Cuidado: estafa con envíos internacionales utilizando Correos de Chile

brotli

Miembro Regular
Se incorporó
13 Julio 2023
Mensajes
30
Di finalmente con uno de los devs que desarrollan los sistemas que comandan los SMS... una decepción total debo decir, el tipo se hacía el pro diciendo que era sombrero blanco y negro, pero ni siquiera sabía que era el ofuscado de código :xd y como hacer el reverse. Para mas remate, el tipo cobra suscripción por el sistema y no tiene idea.

Pa que rechucha estudia uno wn si viene un pelagato cualquiera que sale de udemy o se mira un tutorial en internet sobre javascript y se dedica a robar tarjetas :plaf2

Bue, algo bueno salió, pillan al tipo y dan con sus clientes, ahora la pregunta sería, si la policía se mueve o no se mueve. ¿que será?.
 

brotli

Miembro Regular
Se incorporó
13 Julio 2023
Mensajes
30
No pasa nada con el cibercrimen, no puedo decir que sean mancos como el dev de los SMS, pero si están atados de manos solo a investigar denuncias de víctimas. Cuando encontré al chino de mas arriba, me dijeron que podía aportar los datos, pero que si no habían denuncias no servía de nada. Para cuando denuncien habrán movido todo otra vez.
 

rodrigo1988

Miembro Activo
Se incorporó
5 Octubre 2023
Mensajes
1
F por Dimitri.
Gracias por compartir el post. Yo estuve investigando varias webs de dropshiping en Chile el ultimo tiempo, a ver si me animo a retomar ese tema para denunciarles. Confio que algo se puede hacer desde las instituciones del estado para sancionar de alguna manera varias cosillas que huelen raro.
Saludos
 

MELERIX

Fanático
Se incorporó
30 Diciembre 2013
Mensajes
1.550
yo las voy reportando en virustotal y también se propagan así a las listas de filtros de phishing para uBlock Origin y otros compatibles, así como a las listas negras de antivirus y navegadores.
 

brotli

Miembro Regular
Se incorporó
13 Julio 2023
Mensajes
30
F por Dimitri.
Gracias por compartir el post. Yo estuve investigando varias webs de dropshiping en Chile el ultimo tiempo, a ver si me animo a retomar ese tema para denunciarles. Confio que algo se puede hacer desde las instituciones del estado para sancionar de alguna manera varias cosillas que huelen raro.
Saludos
Comenta como te fué y si puedes por interno mandame las url, con ello puede hacer el reverse del js y sacar un análisis parecido al que hice con el chino.
He estado intentando hacer un reenvió de mensajes en los grupos que usan en telegram, pero no se si la API lo impide o si dichos grupos están vacíos. Tambien tienen un ws para enviar data pero no me he dado el tiempo de intentar hackearles el server.
 
Última modificación:

brotli

Miembro Regular
Se incorporó
13 Julio 2023
Mensajes
30
sí, o al menos yo puedo hacerlo.
GpColombia 1
Id: -833959062

El admin es:
Rhast
id: 1898992597
Con el bot Rose puedes obtener un link para abrir chat con el user con el comando /info Id, te quedaría /info 1898992597

Me imagino que debe haber un GpColombia 2 y así sucesivamente. Lo que no sé y me gustaría averiguar, es pro ej, si en telegram te creas 2 grupos privados, cual es la id de cada uno, ejemplo:

- Grupo A; Id 8001
- Grupo B; Id 9002

Con ello me abriría la posibilidad para conocer que tan alejado queda el Id del grupo A con respecto al Id del grupo B, ya que puedes hacer peticiones infinitas con un bot a razón de 1 por segundo, pero no me tinca pasarme años esperando encontrar algún otro grupo con un id random.
 

MELERIX

Fanático
Se incorporó
30 Diciembre 2013
Mensajes
1.550
misión cumplida, desaparecieron, si tienes más usuarios compártelos y vere que más se puede hacer.

por cierto, quedo un tal supuesto bot gpcolombot pero ni idea de que es.
 

