Chatbots, celebridades e redirecionamento de vítimas: Por que os golpes de sorteio de criptomoedas ainda são tão bem-sucedidos
Contribuições editoriais e adicionais por Tricia Howard
Resumo executivo
Os pesquisadores da Akamai têm monitorado vários kits de golpes de distribuição de criptomoedas que se fazem passar por celebridades e marcas, principalmente Elon Musk e suas empresas associadas. Os golpes são entregues por meio de várias plataformas de mídia social, assim como por apps de mensagens diretas, como WhatsApp ou Telegram.
Os kits utilizam inúmeras técnicas de engenharia social para garantir o sucesso, como cronômetros de contagem regressiva, funcionalidade de bate-papo ao vivo e bots para "facilidade de entrada" no "brinde".
Com base no endereço IP, a maioria dos kits parece ser originária da Rússia e de outras partes da Europa.
Alguns dos kits tinham um recurso para enviar notas de volta ao invasor com informações sobre a vítima, bem como o website visitado.
Embora as especificações técnicas da maioria desses kits sejam relativamente simples, o nível de detalhe em vários ângulos desses golpes revela por que os golpes de criptomoeda continuam lucrativos.
Introdução
A luta para acabar com o phishing e outros golpes já dura muitos anos. Desde os namorados até o IRS,as vítimas podem mudar, mas os princípios subjacentes aos golpes permanecem os mesmos de 20 anos atrás. As vítimas de phishing são exploradas por aqueles que desejam tirar proveito de eventos atuais,situações pessoais e respostas emocionais.
Apesar da ampla conscientização pública, esses golpes continuam funcionando. Somente os danos da fraude de criptomoeda excederam US$ 1 bilhão desde 2021,e podemos esperar ver mais à medida que a criptomoeda se torna mais enraizada na sociedade.
Há vários anos, a criptomoeda e as mídias sociais têm sido terrenos férteis para os golpistas explorarem. Os agentes de ameaças podem criar contas falsas para se passar por marcas, celebridades e outras pessoas importantes. Analisamos um conjunto de kits de golpes que tiveram sucesso em roubar criptomoedas de vítimas esperançosas ao se passar por pessoas e marcas, e reunimos uma lista de coisas que você pode fazer para evitar ser vítima de um golpe de distribuição de criptomoedas. Nesta postagem, também exploraremos esses kits fraudulentos de uma perspectiva técnica para promover a conscientização.
O que são golpes de distribuição de criptomoedas?
Os golpes de distribuição de criptomoedas são uma forma de fraude que aproveita as mídias sociais e as campanhas de phishing para ganhar a confiança dos entusiastas da criptomoeda com a promessa de brindes de alto rendimento. Uma maneira comum é se passar por figuras notáveis com recursos financeiros significativos, como Elon Musk,que tem muitos seguidores e uma presença conhecida na comunidade de criptomoedas.
Várias ações ajudam a fazer com que esses golpes pareçam legítimos: desde calcular a popularidade da moeda na época, aproveitar de nomes e marcas conhecidas de forma ilegítima, até sequestrar contas do YouTube, criar de moedas falsas,e até mesmo fazer reuniões presenciais.
Como funcionam os golpes de distribuição de criptomoedas?
Embora o meio de entrega varie, o método básico do golpe é o mesmo: atrair uma vítima para o site do kit e convencê-la a transferir criptomoedas para a carteira fraudulenta.
Realizando o golpe
Esses golpes são realizados em vários níveis de elaboração. A forma mais comum é por meio de plataformas de mídia social, como Twitter, Telegram e YouTube. Essa tática, juntamente com os avanços de engenharia social que os invasores dão, permite que eles alcancem um grande público e aumentem suas chances de ataques bem-sucedidos.
A ideia é construir confiança suficiente com a vítima pretendida para que a vítima não tente verificar de maneira independente se isso é legítimo.
Você pode ver um exemplo disso na Figura 1. Esta captura de tela faz parecer que a pessoa que está sendo representada (Musk) endossou legitimamente o link que o golpista está enviando. Uma rápida olhada na conta do Twitter provaria que isso não é verdade, daí o esforço para impedir que a(s) vítima(s) pretendida(s) execute(m) essa ação.
Fig. 1: Captura de tela falsa de tweet fingindo legitimidade de golpe de criptomoeda
Também é prática comum que os golpistas respondam a longas conversas iniciadas pela entidade legítima como forma de reunir vítimas em potencial. Mesmo que o tweet inicial não tenha nada a ver com criptomoedas, já que a entidade pela qual se faz passar tem uma participação conhecida em criptomoedas, é lógico que seus seguidores também possam ter esse interesse. Responder a um tweet legítimo serve a dois propósitos: ampla disseminação, alavancando seu grande número de seguidores e fingir associação com a referida entidade (Figura 2).
