Chatbot, celebrità e reindirizzamento delle vittime: perché le truffe basate sulle criptovalute hanno ancora tanto successo
Editoriale e contributi aggiuntivi di Tricia Howard
Analisi riassuntiva
I ricercatori Akamai hanno monitorato diversi kit di truffe basate sulle criptovalute che impersonano celebrità e brand, in particolare Elon Musk e le sue società affiliate. Le truffe vengono perpetrate tramite varie piattaforme di social media e app di messaggistica diretta, come WhatsApp o Telegram.
Per avere successo, i kit sfruttano una miriade di tecniche di social engineering quali timer di conto alla rovescia, funzionalità di chat live e bot che offrono "omaggi" agli utenti più veloci ad accedere.
In base all'indirizzo IP, la maggior parte dei kit sembra avere origine in Russia e in altre parti dell'Europa.
Alcuni kit disponevano di una funzione che rispediva all'autore dell'attacco informazioni sulle vittime e sui siti che avevano visitato.
Sebbene le specifiche tecniche della maggior parte di questi kit siano relativamente semplici, il livello di dettaglio di queste truffe, sotto molte angolature, rivela il motivo per cui le truffe basate sulle criptovalute continuano ad essere redditizie.
Introduzione
La lotta per arrestare il phishing e altri tipi di truffe va avanti da molti anni. Dagli innamorati all' IRS, le vittime cambiano, ma i principi alla base delle truffe sono sempre gli stessi, oggi come 20 anni fa. Le vittime di phishing vengono sfruttate da chi vuole trarre vantaggio da eventi correnti, situazioni personali e risposte emotive.
Nonostante una grande consapevolezza da parte del pubblico, queste truffe continuano a funzionare. I danni delle sole frodi da criptovalute hanno superato 1 miliardo di dollari dal 2021e ci aspettiamo di vederne ancora man mano che le criptovalute si radicano nella società.
Per diversi anni, le criptovalute e i social media sono stati un terreno fertile per i truffatori. Gli autori di minacce possono creare account falsi per impersonare brand, celebrità e altre persone note. Abbiamo analizzato un set di kit per truffe che hanno consentito di rubare criptovalute da vittime fiduciose, impersonando persone e brand, e abbiamo stilato un elenco di azioni che potete fare per evitare di diventare vittime. In questo post, esploreremo questi kit per truffe da un punto di vista tecnico per promuovere la consapevolezza.
Cosa sono le truffe che promettono di regalare criptovalute?
Le truffe basate su omaggi di criptovalute sono una forma di frode che sfrutta le campagne di social media e phishing per guadagnarsi la fiducia degli appassionati di criptovalute con la promessa di omaggi di elevato valore. Un modo comune è quello di impersonare personaggi importanti con risorse finanziarie significative, come Elon Musk, che vanta un grande seguito e una presenza nota nella comunità delle criptovalute.
Diverse azioni aiutano a far sembrare legittime queste truffe: dal tenere conto della popolarità della moneta al momento allo sfruttare nomi e brand noti in modo illegale fino a dirottare account YouTube, creare monete falsee tenere riunioni in presenza.
Come funzionano le truffe basate sulle criptovalute?
Sebbene la modalità di recapito della truffa cambi di volta in volta, il metodo di base è lo stesso: attirare una vittima verso il sito kit e convincerla a trasferire criptovalute su un wallet fasullo.
Recapito della truffa
Queste truffe vengono perpetrate a vari livelli di elaborazione, più comunemente tramite piattaforme di social media quali Twitter, Telegram e YouTube. Questa tattica, insieme a quella del social engineering, consente loro di raggiungere un grande pubblico e aumentare le possibilità di successo degli attacchi.
L'idea è quella di conquistare la fiducia della vittima presa di mira a un punto tale che questa non cerchi di identificarne in modo indipendente la legittimità.
Potete vedere un esempio nella Figura 1. Da questo screenshot sembra che la persona impersonata (Musk) abbia promosso legittimamente il link che il truffatore sta spingendo. Una rapida occhiata all'account Twitter dimostra che sia falso, da qui l'intento di impedire alla vittima di fare verifiche.
Figura 1: screenshot falso del tweet che simula la legittimità della truffa delle criptovalute
Una pratica comune dei truffatori è anche quella di rispondere a lunghi thread avviati dall'entità legittima al fine di individuare potenziali vittime. Anche se il tweet iniziale non ha nulla a che vedere con le criptovalute, dal momento che l'entità impersonata detiene delle partecipazioni, è ragionevole pensare anche i suoi follower abbiano lo stesso interesse. Rispondere a un tweet legittimo serve a due scopi: l'ampia disseminazione sfruttando il loro largo seguito e la simulazione di un'associazione con tale entità (Figura 2).
