Polizia Nazionalaren ikerketa aitzindari bat Espainiatik zibergaizkile sare baten aurka

Adingabe bat atxilotu dute, bere crime as a service propioa sortu eta online bankako bezeroei 350.000 euro baino gehiagoko iruzurra egin ziena

Biktimen datuak ingeniaritza sozialeko tekniken bidez lortzen zituzten –phishing, smishing eta vishing–, eta banku-erakundeetako langiletzat joaz deitzen zieten, ustezko segurtasun-arrakala bat konpontzeko;#Adingabeak, iruzurrak egiteko berariazko tresna informatikoak sortzeaz gain –banku-erakundeen webgune faltsuak edo konprometitutako estekak, sms edo mezu elektroniko bidez biktimei bidaltzeko–, beste erakunde kriminal batzuei saltzen zizkien ustezko segurtasun-arrakala konpontzeko; #Banka#(a)ren zerrendetan sartu ziren, NAN baten bidez, NAN(a) eta NAN(a)ren bidez, NAN(a), NAN), NAN(NAN), NAN), ETA(NAN(NAN), NAN), BANKA), BANKA(BANKA(BANKA(BAN

26/02/23

Polizia Nazionaleko agenteek ingeniaritza sozialeko phishing, smishing eta vishing tekniken bidez iruzur informatikoak egiten zituen erakunde kriminal bat desegin dute, Espainia osoan lan egiten zuena, hain zuzen ere. Sareko kideek 200 pertsonari egin zieten iruzur bi hilabetetan, eta iruzurraren balioa 350.000 eurokoa da. Sarearen buru adingabe bat zegoen, eta, iruzurrak egiteko tresna informatiko propioak sortzeaz gain —banku-erakundeen web faltsuak edo biktimei sms edo email bidez bidaltzeko konprometitutako estekak—, beste erakunde kriminal batzuei saltzen zizkien, haiek ustia zitzaten; crime as a service izeneko fenomenoa zen.

18 banku-erakunderen irudia ordeztu zuten, eta 100.000 banku-bezero baino gehiagoren datu pribatuak —izen-abizenak, NAN-zenbakia, banku pribatura sartzeko gakoak— jaso ziren zerrendetan, erakundeen arabera multzokatuta eta erabiltzeko prest. Biktimei deitzen zieten, bankuetako langile plantak eginez, ustezko segurtasun arrakala bat konpontzeko, eta atxilotuei haien aldeko iruzurrezko transakzioak egitea ahalbidetzen zien kode bat eskatzen zieten.

Taldeko liderra ez ezik (erregimen itxiko zentro batean sartu dute), 24 pertsona atxilotu dituzte Cadizen, Malagan eta Bartzelonan, eta horietatik zortzi espetxean sartu dituzte. Sei miaketa egin dituzte, eta bi su-arma simulatu atzeman dituzte: 10.000 euro, 100.000 pertsonaren datu pertsonalak jasotzen dituzten zerrendak, azken belaunaldiko hogeita hamar bat terminal mugikor eta 500 gramo marihuana-kukulu, eskala txikiko droga-trafikora bideratutakoak.

Iruzurrezko lotura batek eta dei batek eman zioten hasiera iruzurrari

Ziberdelinkuentzia Unitate Zentralak San Fernandoko (Cadiz) Komisariako ikertzaileekin batera egindako ziberinteligentzia jardueren ondorioz abiatu zen ikerketa, Espainia osoan jazotako hainbat gertakaritan patroi komun bat atzeman ostean. Analisi horren, zainketen, jarraipenen eta ikerketako hainbat neurri teknologikoren emaitza gisa, gertaera horien erantzule den erakunde kriminal bat zegoela egiaztatu ahal izan zen.

Erakunde horren modus operandi-a banku-iruzurrak egitea zen, testu-mezuen bidalketa masiboaren bidez –smishing deritzona–, zeinetan biktimei adierazten baitzaie beren online bankan legez kontrako esku-sartzea detektatu dutela. SMS horretan, iruzurrezko webgune baterako esteka agertzen zen; iruzurrezko webgune hori banku-erakundearen antzekoa da, eta erakundeak sortu eta kontrolatzen du, biktimaren banku-datuak eskuratzeko. Hor hasten zen iruzurraren dinamika; izan ere, biktimek beren online bankan sartzeko kredentzialak orrialde faltsuan sartu ondoren, datu horiek automatikoki ziberkriminalen esku geratzen ziren.

Biktimak ematen ari ziren pausoak denbora errealean ikusteko software bat diseinatua zuten iruzurgileek, eta, beren kontuko ustezko arrisku egoera berrezarri eta berriz ere segurtasunez operatzeko asmoz, telefonoz deitzen zieten, beren bankuko langileen plantak eginez, eta beren burua eskaintzen zuten segurtasun arrakala hori konpontzen laguntzeko. Horretarako, terminalean egiaztatze-kode batzuk jasoko zituztela esaten zieten, eta kode horiek telefonoz eman behar zizkietela solaskideei. Egia esan, kode horiek aukera ematen zuten gaizkileak kaltedunaren online bankan egiten ari ziren iruzurrezko transakzioak denbora errealean gauzatzeko, haien biktimen aktiboen aurkako baimendu gabeko xedapena sortuz.

