Van Facebook-advertenties naar fake news: zo werkt online investeringsfraude

Amsterdam, 29 april 2025 — Alleen in de VS al raakten consumenten in 2024 5,7 miljard dollar kwijt door investeringsfraude – genoeg om 5 ruimte-missies naar Mars te bekostigen. En dat komt niet omdat deze consumenten onzorgvuldig of roekeloos waren. Ze probeerden juist financiële zekerheid te creëren en een vangnet voor de toekomst te creëren. Maar in plaats daarvan werden ze vakkundig gemanipuleerd en opgelicht. Nieuw onderzoek van Infoblox Threat Intel zet twee van deze investeringsoplichters in de schijnwerpers: Reckless Rabbit en Ruthless Rabbit.

Reckless Rabbit en Ruthless Rabbit maken beide gebruik van Registered Domain Generation Algoritmes (RDGA) om grootschalige campagnes uit te voeren en slachtoffers te misleiden door het misbruiken van betrouwbare merken en namen. Deze algoritmes kunnen razendsnel duizenden domeinnamen aanmaken én registreren, en worden ingezet bij onder andere malware, phishing, spam, oplichting, gokken, Traffic Distribution Systems (TDS), VPN’s en advertenties. Doordat al deze domeinen daadwerkelijk geregistreerd worden, is het voor beveiligingssystemen bijzonder lastig om ze allemaal te blokkeren.

Reckless Rabbit
Reckless Rabbit gebruikt Facebook-advertenties om malafide investeringsplatforms te promoten. Ze gebruiken vervalste aanbevelingen door beroemdheden en creëren duizenden domeinnamen om detectie te vermijden. Kenmerken:

• Malafide Facebook-advertenties: Reckless Rabbit gebruikt Facebook-advertenties om slachtoffers te verleiden. Deze advertenties gebruiken vaak vervalste aanbevelingen van beroemdheden om vertrouwen te wekken.
• Wildcard Domain Name System (DNS)-respons: Domeinen worden zo opgezet dat een query naar ieder subdomein een respons krijgt. Dit zorgt voor veel ruis in DNS-verkeer, waardoor het moeilijk is om te achterhalen welke subdomeinen daadwerkelijk worden gebruikt voor fraudecampagnes.
• Wereldwijde targeting: Reckless Rabbit is actief in meerdere landen en gebruikt gelokaliseerde content om hun campagnes geloofwaardiger te maken.

Ruthless Rabbit
Ruthless Rabbit gebruikt een eigen cloaking-dienst om gebruikers te valideren. Ze richten zich met name op Oost-Europese landen, waar ze lokale nieuwswebsites of zelfs grote merknamen zoals WhatsApp en Meta nabootsen.

• Cloaking-dienst: Cybercriminelen maken gebruik van cloaking om phishingpagina’s of met malware geïnfecteerde websites te verbergen voor beveiligingssoftware en onderzoekers. Ruthless Rabbit gebruikt een cloaking-dienst om te checken wie toegang probeert te krijgen tot hun malafide website. Zo kunnen ze ongewenst verkeer eruit filteren (zoals cybersecurity-diensten), wat hun campagnes verborgen helpt te houden.
• Namaakwebsites: Deze actor gebruikt vaak namaakwebsites van echte nieuwsplatforms of grote merken, zoals Russische nieuwssites en WhatsApp, om slachtoffers binnen te halen.
• Dynamische URL-paden: Ruthless Rabbit gebruikt dynamische URL-paden voor hun landingspagina’s. De URL wordt dus constant veranderd om tracering moeilijker te maken.

Chaos en vertrouwen
Het succes van dit soort investeringsfraude is een combinatie van twee factoren: chaos en vertrouwen. In onrustige tijden zijn consumenten makkelijker verleid door de belofte van snel financieel gewin. Criminelen maken hier misbruik van door een gevoel van urgentie te creëren. Zo’n mooie investeringskans laat je immers toch niet schieten? Tegelijkertijd spelen ze in op vertrouwen door gebruik te maken van bekende en betrouwbare bronnen, zoals aanbevelingen door beroemdheden en gerenommeerde nieuwssites.

Bescherming tegen deze criminelen
Het feit dat deze Rabbits DNS gebruiken voor hun grootschalige en geavanceerde campagnes, betekent ook dat dit protocol gebruikt kan worden als beveiligingsmiddel tegen dit soort aanvallen. Via DNS kunnen de onderzoekers van Infoblox Threat Intel geautomatiseerde detectie toepassen en deze frauduleuze domeinen op grote schaal met elkaar in verband brengen. Organisaties die gebruikmaken van Protective DNS-diensten in combinatie met gedegen dreigingsinformatie kunnen al hun gebruikers effectief beschermen tegen deze fraudecampagnes door de toegang tot nepmedia en -platforms te blokkeren.

Gebruikers moeten verder extreem waakzaam zijn wanneer hen gevraagd wordt te investeren in een project of bedrijf. Controleer altijd een domein via een zoekmachine om te checken of het geen nepdomein of namaaksite betreft. Alle platforms die claimen dat ze worden aanbevolen of gesponsord door beroemdheden of topsporters moeten met argwaan worden behandeld. Besef je ook dat dit soort claims tegenwoordig makkelijk kunnen worden vervalst met behulp van AI.

Lees meer over de Rabbits in dit Infoblox blog, waar je ook extra voorbeelden vindt.