Fig. 2: Exemplos de tweets que promovem o golpe
Também é comum ver esses golpes entregues por meio de plataformas de mensagens diretas, como WhatsApp ou Telegram. Existem grandes grupos com vários interesses nesses apps, e a criptomoeda é um assunto popular. Os invasores se infiltram nesses grupos e postam os links do golpe enquanto se fazem passar por um participante, a celebridade associada ou alguém próximo à celebridade associada (Figura 3). Esses podem parecer bastante legítimos; alguns deles até têm bots construídos para "facilidade de entrada".
Fig. 3: Exemplos de golpes entregues por WhatsApp e Telegram
Sites de kits de golpes
Por meio da engenharia social e da promessa de uma grande quantia em criptomoeda, atores nefastos tornaram esses golpes bastante lucrativos. Os invasores aproveitam os conhecidos do setor, como popularidade da moeda, celebridades ou outras figuras conhecidas e afiliação com organizações específicas para criar kits de phishing altamente realistas (Figura 4).
Fig. 4: Exemplo de site de kit de fraude de criptomoeda
Esses websites são projetados para criar confiança com a pessoa que os acessa. Como você pode ver na Figura 4, à parte o inglês levemente incorreto, os websites parecem legítimos. Isso está muito longe dos golpes de e-mail de texto sem formatação do passado; esses kits ainda têm "suporte técnico" de chatbot ao vivo para ajudar os usuários a "entrar no concurso".
Entre a imitação visualmente agradável das páginas de destino de campanhas de marketing legítimas, a pressão induzida pelo medo de ficar de fora (FOMO) do "cronômetro de contagem regressiva em tempo real" e o "endosso" relevante de celebridades, o nível de detalhe para garantir o sucesso dos golpes é indicativo de quão lucrativos eles são.
Um indivíduo experiente pode reconhecer um golpe imediatamente. Ainda assim, seria fácil para o usuário médio de mídia social cair nessa. O golpe em si é projetado para construir confiança. O kit requer "autenticação" para garantir que uma pessoa entre no concurso apenas uma vez. A vítima envia criptomoeda sob o pretexto de ser imediatamente reembolsada assim que a fase de autenticação for concluída. O invasor então pega o dinheiro e passa para a próxima vítima assim que isso ocorre.
Análise técnica de um dos kits de golpes distribuídos na dark web
Embora a aparência desses kits seja muito elegante, o código por trás deles é bastante simples. Os kits que observamos tinham alguma variação no conjunto de recursos, mas todos eram relativamente simples no back-end. Eles contêm uma mistura de HTML e JavaScript, com os seguintes elementos:
Um script que inicializa e configura o serviço Smart Live Chat Smartsupp no website (Figura 5)
Duas entradas ocultas que contêm os valores dos endereços Bitcoin e Ethereum
Elementos HTML para fins de estilo e exibição, incluindo um iframe exibindo um widget da criptomoeda de "coinlib.io" fornecendo alguma forma de autenticidade à página mostrando dados ao vivo
Alguns dos kits analisados também incluem a coleta de informações da vítima e um push para um canal do Telegram de propriedade do invasor. É provável que esse seja um método de redirecionamento da vítima com golpes adicionais.
Fig. 5: Um widget Smartsupp
Fig. 6: Código de um bot do Telegram
Como você pode ver na Figura 6, o invasor usa a atribuição de informações da API de IP e as envia para seu bot do Telegram. Observe a mensagem em russo, que se traduz como "Visitado ao website da Tesla".
Analisamos os endereços Bitcoin e Ethereum incluídos no kit, que provavelmente foram usados para receber pagamentos das vítimas. Como você pode ver nas Figuras 7 e 8, as carteiras mostram várias pequenas transações de fundos aceitos para um total de 0,3 BTC (0,31 ETH no momento da verificação).
Fig. 7: Captura de tela da carteira de bitcoin do kit de golpe de criptomoeda
Fig. 8: Representação visual de várias transações de criptomoedas na carteira fraudulenta
A presença do serviço Smartsupp Live Chat é um recurso que ganhou popularidade nos últimos meses com esses kits de fraude. É usado para (falsamente) indicar que o proprietário do website está tentando fornecer suporte ao cliente, o que pode gerar confiança nos usuários. Mesmo que as vítimas não usem o serviço, sua presença por si só gera confiança de forma subconsciente. É uma prática comum ter chatbots ou bate-papo ao vivo como um ponto de contato para os visitantes do website hoje em dia, então provavelmente pareceria suspeito se uma organização que se apresenta como a Tesla não tivesse algo semelhante no website. Isso é especialmente verdadeiro se a vítima pretendida tiver visitado um website legítimo, que possui um recurso de bate-papo.
