La policía ha cerrado un servicio web utilizado por más de 2.000 delincuentes en todo el mundo para lanzar y gestionar ataques de phishing.
La Policía Metropolitana trabajó con fuerzas policiales de 19 países para interrumpir la plataforma de phishing como servicio más grande del mundo, conocida como LabHost.
Los organismos encargados de hacer cumplir la ley realizaron 37 detenciones en todo el mundo después de registrar más de 70 direcciones, y en el Reino Unido se realizaron detenciones en los aeropuertos de Manchester y Luton, en Essex y en Londres. Los arrestos en el Reino Unido incluyen a cuatro personas vinculadas a la ejecución de LabHost, incluido el desarrollador original del sitio.
LabHost ofrecía phishing como servicio, que permitía a los suscriptores crear sitios web falsos diseñados para engañar a las víctimas para que revelaran información personal, incluidas direcciones de correo electrónico, datos bancarios y contraseñas.
70.000 víctimas de fraude en el Reino Unido
Los detectives han establecido que 70.000 víctimas en el Reino Unido ingresaron sus datos en uno de los sitios fraudulentos de phishing de LabHost. Hasta ahora, alrededor de 25.000 víctimas en el Reino Unido han sido informadas de que sus datos han sido comprometidos.
En todo el mundo, el servicio web se ha utilizado para obtener 480.000 números de tarjetas, 64.000 PIN y más de un millón de contraseñas, pero es probable que las cifras finales sean mayores.
Desde su creación en 2021, LabHost ha recibido pagos de poco menos de £1 millón de usuarios delincuentes. La Policía Metropolitana dijo que los detectives han identificado a muchos de los delincuentes que utilizaron el servicio y las investigaciones continúan rastreando a aquellos que aún no han sido arrestados.
Poco después de que se interrumpiera la plataforma, 800 usuarios recibieron un mensaje de advertencia de los detectives que les decía “sabemos quiénes son y qué han estado haciendo”.
Phishing como servicio
El crimen como servicio es un modelo de negocio en rápido crecimiento para proporcionar herramientas, servicios o experiencia a los ciberdelincuentes para realizar ataques.
LabHost ofrecía una gama de servicios de phishing a través de suscripciones mensuales escalonadas, que podían implementarse con unos pocos clics.
Los clientes utilizaron el servicio para dirigirse a instituciones financieras y servicios postales y de telecomunicaciones con correos electrónicos y mensajes SMS de phishing. El sitio ofrecía un menú de más de 170 sitios web falsos diseñados para parecerse a los de organizaciones legítimas.
Los delincuentes también utilizaron una herramienta de gestión proporcionada por el sitio web, conocida como LabRat, para implementar ataques de phishing y monitorearlos y controlarlos en tiempo real. LabRat fue diseñado para capturar códigos de autenticación de dos factores, lo que permite a los delincuentes eludir las protecciones de seguridad.
Europol dijo que las agencias encargadas de hacer cumplir la ley habían recopilado una “gran cantidad” de datos, que se utilizarán para respaldar las investigaciones en curso.
LabHost comenzó en Canadá
LabHost se originó en Canadá en 2021 y ofreció servicios de phishing en América del Norte antes de expandirse al Reino Unido e Irlanda, y luego al resto del mundo.
Los ciberdelincuentes podrían suscribirse al servicio por 179 dólares al mes, según una investigación de Trend Micro. El servicio básico ofrecía a los usuarios docenas de páginas dirigidas a instituciones canadienses, junto con tres páginas de phishing activas. Un nivel de membresía premium, con un precio de 249 dólares al mes, ofrecía acceso adicional a docenas de páginas web dirigidas a instituciones estadounidenses. El nivel de membresía más alto, por 300 dólares al mes, ofrecía más de 70 páginas de phishing dirigidas a organizaciones en casi 30 países.
El servicio proporcionaba páginas de phishing para varios de los principales bancos canadienses, estadounidenses e internacionales, el servicio de música en streaming Spotify, servicios postales como DHL y la oficina de correos irlandesa, compañías de seguros y servicios de peaje de carreteras. Los usuarios también pueden solicitar páginas de phishing personalizadas para imitar a las organizaciones objetivo.
LabHost ofrecía plantillas de phishing personalizables para que los clientes las usaran para solicitar nombres y direcciones, direcciones de correo electrónico, fechas de nacimiento, respuestas a preguntas de seguridad estándar, números de tarjetas, contraseñas y PIN.
El servicio de phishing también ofreció soporte técnico a través de un canal dedicado en el servicio de mensajería Telegram.
Investigación internacional
La policía comenzó a investigar LabHost en junio de 2022 después de recibir información de inteligencia de Cyber Defense Alliance, un grupo sin fines de lucro para organizaciones de servicios financieros.
La Unidad de Delitos Cibernéticos del Met pasó a colaborar con la Agencia Nacional contra el Crimen (NCA), la Policía de la Ciudad de Londres, Unidades Regionales contra el Crimen Organizado, Europol y fuerzas policiales internacionales.
En la investigación también participaron empresas de seguridad cibernética como Chainalysis, Intel 471, Microsoft, The Shadowserver Foundation y Trend Micro.
La investigación descubrió al menos 40.000 dominios de phishing vinculados a LabHost, que tenía 10.000 usuarios en todo el mundo.
En Australia, la policía arrestó a cinco personas y desmanteló más de 200 servidores utilizados para alojar sitios de phishing fraudulentos creados por LabHost, después de ejecutar 22 órdenes de registro en todo el país en una operación en la que participaron más de 200 agentes. La rama australiana de la operación, cuyo nombre en código es Operación Nebulosas, identificó a más de 100 sospechosos que utilizan LabHost en Australia.
La policía de Holanda arrestó a cinco usuarios y registró seis casas, incautando 100 automóviles SIM y cinco armas de fuego.
La operación de la Policía Metropolitana demuestra las capacidades del Reino Unido
Lynne Owens, comisionada adjunta del Servicio de Policía Metropolitana, dijo: “Los estafadores en línea creen que pueden actuar con impunidad. Creen que pueden esconderse detrás de identidades y plataformas digitales como LabHost y tienen absoluta confianza en que estos sitios son impenetrables para la policía”.
Adrian Searle, director del Centro Nacional de Delitos Económicos de la NCA, dijo: “El fraude es un delito terrible que afecta a las víctimas tanto financiera como psicológicamente, socavando nuestra confianza colectiva en los demás y en los servicios en línea de los que todos dependemos.
“Esta operación demuestra una vez más que las fuerzas del orden del Reino Unido tienen la capacidad y la intención de identificar, perturbar y comprometer por completo los servicios criminales que tienen como objetivo al Reino Unido a escala industrial”.
Un portavoz de Cyber Defense Alliance dijo: “La asociación con Cyber Defense Alliance y las fuerzas del orden continúa desarrollándose. Juntos, una vez más, hemos podido desbaratar una importante plataforma criminal internacional y hemos evitado que más personas sean víctimas de estas estafas”.