarrolladores pueden encontrar todo lo que necesitan para empezar en nuestro sitio webque incluye guías de integración para todos nuestros productos. Simplemente inscríbete para iniciar la integración y realizar pruebas gratuitas hoy mismo.

Para una explicación más detallada de cómo la autenticación basada en SIM protege contra el fraude, descargue nuestro PDF gratuito: El fraude en el intercambio de tarjetas SIM está empeorando, pero ahora hay una solución.