El Departamento de Justicia de Estados Unidos (DoJ, por sus siglas en inglés) ha anunciado la condena que impuso el pasado jueves, 28 de abril, a un californiano de 40 años llamado Sercan Oyuntur que robó 23,5 millones de dólares (22,33 millones de euros) al Departamento de Defensa de EE.UU. (DoD) a través de una compleja operación de phishing llevada a cabo entre junio y septiembre de 2018.
Según la información proporcionada por el DoJ, Oyuntur actuó con otros ciberdelincuentes ubicados en Alemania, Turquía y Nueva Jersey, y se dirigieron a una organización que tenía un contrato con el DoD para suministrar combustible para aviones al personal militar que operaba en el sudeste asiático. También apuntaron contra un trabajador de Nueva Jersey de esta organización, que era responsable de comunicarse con el Departamento de Defensa a través de un sistema informático del gobierno, y consiguieron robar el dinero que el DoD pretendía pagar a dicha corporación por el combustible para aviones.
Así fue el ataque de phishing del que fue víctima el Departamento de Defensa de EE.UU.
De acuerdo a los documentos y las pruebas presentadas en el juicio, que se prolongó ocho días, Oyuntur y su equipo de ciberdelincuentes crearon cuentas de correo electrónico falsas a nombre de otras personas y diseñaron páginas web fraudulentas que se parecían a la web de la Administración de Servicios Generales (GSA).
"De junio a septiembre de 2018, los conspiradores enviaron correos electrónicos de phishing a varios proveedores del Departamento de Defensa, incluido el individuo de Nueva Jersey que representaba a la corporación, para engañar a estos proveedores para que visitaran las páginas de phishing", explica el Departamento de Justicia de Estados Unidos, que prosigue señalando:
"Estos correos electrónicos parecían ser comunicaciones legítimas del gobierno de los Estados Unidos, pero en realidad fueron enviados por los conspiradores y contenían enlaces electrónicos que automáticamente llevaban a las personas a las páginas de phishing.
"Allí, vieron lo que parecía ser un sitio web de GSA y se les pidió que ingresaran sus credenciales de inicio de sesión confidenciales, que luego fueron utilizadas por los conspiradores para realizar cambios en los sistemas gubernamentales y, en última instancia, desviar dinero a los conspiradores".
El Departamento de Justicia de EE.UU. también indica que Oyuntur trabajó en estrecha colaboración con otro ciberdelincuente, Hurriyet Arslan, quien era el dueño de un concesionario de automóviles en Nueva Jersey. "Arslan abrió una empresa ficticia independiente con sede en Nueva Jersey para utilizarla en el plan delictivo, obtuvo un número de teléfono móvil para la empresa ficticia, contrató a otra persona para que se hiciera pasar por el propietario de la empresa ficticia y abrió una cuenta bancaria a nombre de la empresa ficticia".
Tal y como continúa explicando, el 10 de octubre de 2018, el DoD transfirió 23,5 millones de dólares a la cuenta bancaria del concesionario de Arslan, que estaba destinada a la corporación víctima. Posteriormente, Arslan fue a cobrar el dinero al banco, pero no le entregaron todos los fondos. En este punto entró en juego el ciberdelincuente de Turquía, que envió a Arslan un correo electrónico con un contrato gubernamental fraudulento que mostraba que el concesionario de automóviles se había adjudicado un contrato del Departamento de Defensa valorado en unos 23 millones de dólares. "Oyuntur le indicó a Arslan que llevara este contrato falso al banco para explicar por qué había recibido el dinero, de modo que Arslan pudiera convencer al banco de liberar los fondos restantes".
Oyuntur ha sido condenado por seis cargos y Arslan espera su sentencia
Siguiendo la información del Departamento de Justicia de EE.UU., Oyuntur ha sido condenado por seis cargos relacionados con este robo de 23,5 millones de dólares al DoD: uno de conspiración para cometer fraude electrónico, postal y bancario; dos de fraude bancario; y otros tres de uso de un dispositivo de acceso no autorizado, de robo de identidad agravado y de hacer declaraciones falsas a agentes del orden público federales.
"Los cargos de conspiración y fraude bancario por los que Oyuntur fue condenado conllevan cada uno una pena potencial máxima de 30 años de prisión", apunta.
Por otra parte, señala que en enero de 2020 Arslan se declaró culpable de conspiración, fraude bancario y blanqueo de dinero, y que su sentencia está programada para el próximo 21 de junio.