Dirua erakundeak kontrolatutako banku-kontuetan sartzen zutenean, jarduteko modu ezberdinak gauzatzen zituzten. Horietako bat zen eskudirua zuzenean ateratzea kutxazain automatikoetan, edo berehalako kreditu pertsonalak kontratatzen zituzten, beren kontrolpean zituzten beste kontu batzuetara transferentzia berriak agintzen zituzten, edo kriptobalioak eskuratzen zituzten horretarako kutxazain automatikoetan, ondoren hainbat diru-zorro hotzen artean mugituz.

Maula ibilgailu motordunen iragarleei

Ziberkriminalek bankuko kontuak iruzurrez irekitzeko eta iruzur egindako dirua bertan jasotzeko erabiltzen zituzten datuak partikularren arteko salerosketa orrien bidez lortzen zituzten. Gaizkileak ibilgailu motordunen iragarleekin harremanetan jartzen ziren, eta, erosketaren erreserba gisa eta borondate onaren froga gisa, ibilgailua lehenbailehen eskuratzeko interesa agertzen zuten. Aitzakia horrekin, eta ustezko gestoria baten bidez erosketa/salmenta kontratua formalizatzeko, nortasun agiriaren kopia edo argazkia eskatzen zieten biktimei bi aldeetatik.

Behin kontuak irekitzeko behar ziren filiazio datuekin, berriz ere pertsona horiek biktimizatzen zituzten, azaltzen baitzieten Bizum bidez diru bidalketa bat egingo zietela ibilgailua erosteko seinale gisa. Hala ere, ordainketa bat bidali beharrean diru eskaera bat egiten zioten saltzaileari. Biktimek ez zuten behar bezala egiaztatzen aplikaziotik jasotako mezua, eta ziberkriminalen aldeko diru bidalketa eginez onartzen zuten eskaera.

#BatDeOntziBostDelituak: ziberdelinkuentziaren aurkako Barne Ministerioaren kanpaina

Espainiako Barne Ministerioak kanpaina bat jarri du martxan, ziberkriminalitateak Espainian izan duen gorakadari aurre egiteko. Gaur egun, Espainiako bost delitutik bat sarean egiten da.

2022an, guztira, 375.506 ziberdelitu izan ziren, 2019an baino % 72 gehiago, eta igoera hori % 352koa da, 2015eko datuekin alderatuta.

Kanpaina horren helburua da herritarrak kontzientziatzea eta sentsibilizatzea ziberdelitu mota ohikoenen inguruan, eta, horretarako, autobabeserako beharraz ohartaraztea, salatzeko joera sortzea eta herritarrek Estatuko Segurtasun Indar eta Kidegoetan duten konfiantza handitzea, ziberkriminalitatearen aurka borrokatzeko lehen tresna publiko gisa. Horretarako, web orri hau sortu da https://unodecadacincodelitos.com/ .


Iruzur horien biktima ez izateko aholkuak

- Ez fidatu zenbaki ezezagunen deiez, eta ez eman inoiz datu pertsonalik edo bankuko daturik telefonoz edo SMS bidez. Zure banketxeak ez dizu inoiz informazio pertsonalik eskatuko bide horien bitartez.

- Dei bat iruzurrezkoa izan daitekeela uste baduzu, eseki zuzenean telefonoa eta deitu zuzenean zure banku-erakundera, zenbaki ofizialera edo zurekin harremanetan jarri ohi zaren zenbakira.

- Ez eman inoiz pasahitzik telefonoz. Erakunde edo enpresa batetik deitzen dizutela esaten badizute, idatzi gertatutakoa, eta jarri zuzenean haiekin harremanetan zenbaki ofizial baten bidez.

- Ordainketa bat egiteko edo datuak eguneratzeko link bat sakatzeko eskatzen dizuten mezu elektronikoak edo SMSak jasotzen badituzu, ez egin kasurik mezuari, blokeatu hartzailea eta jarri jaso nahi ez duzun postaren ontzian.

- Izan zaitez kontu handiz Bizum jasotzeko orduan, dirua bidaltzeko eskaera onartzen egon zintezke jaso beharrean.

- Polizia Nazionalaren sare sozialetako gure profil ofizialetatik (@polizia Twitterren eta TikToken, @polizianazionala Instagramen eta Facebooken) segurtasun-aholkuak eman ohi ditugu horrelako iruzurren biktimak online ez izateko, eta iruzurrik berrienen eta ohikoenen berri ematen dugu.

 

Azken prentsa-oharrak