Tres hombres se han declarado culpables de gestionar un sitio web que ayudaba a los ciberdelincuentes a secuestrar las cuentas bancarias de las víctimas, a pesar de que estaban protegidas con autenticación multifactor (MFA). OTP Agency estaba dirigida por: Callum Picari, de 22 años, de Hornchurch, Essex; Vijayasidhurshan Vijayanathan, de 21 años, de Aylesbury, Buckinghamshire; y Aza Siddeeque, de 19 años, de Milton Keynes, Buckinghamshire. A los delincuentes que se inscribían en el sitio se les cobraba una tarifa de suscripción mensual: 30 libras por un paquete «básico» que permitía eludir la MFA en sitios bancarios como HSBC, Monzo y Lloyds, y un plan «elite» que costaba 380 libras para acceder a los sitios de verificación de Visa y Mastercard. Según un vídeo de la Agencia Nacional contra el Crimen (NCA), OTP Agency realizaba llamadas automáticas a las víctimas haciéndose pasar por un empleado bancario, pidiéndoles que revelaran su contraseña de un solo uso (OTP). El identificador de llamada aparentemente estaba disfrazado para añadir legitimidad a la llamada. Más información sobre la evasión de la MFA: Los kits de evasión de la MFA representan un millón de mensajes mensuales Más de 12.500 personas fueron el objetivo La NCA comenzó a investigar el sitio web en junio de 2020 y cree que más de 12.500 miembros del público fueron el objetivo entre septiembre de 2019 y marzo de 2021, cuando fue cerrado. La agencia afirmó que el trío ganó al menos £ 30,000 de sus esfuerzos, si los suscriptores criminales compraron el paquete básico, que se elevaron a unos posibles £ 7,9 millones si hubieran optado por el plan élite. Siddeeque promocionó el sitio web y proporcionó soporte técnico, mientras que Picari fue su principal propietario y desarrollador, y lo promocionó en un grupo de Telegram que tenía alrededor de 2200 miembros, afirmó la NCA. Los tres fueron acusados ​​​​de conspiración para hacer y suministrar artículos para su uso en fraude, y Picari también fue acusado de lavado de dinero. Serán sentenciados en el Tribunal de la Corona de Snaresbrook el 2 de noviembre de 2024. Anna Smith, directora de operaciones de la Unidad Nacional de Delitos Cibernéticos de la NCA, instó a los clientes de la banca en línea a permanecer alerta. «Los delincuentes pueden hacerse pasar por una persona o empresa de confianza cuando te llaman, te envían un correo electrónico o te envían un mensaje», añadió. «Si algo parece sospechoso o inesperado, como solicitudes de información personal, ponte en contacto directamente con la organización para comprobarlo utilizando los datos publicados en su sitio web oficial». Los kits de phishing son ahora aún más sofisticados, lo que permite a los ciberdelincuentes eludir la autenticación multifactor incluso en aplicaciones de autenticación, según los investigadores.