Gli agenti della Policia Nacional spagnola hanno smantellato un’organizzazione criminale dedita alla commissione di truffe informatiche con tecniche di ingegneria sociale quali phishing, smishing e vishing, che operava su tutto il territorio nazionale. I membri della rete hanno truffato 200 persone in due mesi e il valore della frode ammonta a 350.000 euro.
Un minorenne era il capo della organizzazione
La rete era guidata da un minorenne che, oltre a creare i propri strumenti informatici per realizzare le truffe – falsi siti web di istituti bancari o link compromessi da inviare via SMS o e-mail alle vittime – li vendeva ad altre organizzazioni criminali perché li sfruttassero, un fenomeno noto come crime as a service. La banda ha creato falsi siti di 18 diversi istituti bancari, impossessandosi di liste con i dati privati – nomi, cognomi, numeri di identificazione, password bancarie private – di oltre 100.000 clienti bancari raggruppati per istituti e preparati per il loro utilizzo. Chiamavano le vittime, fingendosi dipendenti di istituti bancari, per risolvere una presunta falla nella sicurezza e chiedevano loro un codice che consentiva di effettuare transazioni fraudolente a loro nome. Oltre al leader del gruppo sono state arrestate 24 persone a Cadice, Malaga e Barcellona,. Sono state effettuate sei perquisizioni durante le quali sono state sequestrate due armi da fuoco simulate, 10.000 euro, liste con i dati personali di 100.000 persone, più di trenta terminali mobili di ultima generazione e 500 grammi di germogli di marijuana destinati al piccolo traffico di droga.
Un link fraudolento e una telefonata hanno dato il via alla truffa.
L’indagine è iniziata a seguito di attività di cyberspionaggio condotte dall’Unità centrale per la criminalità informatica insieme agli investigatori della stazione di polizia di San Fernando (Cadice) dopo aver individuato uno schema comune a diversi eventi in tutta la Spagna. Grazie all’analisi, alla sorveglianza, al monitoraggio e a diverse misure tecnologiche di indagine, è stato possibile dimostrare l’esistenza di un’organizzazione criminale responsabile di questi atti.
Il modus operandi di questa organizzazione consisteva nel realizzare truffe bancarie attraverso l’invio massiccio di messaggi di testo – noti come smishing – in cui le vittime venivano informate di aver rilevato un’intrusione illegittima nel loro online banking. Il messaggio di testo includeva un link che reindirizzava a un sito web fraudolento, simile a quello della banca, creato e controllato dall’organizzazione per ottenere i dati bancari della vittima. È qui che ha avuto inizio la dinamica della truffa, poiché una volta che le vittime hanno inserito le loro credenziali di accesso all’online banking sulla pagina falsa, questi dati sono finiti automaticamente nelle mani dei criminali informatici. La polizia ha spiegato che i truffatori avevano progettato un software che consentiva loro di vedere in tempo reale i passi che le loro vittime stavano compiendo e, per ripristinare la situazione presumibilmente rischiosa del loro conto e tornare a operare in sicurezza; li hanno raggiunti telefonicamente, spacciandosi per dipendenti della loro banca e offrendosi di aiutarli a risolvere la violazione della sicurezza. Per farlo, hanno detto loro che avrebbero ricevuto dei codici di verifica sul loro terminale, che avrebbero dovuto fornire ai loro interlocutori per telefono. In realtà, questi codici consentivano di concretizzare in tempo reale le transazioni fraudolente che i criminali stavano effettuando nel sistema bancario online delle vittime, generando una disposizione non autorizzata dei beni delle vittime. Quando il denaro entrava nei conti bancari controllati dall’organizzazione, questi eseguivano diverse forme di azione. Una di queste consisteva nel prelevare direttamente il contante presso gli sportelli bancomat, oppure accendevano prestiti personali istantanei, ordinavano nuovi trasferimenti verso altri conti sotto il loro controllo o acquisivano criptovalori presso gli sportelli bancomat a questo scopo, spostandoli successivamente tra diversi cold wallet.
Truffa agli inserzionisti di autoveicoli
I dati utilizzati dai criminali informatici per aprire fraudolentemente conti bancari e ricevervi il denaro truffato sono stati ottenuti anche tramite siti web di compravendita tra privati. I criminali contattavano gli inserzionisti di autoveicoli, mostrando il loro interesse ad ottenere il veicolo con urgenza, un pagamento anticipato come prenotazione per l’acquisto e come prova di buona volontà. Con questo pretesto, e al fine di formalizzare il contratto di acquisto/vendita tramite una presunta agenzia, chiedevano alle vittime una copia o una fotografia del loro documento d’identità da entrambe le parti. Una volta ottenuti i dati necessari per l’apertura dei conti, hanno nuovamente truffato queste persone, spiegando che avrebbero inviato loro del denaro tramite Bizum come segnale per l’acquisto del veicolo. Tuttavia, invece di inviare il pagamento, hanno fatto una richiesta di denaro al venditore. Le vittime non hanno controllato bene il messaggio ricevuto dall’applicazione e hanno accettato la richiesta, inviando denaro ai criminali informatici.