Caturro

Capo
Se incorporó
24 Noviembre 2007
Mensajes
159
GpColombia 1
Id: -833959062

El admin es:
Rhast
id: 1898992597
Con el bot Rose puedes obtener un link para abrir chat con el user con el comando /info Id, te quedaría /info 1898992597

Me imagino que debe haber un GpColombia 2 y así sucesivamente. Lo que no sé y me gustaría averiguar, es pro ej, si en telegram te creas 2 grupos privados, cual es la id de cada uno, ejemplo:

- Grupo A; Id 8001
- Grupo B; Id 9002

Con ello me abriría la posibilidad para conocer que tan alejado queda el Id del grupo A con respecto al Id del grupo B, ya que puedes hacer peticiones infinitas con un bot a razón de 1 por segundo, pero no me tinca pasarme años esperando encontrar algún otro grupo con un id random.
interesante el topic, podrías dar más detalles técnicos y contar la historia de cómo lograste el rastreo hasta llegar al dev
 

zhoen

Campeón del Sur
Se incorporó
10 Julio 2003
Mensajes
1.531
Solo pase a felicitar q en el foro exista gente preparada y q haga cosas "por el bien". Eso
 

brotli

Miembro Regular
Se incorporó
13 Julio 2023
Mensajes
30
misión cumplida, desaparecieron, si tienes más usuarios compártelos y vere que más se puede hacer.

por cierto, quedo un tal supuesto bot gpcolombot pero ni idea de que es.
Lógicamente, porque hice scraping de xvideos y les mandé tonleadas de fotos de travestis. A la foto ciento y algo el tipo kikeo el bot del grupo.

Al menos van a pasar harto rato eliminando la webada para extraer las cc.
 

Caturro

Capo
Se incorporó
24 Noviembre 2007
Mensajes
159
Fué una coincidencia. Alguien posteó una foto preguntando que se podía hacer con un SMS similar al de Correos Chile en uno de los cientos grupos de telegram en los que estoy inscrito. El tipo quería extraer la data colectada de las cc para robárselas a su competencia. Luego de una conversa larga y varias ayudas técnicas me soltó la info y con un poco de ingeniería social de la buena pude conocer los detalles de transfondo en el negocio de los "scams SMS". Finalmente luego de irle respondiendo varias dudas a lo largo de unos dos o tres días, me ofreció trabajar con el. Tenía que terminar uno de los scams para un banco en un país de américa del sur. De aceptar tal trabajo, hubiera podido conocer las identidades de los involucrados y meterme en el manso forro si resultaran ser parte de una mafia local.

Ya sacié mi curiosidad, pero les puedo adelantar, que entre otras cosas a lo ya comentado, dichos scams usan scripts fingerprints para identificar browsers.

Y sobre el análisis técnico, es muy simple de hacer. Si abren un scam SMS verán que los redirecciona a una página x, generalmente un banco o una tienda, si algo pasa y son baneados son redireccionados a una publicidad como aliexpress o un vídeo de youtube. En una terminal con cURL o httpie, tienen que seguir las redirecciones de la cabecera HTTP location hasta llegar a un sitio que carga varios scripts js, se darán cuenta que es el body HTTP correcto porque si lo cargan en browser se irán derecho al scam o a la publicidad, y generalmente en los scripts esta un main ofuscado y el source base de react.

El archivo main es el importante, dentro hay que buscar api.telegram.org, si se encuentran coincidencias es casi seguro de que el token del bot y el/los grupo/s que son spameados estarán dentro. Lo siguiente es buscar por una expresión regular con algún IDE como sublime text o visual studio code. En este punto se puede hacer un formateo del source js.

La anatomía de un bot api token de telegram es la siguiente:

XXXXXXXXXX:ABCDEFGHIJKLMN-ASDQWEASD-IUYYTRPOI

Donde la regex viene siendo algo así: \d*\:\w*
De igual manera se pudiera hacer a medida con: \d{9}\:\w{15}\-\w{9}\-\w{9} aunque no garantizo que siempre se cumpla el patrón (no he visto suficientes api key para garantizarlo).

En el source, cuando pilles el api token, tambien verás el chatId del grupo al que mandan la info. Si nó te tocará seguir variable por variable hasta dar con dicho string.

Lo siguiente es conocer el api https://core.telegram.org/bots/api#available-methods y saber usar un cliente HTTP, en mi caso httpie https://httpie.io/docs/cli

Llamando a getMe obtienes la info del bot, con getChat?chatId=-XXXXXXXXXXXX obtienes la info del chat al que envíen la info, para saber la info del grupo puedes usar getChatAdministrator, getChatMemberCount y getChatMember. Si quisieras reenviar mensajes a otro chat puedes usar ForwardMessage. El único problema es que para tener un chat disponible, debes tener el bot agregado a dicho chat, ya sea con tu usuario o a un grupo/canal, acto que pudiera desencadenar alguna alarma, a parte de que queda todo registrado en el método getUpdates y con ello te pudieran llegar a ubicar físicamente si tuvieras tu nombre y tu foto.

El fordwarding es un webeo, no lo pude hacer del grupo con las cc a un chat bot<->mi usuario así que supongo que se requiere un chat del tipo group.

Adicionalmente sí los tipos son inteligentes, pueden seccionar los strings como lo hace neobux.com por ej.

Para finalizar la explicación, si sigues escarbando dentro del main js, deberías pillarte el server al que la data se va, aunque es raro ver un server, puedes encontrar de todo, web services por websocket o el tradicional endpoint HTTP que va por POST. Puedes hacerles pentesting pero no te olvides de usar tu siempre confiable VPN, mejor si es de tu propio server.

Nunca he visto gallos que no sean mancos en éstas andadas, no quiero subestimar a nadie, pero para decriptar al difunto adf.ly me gasté 2 fin de semanas completos (en parte por la inexperiencia), en cambio en lo que comenté arriba me gasté unos 20 minutos cuando mucho. A parte la mecanica de ofuscación que usa react no es de las mas inteligentes que he visto. No se compara con la horrorosa parafernalia que se montó unity para poner sus compilados multiplataforma en web por ejemplo. Aún así es mejor que la de asco estado :plaf2

edit: lo que pudier agregar, es que nadie es lo suficientemente clever, siempre hay un porcentaje de manco/inteligencia. De ahí puedes deducir que eventualmente tendrán que pedir ayuda para algo en alguna parte, eso te da la pista siguiente, monitorear grupos y desarrollar tu ingeniería social.
La verdad a pesar de que tengo telegram no soy un usuario activo de esa app... cómo hacen para encontrar grupos de determinados temas? quizá le pueda dar alguna utilidad y de pasada aprender más sobre el funcionamiento de los bot que veo son utilizados en varias cosas, como por ejemplo para cobrar suscripciones por publicar ofertas en algunos grupos, otros gratis y me imagino un sin fin de otros usos, como el que describiste.

Interesante el tema, pero claro mejor llegar hasta ahí y no meterse en problemas
 

brotli

Miembro Regular
Se incorporó
13 Julio 2023
Mensajes
30
hola brotli, te recomiendo que respaldes todos los mensajes en este foro y luego los borres, por tu seguridad y la del grupo. luego hablemos por interno para enviar eso y que realicen el takedown de dominios y de la campaña. a nivel dev es entretenido entender la mecanica de los ataques, pero desde el mundo de la ciberseguridad,, el investigador siempre es atacado (las respuestas del foro quedan en google indexadas), y en ese caso todos los de este post quedan en la mira. hablemos por interno. saludos
Borré el último pero los otros solo los pueden borrar los mods.

Edit: que se quede todo público nomas. Mira que voy a comprar una bot net para botar carders po wn :xd , nunca me termino de sorprender con la gente, yo que pensé que el men tenía un team o algo. Un poco mas y me ofrece criptos...
 
Última modificación:
Subir