IT News פורטל המחשוב העסקי וההייטק של ישראל
באחת מההונאות, הקימו פושעי הסייבר זירה מזויפת למסחר בזהב והצליחו לגנוב חצי מיליון דולר במטבעות מבוזרים; בשני המקרים, טירגטו פושעי הסייבר את חוקר האיומים הראשי בסופוס
אוקספורד, בריטניה, 13 בפברואר , 2023 – סופוס (Sophos), חברת אבטחת המידע והסייבר המובילה וספקית פתרונות אבטחת סייבר כשירות, מפרסמת היום מחקר של שתי הונאות CryptoRom פעילות ונרחבות (המוכרות בסינית בשם 'שה זו פאן' או בתרגום חופשי: פיטום חזירים), המופעלות על ידי ארגוני פשיעה מאסיה. מדובר בסוג הונאה מתוחכם ומאורגן שמטרתו לגנוב מהקורבנות סכומים גבוהים. אחד מארגוני הפשיעה פועל מהונג קונג ומפעיל זירה מזויפת למסחר בזהב, בעוד שהארגון השני שפועל מקמבודיה עם קשרים לארגוני פשיעה מסין, הצליח כבר לגנוב חצי מיליון דולר במטבעות מבוזרים (קריפטוגרפים) מקורבנות ההונאה תוך חודש אחד בלבד.
בשני המקרים, טירגטו פושעי הסייבר את שון גלאגר, חוקר האיומים הראשי בסופוס, ישירות בטוויטר ובמסרונים, ולא דרך אפליקציות היכרויות כפי שהיה נהוג עד כה. במחקר הראשון מתוך שניים שפורסם היום, "Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam,' נחשפת דרך הפעולה של ארגון פשיעה מהונג קונג הממחישה את רמת התחכום שאליה הגיעו ההונאות מהסוג הזה.
"כבר שנתיים שאנחנו עוקבים אחרי הונאות CryptoRom האלו המתבצעות דרך אפליקציות היכרויות, ומדווחים עליהן. פושעי הסייבר יוצרים קשר עם קורבנותיהם באפליקציות היכרויות, רוקמים איתם יחסי אמון ואז משכנעים אותם להשקיע במטבעות מבוזרים (קריפטוגרפים) דרך אפליקציות מסחר זדוניות שבאמצעותן הם גונבים את כספם. אבל הונאות מסוג CryptoRom הן רק קצה הקרחון. מאז פרוץ מגפת הקורונה, הפכו ההונאות האלו לנרחבות יותר ומתוחכמות יותר. כיום, פושעי הסייבר הרחיבו את פעילותם לרשתות חברתיות, מסרונים ואפליקציות מסרים מיידים ומפתים את קורבנותיהם גם באמצעות סיפורים על התעשרות ממסחר בזהב ומתכות יקרות נספות. הם הולכים על כל הקופה," מסכם שון גלאגר, חוקר איומים ראשי בסופוס.
בהונאה הראשונה שחקר גלאגר, הוא התכתב במשך שלושה חודשים עם אחד מפושעי הסייבר לאחר שזה פנה אליו ישירות בטוויטר. תוך זמן קצר, ניסה הנוכל – שהתחזה לאישה בת ארבעים מהונג קונג – להעביר את השיחה לוואטסאפ. שם, הוא ניסה לשכנע את גלאגר לקנות זהב בזירה מזויפת, תוך שהוא מתפאר בקשריה של הדמות שהוא מגלם עם 'הדוד מרטין', לכאורה אנליסט לשעבר בחברת ההשקעות גולדמן זקס. פושע הסייבר הפנה את גלאגר לאתר המתחזה בדייקנות רבה לזה של חברת בנקאות יפנית לגיטימית בשם Mebuki Financial, שדרכו מתבצע המסחר במטבע זר ומתכות יקרות.
אמנם רכיב ההנדסה החברתית של ההונאה הזאת לא היה מתוחכם כמו במקרים אחרים שחקרה סופוס, אבל הוא חשף את היכולות הטכנולוגיות המשופרות של ארגוני הפשיעה האלה ואת רמת התחכום הגדלה של ההונאות מהסוג הזה. פושעי הסייבר משתמשים באתרים מזויפים שאותם הם מקדמים ביעילות במנועי החיפוש, כמו זה המתחזה לאתר של חברת הבנקאות Mebuki כדי ליצור את הרושם כי הפעילות נעשית באתר לגיטימי. הם גם משתמשים בגרסה פרוצה של אפליקציית מסחר לגיטימית (MetaTrader 4) שלה הוסיפו קוד זדוני המשמש אותם לגניבת כספי הקורבנות. כמו כן, הם מחליפים לעתים קרובות את התשתית הטכנולוגיות המשמשת לביצוע ההונאה כדי להקשות על רשויות האכיפה להתחקות אחרי ההונאה ולעצור אותה.
"שתי ההונאות עדיין פעילות ויהיה קשה לעצור אותן. אמנם סימנו את שמות דומיינים וכתובות ה־IP שבהם השתמש ארגון הפשיעה מהונג קונג לביצוע ההונאה ככאלה המשמשים לפעילות זדונית, אבל מאז כבר עברו הפושעים להשתמש בשמות דומיינים חדשים והקימו תשתית חדשה ומלאה להפצת הגרסה הזדונית של אפליקציית המסחר MetaTrader שיצרו. בשלב זה מדובר במשחק של חתול ועכבר." לרוע המזל, ניסיונות ההונאה האלה רק מתגברים, מתפשטים לאזורים גאוגרפיים חדשים, לפלטפורמות חדשות ואין דרך לעצור אותם. גם המעבר ממטבעות מבוזרים (קריפטוגרפים) לזהב ממחיש עד כמה קל לפושעי הסייבר למצוא נישה רווחית חדשה. המשמעות היא שההגנה הטובה והיעילה ביותר נגד סוגי ההונאות האלה היא העלאת המודעות. על הציבור להיות ער לכך שמסרונים, הודעות באפליקציות היכרויות או הודעות פרטיות ברשתות חברתיות מאדם זר שפונה אליהם ומציע לעבור לוואסטסאפ או לטלגרם עלולים להיות ניסיונות הונאה, ובפרט אם בן או בת שיחם מתפארים בעושר שהושג לכאורה מהשקעה במטבעות מבוזרים (קריפטוגרפים), מסחר במתכות יקרות או אפיקי השקעה אחרים," מסכם גלאגר.
מידע נוסף על הפושעים שמאחורי הונאת המסחר בזהב אפשר למצוא במאמר 'זהב של שוטים: ניתוח הונאה מסוג 'פיטום חזירים' (Pig Butchering) בזירה מזויפת למסחר בזהב' באתר Sophos.com.
Learn More About
Two fake crypto trading apps used by CryptoRom scammers bypassing Apple App Store security
“CryptoRom” scams and how they target iOS users
Liquidity mining and how it contributes to cryptocurrency crimes
The threat landscape and trends likely to impact cybersecurity in the 2023 Threat Report
Sophos X-Ops and its groundbreaking threat research by subscribing to the Sophos X-Ops blogs
Attacker dwell times and insights into tactics, techniques and procedures (TTPs) in Sophos’ Active Adversary Playbook 2022
