Transferencia de SIM, un ataque que está marcando tendencia.



La fuerza policial de Norfolk del Reino Unido dijo que Elliot Gunton, de 19 años, de Norwich, fue sentenciado el viernes en el Tribunal de la Corona de Norwich después de declararse culpable de piratería, lavado de dinero, pirateo de una cuenta australiana de Instagram y violación de una orden de prevención de daños sexuales.

En abril de 2018, se realizó una visita de rutina a la casa de Gunton con respecto a la Orden de prevención de daños sexuales que se impuso en 2016 por delitos pasados.

Durante la inspección, la policía encontró un software que indicaba que el adolescente podría estar involucrado en un delito cibernético, y la investigación posterior de una computadora portátil perteneciente a Gunton y confiscada por la policía reveló que se había ofrecido como proveedor de servicios de piratería.

Específicamente, Gunton ofreció proporcionar información personal robada a quienes lo contrataron. Esta información, que podría incluir información de identificación personal (PII) como nombres, direcciones y detalles de cuenta en línea, podría usarse para cometer fraude y ataques de intercambio de SIM.

El robo y la venta de PII es un hecho común hoy en día. Sin embargo, los ataques de intercambio de SIM son un fenómeno relativamente nuevo.

Para realizar un intercambio de SIM, un estafador obtendrá cierta información de identificación personal de un objetivo y luego llamará a su proveedor de suscripción telefónica mientras pretende ser el verdadero propietario de la cuenta. Luego, la ingeniería social entra en la mezcla para convencer al operador de que cambie el número de teléfono que pertenece a la víctima al control del atacante.

Puede que solo sea una ventana corta en la que la víctima no se da cuenta de que su número ha sido transferido, pero este período de tiempo puede ser suficiente para que un atacante omita la autenticación de dos factores (2FA), intercepte llamadas y mensajes de texto, solicite restablecimientos de contraseña, y comprometer cuentas en línea que van desde direcciones de correo electrónico hasta billeteras de criptomonedas.

Los pagos se realizaron en criptomonedas, incluido Bitcoin (BTC) en un intento de enmascarar sus actividades. Al parecer, el negocio estaba en auge para Gunton, considerando que debía pagar más de £ 400,000 ($ 484,000 USD).

Sin embargo, la sentencia de cárcel ya se ha cumplido en prisión preventiva, por lo que Gunton no tendrá que cumplir más tiempo.

El joven de 19 años está sujeto a una orden comunitaria que le impide poseer un dispositivo capaz de conectarse a Internet a menos que esté disponible para que la policía lo vea en cualquier momento, no se deben eliminar los historiales de Internet, y también no está permitido hacer uso de ninguna VPN, encriptación o la red Tor.

"Gunton estaba explotando los datos personales de empresas y personas inocentes para obtener un beneficio considerable, pero no logró ocultar todas sus ganancias obtenidas ilegalmente que nos permitieron incautar cientos de miles de libras en Bitcoin", dijo el detective Sargento Mark Stratford. "Este tipo emergente de criminalidad requiere que los investigadores policiales estén a la vanguardia de los avances tecnológicos para combatir eficazmente el paradigma cada vez mayor del cibercrimen".

Fuente:https://www.zdnet.com/article/british-hacker-for-hire-jailed-for-role-in-sim-swapping-attacks-data-theft/