Smith doorzocht Reddit en andere online bronnen om mensen te vinden die de zwendel en de gebruikte URL’s rapporteerden, die hij later publiceerde. Sommige sites die Smishing Triad-tools gebruikten, verzamelden dagelijks de persoonlijke gegevens van duizenden mensen, zegt Smith. De websites vroegen onder meer naar de namen, adressen, betaalkaartnummers en beveiligingscodes, telefoonnummers, geboortedata en websites van banken. Dankzij dit informatieniveau kan een fraudeur online aankopen doen met creditcards. Smith zegt dat zijn vrouw haar kaart snel heeft opgezegd, maar hij merkte dat oplichters deze nog steeds probeerden te gebruiken, bijvoorbeeld bij Uber. De onderzoeker zegt dat hij gegevens van de website zou verzamelen en er uren later naar zou terugkeren, om vervolgens honderden nieuwe records te vinden.
De onderzoeker verstrekte de gegevens aan de bank, die contact met hem opnam nadat hij zijn eerste blogposts had gezien. Smith weigerde de naam van de bank te noemen. Hij rapporteerde de incidenten ook aan de FBI en verstrekte later informatie aan de United States Postal Inspection Service (USPIS).
Michael Martel, nationale openbare informatiefunctionaris voor USPIS, zegt dat de informatie die Smith gebruikte deel uitmaakt van een lopend USPIS-onderzoek en dat het bureau geen commentaar kan geven op specifieke details. “USPIS is al actief op zoek naar dit soort informatie om het Amerikaanse volk te beschermen, slachtoffers te identificeren en recht te doen aan de kwaadwillende actoren die achter dit alles zitten”, zegt Martel, wijzend op tips voor het opsporen en rapporteren van oplichting bij USPS-pakketbezorging.
In eerste instantie, zegt Smith, was hij huiverig om zijn onderzoek openbaar te maken, omdat dit soort ‘reverse hacking’ in een ‘grijs gebied’ valt: het kan een overtreding zijn van de Computer Fraud and Abuse Act, de brede Amerikaanse computercriminaliteit. wet, maar hij doet het tegen buitenlandse criminelen. Iets wat hij zeker niet de eerste en ook niet de laatste is die dit doet.
Meerdere tanden
De Smishing Triad is productief. Naast het gebruik van de postdienst als lokaas voor hun oplichting, heeft de Chineessprekende groep zich ook gericht op internetbankieren, e-commerce en betalingssystemen in de VS, Europa, India, Pakistan en de Verenigde Arabische Emiraten, aldus Shawn Loveland, hoofd van het bedrijf. veiligheidsfunctionaris, die de groep consequent volgde.
De Smishing-triade verzendt volgens onderzoek van Resecurity tussen de 50.000 en 100.000 berichten per dag. De oplichtingsberichten worden verzonden via sms of Apple’s iMessage, waarvan de laatste gecodeerd is. Loveland zegt dat de Triad uit twee verschillende groepen bestaat: een klein team onder leiding van een enkele Chinese hacker die de manipulatiekit maakt, verkoopt en onderhoudt, en een andere groep mensen die de cheattool kopen. (Een achterdeur in de kit geeft de maker toegang tot de gegevens van beheerders die de kit gebruiken, zegt Smith in een blogpost.)
“Het is heel volwassen”, zegt Loveland over de operatie. De groep verkoopt een Telegram-zwendelpakket voor een maandelijks abonnement van $ 200, en dit kan worden aangepast om te laten zien van welke organisatie de oplichters zich proberen voor te doen. “De hoofdrolspeler is een Chinese man die in het Chinees communiceert”, zegt Loveland. “Het lijkt erop dat ze geen Chineestalige websites of gebruikers hacken.” (In communicatie met de belangrijkste contactpersoon bij Telegram beweerde de persoon tegen Smith dat hij een student informatica was.)
De relatief lage maandelijkse abonnementsprijs voor deze kit betekent dat, gezien de hoeveelheid creditcardgegevens die fraudeurs verzamelen, het zeer waarschijnlijk is dat degenen die er gebruik van maken een aanzienlijke winst zullen maken. Loveland zegt dat het gebruik van sms-berichten die mensen onmiddellijk op de hoogte stellen een directere en succesvollere manier van phishing is, vergeleken met het verzenden van e-mails waarin kwaadaardige links zijn opgenomen.
Als gevolg hiervan is smishing de laatste jaren in opkomst. Maar er zijn enkele waarschuwingssignalen: als u een bericht ontvangt van een nummer of e-mail die u niet herkent, als deze een link bevat waarop u moet klikken, of als deze u iets dringends wil laten doen, moet u achterdochtig zijn.