Figura 2: Esempi di tweet che sfociano in truffa
È anche comune vedere truffe del genere recapitate tramite piattaforme di messaggistica diretta, come WhatsApp o Telegram. Su queste app ci sono tanti gruppi con vari interessi, e uno degli argomenti più popolari è quello delle criptovalute. Gli autori di attacchi si infiltrano in questi gruppi e pubblicando link di truffe e proponendosi come un partecipante, la celebrità associata o qualcun altro vicino alla celebrità associata (Figura 3). Possono sembrare abbastanza legittimi; alcuni di loro dispongono di bot create per un "facile accesso".
Figura 3: Esempi di truffe recapitate tramite WhatsApp e Telegram
Siti di kit per truffe
Tramite il social engineering e la promessa di una grande somma di criptovalute, i criminali hanno reso queste truffe alquanto redditizie. Gli autori di attacchi sfruttano fatti noti, come la popolarità di una moneta, le celebrità o altri personaggi noti, nonché l'affiliazione con organizzazioni specifiche, per creare kit di phishing altamente realistici (Figura 4).
Figura 4: esempio di sito di kit per truffe tramite criptovalute
Questi siti sono progettati per conquistare la fiducia della persona che vi approda. Come si può vedere nella Figura 4, a parte un inglese leggermente approssimativo, i siti sembrano legittimi. Tutto ciò si allontana molto dalle truffe tramite e-mail con testo normale nel passato; questi kit dispongono anche del "supporto tecnico" delle chatbot live, che aiutano gli utenti a "partecipare al concorso".
Tra la buona imitazione delle pagine di destinazione di campagne di marketing legittime, la pressione della paura di perdere il treno spinta dal "timer con conto alla rovescia in tempo reale" e il "sostegno" della celebrità in questione, il livello di dettaglio per garantire il successo delle truffe è indicativo di quanto siano redditizie.
Una persona esperta è in grado di riconoscere subito una truffa. Ma è facile per l'utente medio dei social media cadere in trappola. La truffa stessa è ideata per infondere fiducia. Il kit richiede che l'utente venga "autenticato" per garantire che partecipi al concorso una sola persona alla volta. Le vittime inviano criptovalute erroneamente convinte di venire rimborsate immediatamente una volta completata la fase di autenticazione. A questo punto, il criminale ritira il denaro e procede con la vittima successiva.
Analisi tecnica di uno dei kit per truffe distribuiti nel dark web
Sebbene l'aspetto di questi kit sia molto elegante, il codice sottostante è piuttosto semplice. I kit che abbiamo osservato differivano tra loro per il set di funzionalità, ma erano tutti relativamente semplici nel backend. Contenevano un mix di HTML e JavaScript, con i seguenti elementi:
uno script che avviava e configurava il servizio Smartsupp Live Chat sul sito Web (Figura 5);
due input nascosti che contenevano i valori degli indirizzi Bitcoin e Ethereum;
elementi HTML a fini di stile e visualizzazione, incluso un iframe che visualizzava un widget per le criptovalute da "coinlib.io" per conferire una qualche forma di autenticità alla pagina che mostrava i dati dal vivo.
Alcuni dei kit analizzati contenevano anche la raccolta di dati delle vittime e un push a un canale Telegram di proprietà del criminale. Probabilmente, si tratta di un modo di reindirizzamento della vittima con altre truffe.
Figura 5: un widget Smartsupp
Figura 6: codice di un bot Telegram
Come si può vedere nella Figura 6, l'autore dell'attacco utilizza l'attributo informazioni dell'API IP e spinge verso il suo bot Telegram. Notate il messaggio in russo, che si traduce con "Ha visitato il sito Web Tesla".
Abbiamo studiato gli indirizzi Bitcoin e Ethereum inclusi nel kit, che venivano usati probabilmente per ricevere i pagamenti dalle vittime. Come si può vedere nelle Figure 7 e 8, i wallet mostrano piccole e molteplici transazioni dei fondi accettati, per un totale di 0,3 BTC (0,31 ETH al momento della verifica).
Figura 7: screenshot del wallet di bitcoin dal kit per truffe tramite criptovalute
Figura 8: rappresentazione visiva di molteplici transazioni con criptovalute nel wallet truffa
La presenza del servizio Smartsupp Live Chat è una funzionalità che ha guadagnato popolarità nei recenti mesi con questi kit per truffe. Viene usata per indicare (falsamente) che il proprietario del sito Web sta cercando di fornire supporto al cliente, il che può instillare fiducia negli utenti. Anche se le vittime non usano il servizio, la sola presenza ispira inconsciamente fiducia. Oggi giorno, è una pratica normale avere chatbot o live chat come punto di contatto per i visitatori di un sito, perciò sembrerebbe sospetto se un'organizzazione che afferma di essere Tesla non abbia qualcosa di simile sul suo sito. Ciò è vero specialmente se la vittima presa di mira aveva visitato un sito legittimo, che disponeva della funzione chat.
