Sophos onderzoekt twee actieve cyberfraudebendes en geeft aan dat oplichters hun CryptoRom-praktijken aan het uitbreiden zijn

Breda, 14 februari 2023 – Sophos, een wereldwijde leider in het innoveren en bieden van cybersecurity as a service, heeft vandaag details vrijgegeven over twee uitgebreide en nog steeds operationele bendes die vanuit Azië aan pig butchering of sha zhu pan doen (oplichterij met uitgebreide en langdurige financiële fraude die slachtoffers duizenden dollars kan kosten). De ene constructie bevindt zich in Hong Kong en gebruikt een valse marktplaats voor goudhandel; de andere, gevestigd in Cambodja, heeft banden met de Chinese georganiseerde misdaad en heeft de oplichters in één maand tijd al $500.000 in cryptomunten opgebracht. In beide constructies hadden de oplichters het op Sean Gallagher gemunt, hoofdonderzoeker bedreigingen bij Sophos. Ze hadden hem rechtstreeks via Twitter en sms benaderd in plaats van via datingapps, de traditionele methode om slachtoffers te vinden en aan te spreken. Deel één van de tweedelige reeks ‘Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam’ is vandaag gepubliceerd en gaat over de interne werking van de bende in Hong Kong. Het legt uit hoe deze oplichters technisch steeds verfijnder te werk gaan om doelwitten in de val te lokken en te misleiden.

“Twee jaar lang hebben we een subgenre van pig butchering, ook wel CryptoRom genaamd, onderzocht en er verslag over uitgebracht. Dit is een specifiek type van pig butchering gebaseerd op een romantische list: oplichters benaderen mogelijke slachtoffers op datingapps en vragen hen dan om te investeren in frauduleuze apps voor cryptohandel. Maar CryptoRom is slechts het topje van de ijsberg. Sinds de start van de pandemie is dit soort cyberfraude enorm uitgebreid. De oplichters spreken mensen nu aan op alle grote socialemediaplatformen en zelfs via rechtstreekse berichten. Bovendien beperken ze zich niet meer tot cryptomunten, maar gebruiken ze ook goud en andere valuta of beleggingsmiddelen. Ze gaan echt tot het uiterste”, zegt Sean Gallagher, hoofdonderzoeker bedreigingen bij Sophos.

Bij de eerste zaak die Gallagher onderzocht, heeft hij drie maanden lang contact gehad met een van de oplichters nadat ze hem rechtstreeks via Twitter had benaderd. De oplichter deed zich voor als een veertigjarige vrouw uit Hong Kong die al snel probeerde om het gesprek naar WhatsApp te verplaatsen. Van daaruit probeerde ze Gallagher te overtuigen om in een valse marktplaats voor goudhandel te investeren. Ze had immers een ‘oom Martin’ – naar verluidt een voormalig analist bij Goldman Sachs – op wie ze een beroep kon doen. Vervolgens leidde ze hem naar een website die de branding van Mebuki Financial had gekopieerd, een echt Japans bankbedrijf. Daar zou de valuta- en grondstoffenhandel plaatsvinden.

Hoewel de sociale manipulatie achter deze fraude niet zo goed uitgewerkt was als bij andere gevallen die Sophos heeft onderzocht, bleek dat de techniek van deze soort groepen aanzienlijk bijgeschaafd was. De oplichters gebruikten een doordachte combinatie van zeer doeltreffende SEO, knappe namaakpagina’s waar nieuwe klanten zich konden ‘registreren’ op de valse Mebuki-website, en een nepversie van een echte beleggingsapp (MetaTrader4) met bijkomende malware om de slachtoffers geld afhandig te maken. Bovendien updaten ze de oplichtinfrastructuur van hun activiteit regelmatig om niet ontdekt te worden.

“Beide bendes zijn nog steeds actief, en het zal moeilijk worden om ze uit te schakelen. We hebben de domeinen en IP-adressen van de aanvallers in Hong Kong gemarkeerd als kwaadaardig, maar ze hebben hun oplichtpraktijken reeds overgebracht naar nieuwe domeinen. Ze beschikken al over een nieuwe download-infrastructuur voor hun namaakversie van de app MetaTrader, dus op dit moment spelen we in essentie het spelletje ‘whack-a-mole’. Dat is jammer genoeg de realiteit, aangezien deze praktijken steeds uitgebreider worden en zich op steeds meer regio’s en platforms richten. Bovendien toont de overstap van crypto naar goud aan hoe gemakkelijk deze groepen een nieuwe niche vinden om uit te buiten. We kunnen ons dus het beste verdedigen door het brede publiek bewust te maken van dit soort oplichtpraktijken. Mensen zouden altijd achterdochtig moeten zijn wanneer ze een sms of bericht op een datingapp of sociale media krijgen van iemand die ze niet kennen, die dan voorstelt om het gesprek op WhatsApp of Telegram voort te zetten – vooral wanneer ze beweren grote rijkdom verworven te hebben door te beleggen in crypto of iets anders”, zegt Gallagher.

Over Sophos
Sophos is een wereldwijde leider en innovator van geavanceerde cyberbeveiligingsoplossingen, waaronder Managed Detection and Response (MDR), incidentresponsservices en een breed portfolio van endpoint-, netwerk-, e-mail- en cloudbeveiligingstechnologieën die organisaties helpen cyberaanvallen te verslaan. Als een van de grootste pure-play aanbieders van cyberbeveiliging verdedigt Sophos meer dan 500.000 organisaties en meer dan 100 miljoen gebruikers wereldwijd tegen kwaadwillenden, ransomware, phishing, malware en meer. De diensten en producten van Sophos zijn verbonden via de cloudgebaseerde beheersconsole Sophos Central en worden mogelijk gemaakt door Sophos X-Ops, de domeinoverschrijdende bedreigingsinformatie-eenheid van het bedrijf. Sophos X-Ops-intelligentie verrijkt het hele Sophos Adaptive Cybersecurity Ecosystem, inclusief een gecentraliseerd data lake dat gebruikmaakt van een uitgebreide reeks open API’s die beschikbaar zijn voor klanten, partners, ontwikkelaars en andere leveranciers van cyberbeveiliging en informatietechnologie. Sophos biedt cybersecurity-as-a-service aan organisaties die volledig beheerde, kant-en-klare beveiligingsoplossingen nodig hebben. Klanten kunnen hun cyberbeveiliging ook rechtstreeks beheren met het beveiligingsoperatieplatform van Sophos of een hybride aanpak gebruiken door hun interne teams aan te vullen met de diensten van Sophos, waaronder het opsporen en verhelpen van bedreigingen. Sophos verkoopt via resellerpartners en managed service providers (MSP’s) wereldwijd. Het hoofdkantoor van Sophos is gevestigd in Oxford, VK. Meer informatie is beschikbaar op www.sophos.com.