סופוס חושפת שתי הונאות CryptoRom
סופוס (Sophos), חברת אבטחת המידע והסייבר המובילה וספקית פתרונות אבטחת סייבר כשירות, פרסמה השבוע מחקר של שתי הונאות CryptoRom פעילות ונרחבות (המוכרות בסינית בשם ‘שה זו פאן’ או בתרגום חופשי: פיטום חזירים), המופעלות על ידי ארגוני פשיעה מאסיה. מדובר בסוג הונאה מתוחכם ומאורגן שמטרתו לגנוב מהקורבנות סכומים גבוהים. אחד מארגוני הפשיעה פועל מהונג קונג ומפעיל זירה מזויפת למסחר בזהב, בעוד שהארגון השני שפועל מקמבודיה עם קשרים לארגוני פשיעה מסין, הצליח כבר לגנוב חצי מיליון דולר במטבעות מבוזרים (קריפטוגרפים) מקורבנות ההונאה תוך חודש אחד בלבד.
בשני המקרים, טירגטו פושעי הסייבר את שון גלאגר, חוקר האיומים הראשי בסופוס, ישירות בטוויטר ובמסרונים, ולא דרך אפליקציות היכרויות כפי שהיה נהוג עד כה. במחקר הראשון מתוך שניים שפורסם היום, “Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam,’ נחשפת דרך הפעולה של ארגון פשיעה מהונג קונג הממחישה את רמת התחכום שאליה הגיעו ההונאות מהסוג הזה.
“כבר שנתיים שאנחנו עוקבים אחרי הונאות CryptoRom האלו המתבצעות דרך אפליקציות היכרויות, ומדווחים עליהן. פושעי הסייבר יוצרים קשר עם קורבנותיהם באפליקציות היכרויות, רוקמים איתם יחסי אמון ואז משכנעים אותם להשקיע במטבעות מבוזרים (קריפטוגרפים) דרך אפליקציות מסחר זדוניות שבאמצעותן הם גונבים את כספם. אבל הונאות מסוג CryptoRom הן רק קצה הקרחון. מאז פרוץ מגפת הקורונה, הפכו ההונאות האלו לנרחבות יותר ומתוחכמות יותר. כיום, פושעי הסייבר הרחיבו את פעילותם לרשתות חברתיות, מסרונים ואפליקציות מסרים מיידים ומפתים את קורבנותיהם גם באמצעות סיפורים על התעשרות ממסחר בזהב ומתכות יקרות נוספות. הם הולכים על כל הקופה,” מסכם שון גלאגר, חוקר איומים ראשי בסופוס.
בהונאה הראשונה שחקר גלאגר, הוא התכתב במשך שלושה חודשים עם אחד מפושעי הסייבר לאחר שזה פנה אליו ישירות בטוויטר. תוך זמן קצר, ניסה הנוכל - שהתחזה לאישה בת ארבעים מהונג קונג - להעביר את השיחה לוואטסאפ. שם, הוא ניסה לשכנע את גלאגר לקנות זהב בזירה מזויפת, תוך שהוא מתפאר בקשריה של הדמות שהוא מגלם עם ‘הדוד מרטין’, לכאורה אנליסט לשעבר בחברת ההשקעות גולדמן זקס. פושע הסייבר הפנה את גלאגר לאתר המתחזה בדייקנות רבה לזה של חברת בנקאות יפנית לגיטימית בשם Mebuki Financial, שדרכו מתבצע המסחר במטבע זר ומתכות יקרות.
אמנם רכיב ההנדסה החברתית של ההונאה הזאת לא היה מתוחכם כמו במקרים אחרים שחקרה סופוס, אבל הוא חשף את היכולות הטכנולוגיות המשופרות של ארגוני הפשיעה האלה ואת רמת התחכום הגדלה של ההונאות מהסוג הזה. פושעי הסייבר משתמשים באתרים מזויפים שאותם הם מקדמים ביעילות במנועי החיפוש, כמו זה המתחזה לאתר של חברת הבנקאות Mebuki כדי ליצור את הרושם כי הפעילות נעשית באתר לגיטימי. הם גם משתמשים בגרסה פרוצה של אפליקציית מסחר לגיטימית (MetaTrader 4) שלה הוסיפו קוד זדוני המשמש אותם לגניבת כספי הקורבנות. כמו כן, הם מחליפים לעתים קרובות את התשתית
צילום: יח”צ סופוס
הטכנולוגיות המשמשת לביצוע ההונאה כדי להקשות על רשויות האכיפה להתחקות אחרי ההונאה ולעצור אותה.
“שתי ההונאות עדיין פעילות ויהיה קשה לעצור אותן. אמנם סימנו את שמות דומיינים וכתובות ה־IP שבהם השתמש ארגון הפשיעה מהונג קונג לביצוע ההונאה ככאלה המשמשים לפעילות זדונית, אבל מאז כבר עברו הפושעים להשתמש בשמות דומיינים חדשים והקימו תשתית חדשה ומלאה להפצת הגרסה הזדונית של אפליקציית המסחר MetaTrader שיצרו. בשלב זה מדובר במשחק של חתול ועכבר.
“לרוע המזל, ניסיונות ההונאה האלה רק מתגברים, מתפשטים לאזורים גאוגרפיים חדשים, לפלטפורמות חדשות ואין דרך לעצור אותם. גם המעבר ממטבעות מבוזרים (קריפטוגרפים) לזהב ממחיש עד כמה קל לפושעי הסייבר למצוא נישה רווחית חדשה. המשמעות היא שההגנה הטובה והיעילה ביותר נגד סוגי ההונאות האלה היא העלאת המודעות. על הציבור להיות ער לכך שמסרונים, הודעות באפליקציות היכרויות או הודעות פרטיות ברשתות חברתיות מאדם זר שפונה אליהם ומציע לעבור לוואסטסאפ או לטלגרם עלולים להיות ניסיונות הונאה, ובפרט אם בן או בת שיחם מתפארים בעושר שהושג לכאורה מהשקעה במטבעות מבוזרים (קריפטוגרפים), מסחר במתכות יקרות או אפיקי השקעה אחרים,” מסכם גלאגר.
