Siempre se ha comentado que el que roba a un ladrón tiene cien años de perdón, que siempre hay uno más listo que tú, que si el timo de la estampita… Cada uno que adapte el refranero a su gusto para el caso Mr-Brain.

Mr-Brain es la denominación que un grupo marroquí de personas se ha dado para desarrollar un software de tipo "phishing kit”, que se ofrece gratuitamente. Con este kit cualquier persona sin demasiados conocimientos acerca de phishing puede montar una web fraudulenta imitando cualquier web de alguna empresa de Internet y hacerse con números de cuenta, tarjetas de crédito, contraseñas,... de todo aquel usuario que cometa el error de entrar en dicha página y meter sus datos. Además viene con plantillas para spam de las diferentes empresas.


A pesar de que ya llevan algún tiempo, estos kits están bastante de moda últimamente y la oferta ha crecido considerablemente. En Internet se pueden buscar cosas parecidas a precios variados, que van desde los $20 - $30 hasta los de más de $3000, dependiendo de lo que ofrecen. Lo sorprendente del caso es que este kit se ofrece gratuitamente, lo que llama la atención, ya que están regalando algo que es ilegal para que el futuro phisher que recibe el regalo consiga un dinero que el creador del phishing kit podría conseguir igualmente. Si se ponen a hacer cosas ilegales, más fácil será quedarse con todo el pastel y no regalarlo, ¿no?


Pues ahí está el truco. El kit que Mr-Brain ofrece ha sido creado para enviar toda la información recopilada (por supuesto incluyendo tarjetas de crédito y cuentas bancarias) mediante correo electrónico a una cuenta controlada por Mr-Brain. No solamente Mr-Brain accede a esos datos sin mover un dedo, y consiguiendo robar lo que puede de las cuentas antes de que la cancelen, sino que el futuro phisher, que tan feliz se las prometía, estará haciendo todo el trabajo sucio, no verá ni un duro y además le caerá una denuncia por suplantar la identidad de la empresa.

Miguel López-Negrete
S21sec labs