Obinwanne Okeke es el fundador del Grupo Invictus, involucrado en la construcción, la agricultura, el petróleo y el gas, las telecomunicaciones y los bienes raíces. En 2016, Forbes lo agregó a su lista 30 jovenes dueños de negocios en África menores de 30.
Tres años después, el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia emite una orden de arresto a nombre de Okeke por presuntas conspiraciones para cometer fraude informático y electrónico.
Estafador BEC (Correo Electrónico Comercial) de larga data
Según la declaración jurada del FBI en apoyo de la denuncia penal y la orden de arresto, Okeke había estado ejecutando estafas BEC desde el año 2016 por lo menos, con algunos de sus socios involucrados en estafas incluso antes de eso.
Con sus compañeros conspiradores, el estafador trabajó en la creación de páginas de phishing para servicios en línea utilizados por varias empresas en los Estados Unidos.
En abril de 2018, Okeke y sus asociados enviaron un correo electrónico de phishing al Director Financiero (CFO) de Unatrac Holding Limited, que es la oficina de ventas de exportación de equipos industriales y agrícolas Caterpillar.
El CFO cayó engañado por el phishing y envió las credenciales de inicio de sesión a los estafadores cuando intentó acceder a la cuenta de correo electrónico en Microsoft Office 365.
«Los registros indican que entre el 6 y el 20 de abril de 2018, el intruso accedió a la cuenta del CFO al menos 464 veces, principalmente desde direcciones IP en Nigeria«, se lee en la declaración jurada de un agente del FBI.
Trucos del oficio
Con este nivel de acceso, se afirma que Okeke utilizó la cuenta del CFO para enviar solicitudes de transferencias electrónicas fraudulentas a los miembros del equipo financiero interno de la compañía.
Algunos correos electrónicos tenían facturas falsas con logotipos de Unatrac, mientras que otros se enviaron a la cuenta del CFO desde un correo electrónico externo (pakfei.trade @ gmail.com) y luego se enviaron a los empleados a cargo de realizar los pagos, para crear la apariencia de un seguimiento real.
La declaración jurada establece que el intruso creó filtros de correo electrónico que marcaban como leídos los correos electrónicos legítimos de los empleados de la compañía y luego los movían a una carpeta diferente. El objetivo era ocultar las respuestas de los receptores de facturas falsas y solicitudes de transferencias electrónicas fraudulentas.
En aproximadamente una semana entre el 11 y el 19 de abril de 2018, Unatrac procesó alrededor de 15 pagos fraudulentos. Un destinatario, Pak Fei Trade Limited, recibió tres pagos de esta manera: por U$S278,270, por U$S898,461 y uno por U$S1.957.100.
En total, Unatrac envió casi U$S11 millones a cuentas en el extranjero, y la mayor parte no pudo recuperarse.
Terminando las cosas
El FBI presuntamente relacionó a Okeke con esta actividad fraudulenta a partir de la dirección de correo electrónico iconoclastlast1960 @ gmail.com, que recibió archivos de la cuenta de almacenamiento OneDrive del CFO de Unatrac.
Siguiendo su rastro en Internet, el FBI pudo descubrir conversaciones con otros estafadores donde planearon cómo crear nuevas páginas de phishing. La dirección de correo electrónico también generó nombres de dominio que se hicieron pasar por negocios legítimos y posiblemente se usaron en otras campañas de phishing.
Se descubrieron dominios fraudulentos adicionales, dice también la declaración jurada. El avance provino de una fuente confidencial del FBI que vinculaba los propósitos maliciosos de ‘iconoclastlast1960@gmail.com’.
Los registros de Google vinculaban esta dirección a otras cuentas a las que se accedía desde la misma máquina, una de ellas era obinwannem @ gmail.com, vinculada al perfil de Twitter @invictusobi de Okeke. A partir de ahí, fue un trabajo simple rastrear al verdadero propietario de la cuenta fraudulenta.
«La información que Google proporcionó enumera una dirección de correo electrónico de recuperación de alibabaobi@gmail.com, y nombra varias cuentas vinculadas a iconoclastl960@gmail.com mediante la cookie de sesión de inicio de sesión, lo que indica la probabilidad de que sean operadas por la misma persona. Una de estas vinculadas cuentas es obinwannem@gmail.com «.
Traducción: Raúl Batista de la Redacción de Segu-Info
Autor: Ionut Ilascu
Fuente: BleepingComputer
