De Guardia Civil heeft een van de meest actieve bankphishingnetwerken in Spanje ontmanteld met de arrestatie van een 25-jarige Braziliaanse jongeman, bekend als GoogleXcoder, die wordt beschouwd als de belangrijkste leverancier van tools voor het op grote schaal stelen van inloggegevens in de Spaanstalige wereld.
Sinds 2023 had zijn activiteit geleid tot massale phishingcampagnes van banken en overheidsinstanties, met miljoenen euro’s aan verliezen en honderden aangiften tot gevolg. Via een Crime as a Service (CaaS)-model bood hij andere criminelen via Telegram gepersonaliseerde phishingkits aan, inclusief technische ondersteuning, waar zelfs een groep bestond met de naam “Robarle todo a las abuelas” (Alles stelen van oma’s).
Het onderzoek, geleid door de afdeling Cybercriminaliteit van de UCO, resulteerde in zes huiszoekingen in verschillende Spaanse plaatsen (Valladolid, Zaragoza, Barcelona, Palma de Mallorca, San Fernando en La Línea de la Concepción), waarbij elektronische apparatuur in beslag werd genomen en geld werd teruggevonden dat verband hield met het geld dat van de slachtoffers was gestolen en op verschillende digitale platforms was opgeslagen.
Volgens de Guardia Civil vinden er sinds 2023 op nationaal niveau een reeks phishingcampagnes plaats, waarbij cybercriminelen zich voordoen als de belangrijkste banken van het land en instanties om slachtoffers te misleiden en hun persoonlijke gegevens te verkrijgen. Deze campagnes om inloggegevens te stelen hebben geleid tot een groot aantal aangiften van getroffen personen, miljoenen euro’s aan gestolen geld en het ontstaan van een beginnende maatschappelijke onrust.
De afdeling Cybercriminaliteit van de UCO startte een onderzoek met als doel niet alleen de uitvoerders te pakken, maar ook het ‘brein’ achter de tools die door talrijke criminele groepen werden gebruikt om op te lichten. De onderzoekers kwamen op het spoor van een ontwikkelaar die bekend stond als ‘GoogleXcoder’, de maker van de tool voor het klonen. Bovendien leverde hij de criminelen diensten zoals personalisatie, technische ondersteuning en updates.
“Alles stelen van oma’s”
De cybercriminelen namen contact op met GoogleXCoder via de berichtenapp Telegram, huurden zijn diensten in voor honderden euro’s per dag en maakten misbruik van deze tools, benadrukt de Guardia Civil. Op één dag konden ze tientallen entiteiten imiteren, duizenden mensen bedriegen en miljoenen euro’s stelen. “Het gevoel van straffeloosheid van deze daders ging zo ver dat een van de berichtengroepen die door deze criminelen werd gebruikt om de oplichting uit te voeren, ‘Alles stelen van oma’s’ heette”, aldus het bericht van de gewapende instelling.
De persoon die zich achter GoogleXcoder verschuilde, was volledig onbekend bij de veiligheidsdiensten, niet alleen op nationaal maar ook op internationaal niveau. Om hem op te sporen was een complex onderzoek nodig, aangezien hij voortdurend naar verschillende adressen in verschillende provincies van Spanje reisde en gebruik maakte van telefoonlijnen en betaalkaarten op naam van vervalste entiteiten om te voorkomen dat hij zou worden opgespoord. Zijn criminele activiteiten stelden hem in staat om samen met zijn gezin een leven als ‘digitale nomade’ te leiden.
Hij werd gearresteerd in San Vicente de la Barquera (Cantabrië), waar elektronische apparaten in beslag werden genomen die de ‘phishing’-kits van alle vervalste entiteiten, de persoonlijke rekeningen van de verdachte en gesprekken met tientallen cyberoplichters bevatten.
De forensische analyse van de in beslag genomen apparaten en de transacties in cryptovaluta duurde vanwege de complexiteit ervan meer dan een jaar, maar maakte het mogelijk om het hele criminele netwerk te reconstrueren en zes personen te identificeren die rechtstreeks betrokken waren bij het gebruik van deze door de jongeman ontworpen diensten. Het onderzoek loopt nog en verdere maatregelen worden niet uitgesloten.