Outro elemento particularmente interessante de alguns desses kits é o envio das informações da vítima de volta ao invasor, com uma nota de qual website foi visitado. Isso pode significar que os invasores estão executando vários golpes e procurando "construir uma base de clientes". Eles poderiam então redirecionar essas vítimas com outros golpes ou passar suas informações para outros atores nefastos. Além disso, eles podem rastrear esses websites fraudulentos para ver quais são os mais lucrativos. Esses golpes dependem da imitação de práticas de marketing legítimas, portanto, é lógico que eles também imitariam essa.
Kits de invasores vistos na prática
De acordo com seus endereços IP, a maioria dos kits de golpes que observamos era da Europa, com concentração na Rússia (Figura 9). Embora esse método não confirme a origem dos ataques, ele se correlaciona com outras atividades cibernéticas que observamos nessa região. Também houve vários ataques, que parecem estar na Holanda, Áustria, Itália, Alemanha e Ucrânia, que coletamos de nossas fontes internas de dados e ferramentas de digitalização populares, como Shodan.io.
Fig. 9: A maioria dos kits de golpes que observamos era da Europa, com concentração na Rússia
Amostra do kit em ação
https://tesla-show{.}net
https://elongivex{.}space
https://teslaevent{.}tech
https://tesla-m{.}com
https://spaceX-crew6{.}com
Como evitar ser vítima de um golpe de distribuição de criptomoedas
Esses kits fraudulentos continuarão a aparecer enquanto forem bem-sucedidos. A vigilância contra esses websites ilegítimos é a única maneira de garantir que você não se torne uma vítima. Ser capaz de detectar golpes de distribuição de criptomoedas, como os da Figura 10, é uma ferramenta crítica em seu arsenal. Existem vários sinais de alerta que podem ajudá-lo.
NÃO existem presentes grátis! Tenha extrema cautela ao encontrar qualquer website que pretende oferecer algo de graça. Mesmo em websites legítimos, não há presentes verdadeiramente gratuitos. Se parece bom demais para ser verdade, não é verdade mesmo.
Não envie criptomoedas para pessoas que você não conhece: Se alguém nas redes sociais prometer a você uma recompensa em troca de criptomoeda, não envie nada. É provável que seja um golpe.
Verifique e verifique novamente o status de verificação de uma conta: Mudanças recentes em torno da verificação no Twitter tornaram mais difícil discernir uma entidade legítima de uma ilegítima na plataforma. O simples selo de verificação azul é insuficiente, mas é um bom ponto de partida. Você pode ler mais sobre a política de verificação do Twitter no website da empresa.
Confira o nome de usuário: Uma rápida pesquisa pelo nome da celebridade falsificada + "mídias sociais" fornecerá a conta oficial. Se o nome de usuário da conta oficial for diferente daquele que está interagindo com você, aquele com quem você está lidando é falso.
A conta é nova: As celebridades têm contas ativas nas redes sociais há anos. Se a conta que você estiver vendo for totalmente nova, é provável que seja falsa.
Faça sua pesquisa: Brindes legítimos existem, mas é sempre melhor verificar. Um brinde legítimo de uma entidade desse tamanho teria vários comunicados à imprensa e artigos o anunciando. Se isso não existe, é provável que seja um golpe. Você também pode procurar a conta ou o número de telefone no Google e ver se outras pessoas o denunciaram como um golpe.
Se você se deparar com um golpe de sorteio, denuncie à plataforma e às autoridades. Ao denunciar a fraude, você pode ajudar a evitar que outras pessoas caiam nela.
Fig. 10: Mais exemplos de páginas de golpes de criptomoeda
Conclusão
Golpes de brindes estão se tornando um problema crescente nas redes sociais Eles exploram dois principais elementos emocionais: FOMO (o medo de ficar de fora) e a perspectiva de ganhos financeirossignificativos, possivelmente transformadores. Quando combinados com extensas táticas de engenharia social, esses golpes podem fazer com que as pessoas ignorem os ensinamentos sobre vigilância online.
No entanto, sob exame minucioso, esses kits podem ser relativamente fáceis de identificar. Manter-se informado sobre os novos métodos e medidas que os agentes de ameaças estão empregando é fundamental para evitar cair nesses golpes e manter sua criptomoeda segura. Lembre-se: Se parece bom demais para ser verdade, não é verdade mesmo!
Saiba mais
Os pesquisadores da Akamai estão constantemente procurando por esses tipos de golpes e outras atividades maliciosas. Para acompanhar as últimas pesquisas em todos os domínios de segurança, siga-nos no Twitter.
Indicadores de comprometimento:
