Una avalancha de textos no solicitados a los teléfonos de los estadounidenses en los últimos meses alegando que deben peajes no remunerados y facturas de E-ZPass es más que una molestia. Es el resultado final de un elaborado sindicato en línea de estafadores de habla china que venden kits de delitos cibernéticos listos en Telegram para robar tarjetas de crédito e información personal, los expertos le dicen a NBC News.
La redacción exacta varía, pero los textos de estafa generalmente le dicen al destinatario que se han perdido un pago de peaje y debe una pequeña tarifa que puede crecer si no se paga, e incluye un enlace a un sitio web de pago falso.
Autoridades de los Estados Unidos, incluida Nueva York, Virginia, Maryland y Indiana he advertido de la estafa.
El centro de quejas por delitos de Internet del FBI ha recibido más de 60,000 informes de la estafa, dijo un portavoz de la agencia a NBC News.
Ninguna autoridad estadounidense ha hecho declaraciones públicas sobre de dónde proviene la estafa, y al menos algunas han dicho que están en la oscuridad sobre su origen.
“No tenemos idea de quién está detrás de esto. Simplemente sabemos que sigue llegando y sigue cambiando cada pocos días ”, dijo a NBC News Jennifer Givner, portavoz de la Autoridad Thruway del estado de Nueva York.
«Estamos manejando un par de docenas de llamadas diariamente, personas que llaman solo para asegurarse», dijo.
Pero los investigadores de ciberseguridad han encontrado una red próspera y suelta dedicada a la estafa en las redes sociales y la plataforma de mensajería con sede en Dubai Telegram. Los ciberdelincuentes se jactan en chinos sobre sus herramientas para enviar los textos de estafa y robar las tarjetas de crédito de las víctimas, e incluso ofrecen programas de licencia, llamados kits Phish, que racionalizan el proceso para que otras personas realicen las estafas. Phish Kits permitió que los estafadores operen páginas de pago de aspecto auténtico para robar la información privada de las víctimas.
“Hay mucha gente que usa los kits. No hay una sola persona ”, dijo a NBC News una investigadora de amenazas, una investigadora de amenazas que rastrea a los estafadores de la compañía de seguridad cibernética, a NBC News.
“Muchos de ellos son usuarios chinos. El idioma chino es una gran parte de esta escena ”, dijo.
El ciberdelincuente subterráneo compra, reembolsa y vende grandes conjuntos de datos de números de teléfono pirateados, lo que facilita a los aspirantes a estafadores adquirir números a granel y ejecutarlos ellos mismos.
Las empresas que mantienen los números de teléfono de los clientes enviaron más de 100 millones de avisos el año pasado a las víctimas que les dicen que su número de teléfono puede haber sido incluido en una base de datos pirateada, según el Centro de Investigación de Ratio de Identity, una organización sin fines de lucro de California.
Ford Merrill, investigador de Secalliance, una subsidiaria de la compañía de seguridad cibernética CSIS Security Group, ha rastreado la estafa en los canales de telegrama desde 2023, y dijo a NBC News que lo ha visto rápidamente en los últimos meses.
Telegram, que durante mucho tiempo se ha comercializado como un bastión no moderado de la libertad de expresión, es un centro para la actividad cibercriminal. Después de que el CEO de Telegram, Pavel Durov, fue detenido y acusado por las autoridades francesas, dijo que estaba tomando medidas para moderar mejor la plataforma. La compañía no respondió a una solicitud de comentarios para esta historia.
Los mismos kits de phishing que ahora les dicen a las víctimas que tenían peajes no remunerados que previamente les dijeron que habían extrañado los paquetes de servicio postal de los Estados Unidos, dijo. El USPS advertido en julio de esa estafa.
La estafa de la carretera de peaje parece funcionar en parte porque a menudo pide una pequeña multa, lo que hace que parezca una solicitud razonable, dijo Merrill. Ese esquema se ha intensificado porque los estafadores lo vieron funcionar y «no tienen reparos en copiar el trabajo de los demás», dijo.
“Cuando uno de ellos descubre que algo es efectivo al instante, los otros básicamente se suben y lo copian de inmediato. Entonces, por ejemplo, a principios de febrero, comenzó a ver las primeras estafas de carretera de peaje en los EE. UU. En cuestión de días, tres de los otros operadores también apoyaron las carreteras de peaje «.
La estafa se puede utilizar para robar la información personal de la víctima y sus detalles de pago, y permite que los ciberdelincuentes agregen tarjetas de crédito de las víctimas a una billetera de Apple o Google.
Los videos publicados en Telegram y vistos por NBC News muestran cómo, a medida que una víctima comienza a ingresar su información personal y de pago en la página de pago falso, el estafador puede ver esa información en tiempo real.
A medida que la persona ingresa a su número de tarjeta de crédito, su kit de phishing creará una tarjeta de crédito falsa y escaneable que el estafador puede escanear y poner en su billetera Apple o Google. Hacerlo puede pedirle a Apple o Google que envíe a la víctima un código de mensaje de texto para que verifique su identidad. Pero, si la víctima no lee el texto con cuidado, puede copiarlo y pegarlo en la página de pago falso, pensando que eso es parte de un proceso de pago legítimo.
Los kits de phishing anunciados en Telegram ofrecen una amplia variedad de peajes para imitar, tanto en los Estados Unidos como en todo el mundo.
Un canal de telegrama visto por NBC News anuncia que su kit puede imitar temas de todo Estados Unidos, incluidos el Área de la Bahía Fastrak, E-ZPass, el Peach Pass de Georgia, el Pike Pass de Oklahoma y el Geauxpass de Louisiana.
No está claro qué, si algo, puede detener a los estafadores. Un portavoz de la CTIA, un grupo comercial que representa a las principales compañías de telecomunicaciones estadounidenses como AT&T, T-Mobile y Verizon, dijo en una declaración enviada por correo electrónico que la industria «está dedicada a proteger a los consumidores de los mensajes de texto ilegales y no contenidos», pero dijeron que los malos actores están atacando a los estadounidenses con mensajes encriptados, qué teléfono no pueden leer o parar.
Apple declinó hacer comentarios. Samsung no respondió a una solicitud de comentarios.
En una declaración enviada por correo electrónico, un portavoz de Google dijo que «la seguridad es esencial para la experiencia de la billetera de Google y trabajamos en estrecha colaboración con los emisores de tarjetas para evitar fraude».
A diferencia de Rusia, donde los ciberdelincuentes que atacan a las víctimas en el extranjero están constitucionalmente a salvo de ser extraditado, China tiene tratados de extradición con algunos países, aunque no tiene uno con los EE. UU. El Departamento de Justicia. Cargar periódicamente a los piratas informáticos de violar la ley mientras trabaja para la inteligencia china, aunque hay pocas esperanzas de que sean arrestados.
El FBI no respondió a las preguntas sobre si conoce la identidad de los estafadores o tiene planes de tomar medidas contra ellos.
Un portavoz de la embajada de China en Washington, DC, dijo a NBC News en una declaración enviada por correo electrónico que el gobierno del país «se mantiene firme en la lucha contra crímenes de telecomunicaciones y fraude en línea, lucha contra actividades ilegales y criminales transfronterizas y protege los derechos legales e intereses de los ciudadanos chinos».
«Al mismo tiempo, también pedimos a los ciudadanos chinos en el extranjero que cumplan estrictamente las leyes y regulaciones locales y se abstengan de participar en actividades ilegales y criminales», dijo.
