.
Um trio de homens se declarou culpado de administrar uma rede de desvio de autenticação multifator (MFA) no Reino Unido, que as autoridades estimam ter arrecadado milhões em menos de dois anos.
Callum Picari, Vijayasidhurshan Vijayanathan e Aza Siddeeque admitiram a responsabilidade por comandar a OTP.agency, uma operação clandestina que fornecia aos cibercriminosos acesso a ferramentas para ajudá-los a fazer engenharia social em alvos, contornar o MFA e, por fim, roubar dinheiro das contas bancárias das vítimas, de acordo com a Agência Nacional de Crimes do Reino Unido (NCA).
Por apenas £ 30 ($ 39) por semana, a equipe acessou ferramentas de bypass MFA para bancos como HSBC, Monzo e Lloyds, enquanto um plano de nível elite por £ 380 ($ 498) por semana também “concedia acesso a sites de verificação Visa e Mastercard”, observou a NCA. Estima-se que mais de 12.500 vítimas foram alvos usando as ferramentas da OTP.agency.
Não está claro quanto o trio pode ter arrebatado entre setembro de 2019 e março de 2021, quando foram presos e o site foi tirado do ar, mas a NCA estima que pode chegar a £ 7,9 milhões (US$ 10,3 milhões).
A OTP.agency começou a anunciar seus serviços no final de 2019 em um grupo do Telegram, onde o trio se descreveu como o “primeiro e último serviço profissional para seu OTP [one-time password] necessidades de roubo”, disse a NCA. “Prometemos que você estará lucrando em minutos após adquirir nosso serviço.”
O grupo também alegou que poderia obter uma senha de uso único “para qualquer site”, incluindo o Apple Pay e “mais de 30 sites”. Detalhes da tecnologia que sustenta a operação do grupo não foram compartilhados, e ainda não está claro se o trio havia fabricado seu próprio malware ou simplesmente criado outros produtos como serviço para criar seu próprio produto derivado.
De acordo com a polícia do Reino Unido, o grupo do Telegram tinha mais de 2.200 membros quando foi fechado, logo após o jornalista de segurança cibernética Brian Krebs relatar a existência do grupo em fevereiro de 2021, um mês antes do trio ser preso. No entanto, esse relatório não levou às prisões. A NCA estava investigando a OTP.agency desde junho de 2020.
Picari, Vijayanathan e Siddeeque se declararam culpados de acusações de conspiração para fabricar e fornecer artigos para uso em fraude. Picari, sinalizado como o líder, desenvolvedor e principal beneficiário da operação, também foi acusado de lavagem de dinheiro. Cada um pode pegar até 10 anos de prisão pela acusação de conspiração, enquanto Picari também enfrenta uma sentença máxima de 14 anos por lavagem de dinheiro.
Não está claro se todas as vítimas do trio estavam localizadas no Reino Unido ou se algumas também estavam no exterior; entramos em contato com perguntas.
“Picari, Vijayanathan e Siddeeque abriram a porta para fraudadores acessarem contas bancárias e roubarem dinheiro de membros desavisados do público”, disse a gerente de operações da unidade nacional de crimes cibernéticos da NCA, Anna Smith. “Suas condenações são um aviso para qualquer outra pessoa que ofereça serviços semelhantes; a NCA tem a capacidade de interromper e desmantelar sites que representam uma ameaça aos meios de subsistência das pessoas.” ®
.