Un altro elemento particolarmente interessante di alcuni di questi kit è l'invio dei dati delle vittime all'autore dell'attacco, con una nota sui siti hanno visitato. Ciò può significare che gli autori degli attacchi stanno lanciando molteplici truffe e stanno creando di "creare una base clienti". Potrebbero anche reindirizzare queste vittime ad altre truffe o passare le loro informazioni ad altri criminali. Inoltre, potrebbero monitorare questi siti truffa per vedere quali sono più redditizi. Queste truffe si basano sull'imitare pratiche di marketing legittime, perciò è ragionevole pensare che imitino anche questa.
Kit di criminali individuati in rete
In base al loro indirizzo IP, la maggior parte dei kit per truffe che abbiamo osservato si trovavano in Europa, con una concentrazione in Russia (Figura 9). Sebbene questo metodo non confermi l'origine degli attacchi, è correlato ad altre attività informatiche dannose che abbiamo osservato in questa regione. Ce ne sono altre, che sembrano trovarsi in Paesi Bassi, Austria, Italia, Germania e Ucraina, che abbiamo scoperto tramite le nostre origini dati interne e a strumenti di scansione popolari come Shodan.io.
Fig. 9: la maggior parte dei kit per truffe che abbiamo osservato si trovavano in Europa, con una concentrazione in Russia
Esempio del kit in azione
https://tesla-show{.}net
https://elongivex{.}space
https://teslaevent{.}tech
https://tesla-m{.}com
https://spaceX-crew6{.}com
Come evitare di diventare vittima di una truffa tramite omaggi di criptovalute
Questi kit per truffe continueranno a venire a galla finché avranno successo. La vigilanza nei confronti di questi siti illegittimi è l'unico modo per assicurarvi di non diventare una vittima. Riuscire a individuare le truffe effettuate tramite criptovalute, come quelle in figura 10, è uno strumento critico nel vostro arsenale. Ci sono diversi campanelli di allarme che possono aiutarvi.
NON esistono regali gratis! State molto attenti quando vi trovate su un sito che afferma di darvi qualcosa completamente gratis. Anche su siti legittimi, non esistono regali totalmente gratuiti. Se sembra troppo bello per essere vero, non lo è.
Non inviate criptovalute a persone che non conoscete: se qualcuno sui social media vi promette una ricompensa in cambio di criptovalute, non inviategli nulla. Probabilmente, è una truffa.
Controllate e ricontrollate lo stato di verifica di un account: recenti modifiche riguardo alla verifica su Twitter hanno reso più difficile distinguere un'entità legittima da una illegittima sulla piattaforma. Il segno di spunta blu da solo non è sufficiente, ma è un buon punto di partenza. Potete leggere di più sulla policy di verifica di Twitter sul loro sito Web.
Controllate il nome utente: una rapida ricerca della celebrità impersonata nei "social media" vi consentirà di individuare l'account ufficiale. Se il nome utente sull'account ufficiale è diverso da quello che sta interagendo con voi, quest'ultimo è falso.
L'account è nuovo: le celebrità hanno account di social media attivi da anni. Se l'account che avete di fronte è nuovissimo, è probabilmente falso.
Fate le vostre ricerche: gli omaggi legittimi esistono, ma è sempre meglio verificare. Un omaggio legittimo da un'entità di quelle dimensioni sarebbe stato annunciato da molti comunicati stampa e articoli. In caso contrario, è probabilmente una truffa. Potete anche cercare l'account o il numero di telefono su Google per vedere se altre persone hanno segnalato l'accaduto.
Se vi imbattete in una truffa che promette omaggi, segnalatela alla piattaforma e alle autorità. Segnalando la frode, potete aiutare gli altri a non caderci.
Fig. 10: Altri esempi di pagine di truffa con criptovalute
Conclusione
Le truffe tramite omaggi sono un problema crescente sui social media. Fanno leva su due importanti elementi emotivi: FOMO (la paura di perdere il treno) e la prospettiva di un guadagno finanziariosignificativo, che vi cambierà la vita. Se associate ad ampie tattiche di social engineering, queste truffe possono portare le persone a ignorare gli insegnamenti riguardo la vigilanza online.
Tuttavia, se analizzati bene, questi kit possono essere relativamente facili da individuare. Restare aggiornati sui nuovi metodi e le nuove misure implementati dagli autori di minacce è fondamentale per evitare di cadere in queste truffe e tenere al sicuro le vostre criptovalute. Ricordate: se sembra troppo bello per essere vero, non lo è!
Ulteriori informazioni
I ricercatori Akamai sono alla costante ricerca di questi tipi di truffe e di altre attività dannose. Per rimanere aggiornati sulle ultime ricerche in tutti i domini di sicurezza, seguiteci su Twitter.
Indicatori di compromissione:
