Una plataforma de phishing llamada Lucid está detrás de una ola de ataques bastante seria: ha apuntado a 169 organizaciones en 88 países, enviando mensajes muy bien diseñados a través de iMessage (iOS) y RCS (Android).
Detrás de Lucid está un grupo de ciberdelincuentes chinos conocido como "XinXin", que lleva operando esta plataforma desde mediados de 2023. Lo preocupante es que no la usan solo ellos: Lucid se ofrece como un servicio por suscripción, algo así como un “Netflix del phishing”. Quienes pagan tienen acceso a más de 1,000 dominios falsos, páginas de phishing generadas automáticamente y herramientas de spam bastante sofisticadas.
Además, se sabe que este grupo también ha estado usando otra plataforma de phishing llamada Darcula v3, lo que sugiere que podría haber una conexión entre ambas. Todo este negocio se mueve a través de un canal en Telegram con más de 2,000 miembros, donde los interesados compran licencias por semana para lanzar sus campañas de ataque.
Una operación de phishing a gran escala (y muy bien pensada)
El grupo detrás de Lucid dice estar enviando alrededor de 100,000 mensajes de smishing cada día. Lo hacen usando iMessage (en iPhones) y RCS (en Android), que son plataformas de mensajería cifradas de extremo a extremo. Esto les permite evadir muchos filtros de spam, ya que estos mensajes no pasan por los mismos controles que los SMS tradicionales.
La plataforma automatiza todo el proceso: desde el envío de los mensajes hasta la creación de páginas falsas personalizadas que se ven súper legítimas. Todo está diseñado para parecer real y hacer que la gente caiga.
Lucid usa a su favor la tecnología detrás de iMessage y RCS para mejorar el alcance y la efectividad de sus ataques. Como estos canales no son tan controlados como los SMS normales, la cantidad de mensajes que realmente llegan al destinatario (y que son abiertos) es muchísimo mayor.
Además, no solo logran esquivar los filtros, sino que también les sale más barato. Mandar miles de mensajes SMS tradicionales cuesta dinero, pero usando iMessage y RCS, eso se reduce bastante.
Para llevar todo esto a cabo, los operadores de Lucid tienen granjas enteras de dispositivos iOS y Android que funcionan 24/7 enviando estos mensajes. En el caso de iMessage, usan cuentas de Apple temporales, y con RCS aprovechan fallos específicos de cada compañía telefónica para falsificar el remitente y hacer que los mensajes parezcan aún más creíbles.
Granja de dispositivos utilizada para enviar spam a los objetivos
En un video que circula por las redes, se puede ver a los ciberdelincuentes detrás de Lucid lanzando campañas de phishing ¡desde autos en movimiento! Sí, así como lo lees. Al parecer, lo hacen no solo para mantenerse en movimiento por seguridad, sino también para mostrar lo fácil que es usar la plataforma, incluso mientras conduces.
La idea detrás de esto es clara: demostrar que cualquiera puede involucrarse en estas operaciones sin necesidad de ser un hacker experto. Todo está tan automatizado que básicamente puedes enviar miles de mensajes con solo tener un par de dispositivos y conexión a internet.
Muchos de estos atacantes se sienten atraídos por campañas que son de bajo riesgo y poca inversión, pero que pueden igual generar ganancias. Usan herramientas de virtualización o dispositivos viejos modificados para mandar mensajes en masa sin mucho esfuerzo.
Los mensajes de phishing suelen hacerse pasar por cosas del día a día: notificaciones de envíos, impuestos, multas o pagos pendientes, y vienen con logos, lenguaje y diseños que parecen totalmente reales. Incluso adaptan el idioma y el estilo de los mensajes según dónde se encuentra la víctima, para que todo suene más creíble.
Y claro, si alguien pica y hace clic en el enlace, lo mandan a páginas falsas que imitan sitios oficiales de agencias de gobierno o empresas conocidas, como USPS, DHL, FedEx, Amazon, Revolut, HSBC, American Express, E-ZPass, SunPass, Transport for London, entre muchas otras.
Podría interesarte leer: ¿Qué hacer si recibes un correo electrónico fraudulento?
Las páginas de phishing que usan estos criminales están hechas con un propósito claro: robarte tu información personal y financiera. Hablamos de tu nombre completo, tu correo, dirección, e incluso los datos de tu tarjeta de crédito.
Y no solo eso. La plataforma que usan incluye un validador de tarjetas integrado, o sea, una herramienta que les permite probar si las tarjetas robadas todavía funcionan. Si dan el visto bueno, pueden venderlas a otros delincuentes o usarlas directamente para hacer compras fraudulentas.
Lo más preocupante es que plataformas como Lucid hacen que cualquiera pueda meterse en este mundo sin tener muchos conocimientos técnicos. Todo viene listo para usar y con un acabado tan pulido que los intentos de estafa se ven bastante creíbles, lo que aumenta las probabilidades de que alguien caiga.
Y cuando sumás eso a una infraestructura bien montada, que es difícil de tumbar, los atacantes pueden lanzar campañas de phishing enormes y muy organizadas, afectando a miles de personas al mismo tiempo.
Así que ya sabes: si recibes un mensaje que te pide que hagas clic en un enlace o que respondas algo urgente, mejor ignoralo. En vez de eso, anda directo a la app o al sitio oficial del servicio en cuestión y revisa desde ahí si tienes alguna notificación. Es la forma más segura de evitar caer en este tipo de trampas.
