Sophos waarschuwt voor tweetal cyberfraudebendes
Sophos waarschuwt voor twee cybercrimegroeperingen die vanuit Azië aan 'pig butchering' of 'sha zhu pan' doen. Dit is een vorm van oplichterij met uitgebreide en langdurige financiële fraude die slachtoffers duizenden dollars kan kosten en ook bekend is als 'CryptoRom'. De ene constructie bevindt zich in Hong Kong en gebruikt een valse marktplaats voor goudhandel; de andere, gevestigd in Cambodja, heeft banden met de Chinese georganiseerde misdaad en heeft de oplichters in één maand tijd al $500.000 in cryptomunten opgebracht.
In beide constructies hadden de oplichters het op Sean Gallagher gemunt, hoofdonderzoeker bedreigingen bij Sophos. Ze hadden hem rechtstreeks via Twitter en sms benaderd in plaats van via datingapps, de traditionele methode om slachtoffers te vinden en aan te spreken. Sophos deelt de interne werking van de bende in Hong Kong in een tweedelige serie genaamd ‘Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam’. Deel één is nu beschikbaar. De serie legt uit hoe deze oplichters technisch steeds verfijnder te werk gaan om doelwitten in de val te lokken en te misleiden.
Investeren in frauduleuze apps
“Twee jaar lang hebben we een subgenre van pig butchering, ook wel CryptoRom genaamd, onderzocht en er verslag over uitgebracht. Dit is een specifiek type van pig butchering gebaseerd op een romantische list: oplichters benaderen mogelijke slachtoffers op datingapps en vragen hen dan om te investeren in frauduleuze apps voor cryptohandel. Maar CryptoRom is slechts het topje van de ijsberg. Sinds de start van de pandemie is dit soort cyberfraude enorm uitgebreid. De oplichters spreken mensen nu aan op alle grote socialemediaplatformen en zelfs via rechtstreekse berichten. Bovendien beperken ze zich niet meer tot cryptomunten, maar gebruiken ze ook goud en andere valuta of beleggingsmiddelen. Ze gaan echt tot het uiterste”, zegt Gallagher.
Bij de eerste zaak die Gallagher onderzocht, onderhield hij drie maanden lang contact met een van de oplichters nadat ze hem rechtstreeks via Twitter had benaderd. De oplichter deed zich voor als een veertigjarige vrouw uit Hong Kong die al snel probeerde om het gesprek naar WhatsApp te verplaatsen. Van daaruit probeerde ze Gallagher te overtuigen om in een valse marktplaats voor goudhandel te investeren. Ze had immers een ‘oom Martin’ – naar verluidt een voormalig analist bij Goldman Sachs – op wie ze een beroep kon doen. Vervolgens leidde ze hem naar een website die de branding van Mebuki Financial had gekopieerd, een echt Japans bankbedrijf. Daar zou de valuta- en grondstoffenhandel plaatsvinden.
Doortrapte werkwijze
Hoewel de sociale manipulatie achter deze fraude niet zo goed uitgewerkt was als bij andere gevallen die Sophos heeft onderzocht, bleek dat de techniek van deze soort groepen aanzienlijk bijgeschaafd was. De oplichters gebruikten een doordachte combinatie van zeer doeltreffende SEO, knappe namaakpagina’s waar nieuwe klanten zich konden ‘registreren’ op de valse Mebuki-website, en een nepversie van een echte beleggingsapp (MetaTrader4) met bijkomende malware om de slachtoffers geld afhandig te maken. Bovendien updaten ze de oplichtinfrastructuur van hun activiteit regelmatig om niet ontdekt te worden.
“Beide bendes zijn nog steeds actief, en het zal moeilijk worden om ze uit te schakelen. We hebben de domeinen en IP-adressen van de aanvallers in Hong Kong gemarkeerd als kwaadaardig, maar ze hebben hun oplichtpraktijken reeds overgebracht naar nieuwe domeinen. Ze beschikken al over een nieuwe download-infrastructuur voor hun namaakversie van de app MetaTrader, dus op dit moment spelen we in essentie het spelletje ‘whack-a-mole’. Dat is jammer genoeg de realiteit, aangezien deze praktijken steeds uitgebreider worden en zich op steeds meer regio’s en platforms richten. Bovendien toont de overstap van crypto naar goud aan hoe gemakkelijk deze groepen een nieuwe niche vinden om uit te buiten. We kunnen ons dus het beste verdedigen door het brede publiek bewust te maken van dit soort oplichtpraktijken. Mensen zouden altijd achterdochtig moeten zijn wanneer ze een sms of bericht op een datingapp of sociale media krijgen van iemand die ze niet kennen, die dan voorstelt om het gesprek op WhatsApp of Telegram voort te zetten – vooral wanneer ze beweren grote rijkdom verworven te hebben door te beleggen in crypto of iets anders”, zegt Gallagher.