En un intento por identificar a alguien que está engañando a una compañía para que entregue dinero en efectivo, el FBI creó un sitio web falso de FedEx y desplegó documentos de Word con trampas  para revelar las direcciones IP de los estafadores.




El FBI ha comenzado a implementar sus propias técnicas de hacking para identificar a los ciberdelincuentes con financiación financiera, según documentos judiciales.

La noticia señala una expansión del uso del FBI de herramientas generalmente reservadas para casos como pornografía infantil y amenazas de bomba. Pero también introduce una posible normalización de este enfoque tecnológico, ya que los sospechosos criminales encubren continuamente su rastro digital y la aplicación de la ley tiene que recurrir a soluciones más novedosas.


El FBI creó un sitio web falso de FedEx y lo envió al objetivo, con la esperanza de que capturara la dirección IP del pirata informático, según los registros judiciales. El FBI incluso inventó una página falsa de "Acceso denegado, este sitio web no permite conexiones de proxy" para incitar a los delincuentes cibernéticos a conectarse desde una dirección identificable. (GoDaddy ha recuperado el dominio desde entonces, y el dominio se resolvió brevemente a una dirección IP en Rochester, Nueva York, donde se basa el Agente Especial del FBI que escribe la solicitud, según los registros en línea).



No está claro si el FBI solicitó el permiso de FedEx para personificar digitalmente a la compañía. FedEx no respondió a una solicitud de comentarios, y el FBI no respondió a las preguntas sobre el incidente específico.

On July 25, 2017, FBI Buffalo, Rochester Resident Agency purchased the domain www.fedextrackingportal.com and developed the website www.fedextrackingportal.com/apps/us-en/tracking.php?action=track&trackingnumber=731246AF7684. The website was created with the message "Access Denied, This website does not allow proxy connections" error message when accessed. The website was created to capture the basic server communication information, as IP Address date and time stamp, and user string when the website was accessed. No malware or computer exploit was deployed in the development of the website; the only information captured in the webserver logs was unencrypted basic network traffic data identified above.

En particular, solo otro dominio ha resuelto previamente a la misma dirección IP que la página falsa de FedEx; Un dominio que elude a una firma de abogados. El sitio solo existió por poco tiempo, está fuera de línea en el momento de la redacción y parece tener una huella digital muy pequeña. Parece que este dominio de bufete de abogados también puede estar conectado al FBI.

Parece que ese intento de desenmascaramiento de FedEx no tuvo éxito, el ciberdelincuente verificó el enlace desde seis direcciones IP diferentes, algunas de ellas con proxy, y el FBI pasó a utilizar una técnica de investigación de red, o NIT, en su lugar. NIT es un término general que el FBI usa para una variedad de enfoques de piratería. Los casos anteriores han utilizado un exploit del navegador Tor para irrumpir en la computadora de un objetivo y obligarlo a conectarse a un servidor del FBI, revelando la dirección IP real del objetivo. Otras NIT han sido un poco menos sofisticadas técnicamente, e incluyen video o archivos de Word con trampas explosivas que alguna vez se abrieron también como "teléfono de casa" al FBI.

Este nuevo NIT cae en esa última categoría. El FBI intentó localizar a los ciberdelincuentes con un documento de Word que contenía una imagen que se conectaría al servidor del FBI y revelaría la dirección IP del objetivo, según los registros de la corte. La imagen era una captura de pantalla de un portal de seguimiento de FedEx para un pago enviado, según los registros judiciales.



Fuentes:
https://motherboard.vice.com/en_us/article/d3b3xk/the-fbi-created-a-fake-fedex-website-to-unmask-a-cybercriminal
https://www.techdirt.com/articles/20181128/10115041121/fbi-faked-up-fedex-website-to-track-down-scam-artist.shtml