Tres hombres en el Reino Unido se han declarado culpables de operar una máquina OTP[.]Agency, un servicio en línea que alguna vez fue popular y que ayudó a los atacantes a interceptar los códigos de acceso de un solo uso (OTP) que muchos sitios web requieren como segundo factor de autenticación además de las contraseñas. Lanzada en noviembre de 2019, OTP Agency era un servicio para interceptar códigos de acceso de un solo uso necesarios para iniciar sesión en varios sitios web. Los estafadores que ya habían robado las credenciales de la cuenta bancaria de alguien podían ingresar el número de teléfono y el nombre del objetivo, y el servicio iniciaría una llamada telefónica automatizada al objetivo que les advertiría sobre la actividad no autorizada en su cuenta. La llamada solicitaría al objetivo que ingresara un código de acceso de un solo uso generado por la aplicación móvil de su teléfono, y luego el código se retransmitía al panel de usuario del estafador en el sitio web de OTP Agency. Una declaración publicada el 30 de agosto por la Agencia Nacional del Crimen (NCA) del Reino Unido dijo que tres hombres se declararon culpables de dirigir OTP Agency: Callum Picari, de 22 años, de Hornchurch, Essex; Vijayasidhurshan Vijayanathan, de 21 años, de Aylesbury, Buckinghamshire; y Aza Siddeeque, de 19 años, de Milton Keynes, Buckinghamshire. KrebsOnSecurity hizo un perfil de OTP Agency en un artículo de febrero de 2021 sobre arrestos vinculados a otro servicio relacionado con phishing con sede en el Reino Unido. Alguien que decía representar a OTP Agency publicó varios comentarios en el artículo, en los que afirmaba que la historia era difamatoria y que eran un servicio legítimo contra el fraude. Sin embargo, el canal de Telegram del servicio mostró claramente que sus propietarios habían creado OTP Agency con un propósito en mente: ayudar a sus clientes a hacerse cargo de las cuentas en línea. A las pocas horas de esa publicación, OTP Agency cerró su sitio web y anunció que cerraría la tienda y purgaría su base de datos de usuarios. La NCA dijo que la historia de febrero de 2021 provocó un intercambio de mensajes de pánico entre Picari y Vijayanathan: Picari dijo: hermano, estamos en un gran problema… Me vas a atrapar… Hermano, borra el chat Vijayanathan: ¿Estás seguro? Picari: Hay tanta evidencia ahí Vijayanathan: ¿Estás 100% seguro? Picari: Es tan incriminatorio… Echa un vistazo y busca «fraude»… Solo piensa en toda la evidencia… que pudimos encontrar… en el chat OTP… lo encontrarán Vijayanathan: Exactamente, si cerramos TODO Picari: Fueron a nuestro primer mensaje… Parecemos incriminatorios… si cerramos… digo que borren el chat… Nuestro chat es Fraude 100% Vijayanathan: Todos con cerebro te dirán que lo detengas aquí y sigas adelante Picari: Solo porque lo cerremos no significa que no lo hayamos hecho… Pero eliminar nuestro chat… Joderá su investigaciones… No hay nada fraudulento en el sitio A pesar de eliminar su canal de Telegram, OTP Agency evidentemente encontró difícil alejarse de sus clientes (y/o el dinero). En lugar de cerrar como Vijayanathan aconsejó sabiamente, solo unos días después OTP Agency se comunicaba con los clientes en un nuevo canal de Telegram, ofreciendo una nueva página de inicio de sesión y asegurando a los clientes existentes que sus nombres de usuario, contraseñas y saldos seguirían siendo los mismos. OTP Agency, inmediatamente después de su cierre inicial, les dijo a los clientes que sus inicios de sesión existentes seguirían funcionando. Pero esa reactivación duraría poco. La NCA dijo que el sitio fue retirado de línea menos de un mes después cuando el trío fue arrestado. Los investigadores de la NCA dijeron que más de 12.500 personas fueron atacadas por los usuarios de OTP Agency durante los 18 meses que el servicio estuvo activo. Picari era el propietario, desarrollador y principal beneficiario del servicio, y su información personal y la propiedad de OTP Agency se revelaron en febrero de 2020 en un «dox» publicado en el ahora desaparecido foro de delitos cibernéticos en inglés Raidforums. La NCA dijo que comenzó a investigar el servicio en junio de 2020. Los operadores de OTP Agency que se declararon culpables de administrar el servicio; Aza Siddeeque, Callum Picari y Vijayasidhurshan Vijayanathan. OTP Agency puede que ya no esté, pero varios otros servicios de interceptación de OTP similares siguen en funcionamiento y aceptan nuevos clientes, incluido un servicio de larga duración que KrebsOnSecurity perfiló en septiembre de 2021 llamado SMSRanger. Más sobre SMSRanger en una próxima publicación. Los mensajes de texto, los correos electrónicos y las llamadas telefónicas que advierten a los destinatarios sobre un posible fraude son algunos de los señuelos de estafa más comunes. Si alguien (o algo) llama diciendo que es de su banco o le pide que proporcione información personal o financiera, no responda. Simplemente cuelgue, punto. Si la llamada le preocupa por la seguridad e integridad de su cuenta, verifique el estado de la misma en línea o llame a su institución financiera, idealmente utilizando un número de teléfono que haya obtenido del sitio web del banco o del reverso de su tarjeta de pago. Lectura adicional: En caso de duda, cuelgue, busque y vuelva a llamar
Deja una respuesta