Des kits d’escroquerie de type « dpeage de porcs », ou romance en ligne, vendus sur le dark web Pour raliser des fraudes aux crypto-monnaies de type « pargne DeFi », selon Sophos

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Selon un rapport publi par l’entreprise de cyberscurit Sophos, les cybercriminels vendent la dernire volution des escroqueries en ligne sous forme de kits prts l’emploi sur le dark web, abaissant ainsi la barrire l’entre pour les escrocs du monde entier.

Dans les escroqueries traditionnelles de type « dpeage de porcs« , qui ont vu le jour en Chine et ont pris de l’ampleur pendant la pandmie, les criminels prtendent entretenir une relation romantique ou personnelle avec les victimes par l’intermdiaire d’applications de rencontres ou des mdias sociaux. Aprs avoir gagn leur confiance au fil de semaines de conversations virtuelles, les fraudeurs les manipulent pour qu’elles investissent dans de fausses crypto-monnaies. Une fois que les criminels ont soutir aux victimes le maximum de monnaie numrique, ils s’envolent avec les fonds, dpouillant parfois des innocents des conomies de toute une vie.

L’expression « dpeage de porcs » fait rfrence au processus d’engraissement des victimes par la flatterie et la camaraderie avant de les conduire un potentiel abattage financier. »L’escroquerie touche les gens l o ils sont le plus vulnrables, parce qu’ils essaient d’entrer en contact avec un autre tre humain« , explique Sean Gallagher, chercheur principal l’unit de recherche sur les menaces de Sophos, Sophos X-Ops.

Aujourd’hui, un type d’escroquerie est regroup et distribu pour la vente. Connue sous le nom de « pargne DeFi« , elle repose toujours sur l’tablissement par les fraudeurs d’un lien personnel avec les victimes. Dans ce cas, la fraude financire s’appuie sur des applications de crypto-monnaies bien connues, car elles suscitent moins de scepticisme chez les victimes, a expliqu M. Gallagher.

Les victimes sont persuades d’investir dans une « opportunit d’pargne DeFi« , en tlchargeant une application lgitime de portefeuille de crypto-monnaies et en entrant dans une adresse web malveillante fournie par l’escroc. Une fois que les utilisateurs ouvrent la page web, les fraudeurs peuvent accder au portefeuille de la victime et y voler des fonds, selon Sophos.

Les kits d’escroquerie l’pargne DeFi (finance dcentralise) comprennent une page web qui peut se connecter aux portefeuilles cryptographiques de la victime par l’intermdiaire de la blockchain Ethereum. Nombre de ces pages web comprennent galement une fonction de chat installe, que les criminels peuvent utiliser pour agir en tant que « support technique » pour leur victime, selon le rapport.

La banalisation de ces kits d’escroquerie a permis un plus grand nombre de fraudeurs d’entrer dans l’action, selon les chercheurs. Dans le pass, les escrocs taient souvent lis des rseaux criminels de langue chinoise en Asie du Sud-Est. Aujourd’hui, ils ont commenc merger partir d’adresses web en Thalande et en Afrique de l’Ouest, selon Sophos. « Il est trs simple pour quelqu’un de passer d’une escroquerie sur Instagram ou d’autres types d’escroqueries par ingnierie sociale que nous avons vues au cours de la dernire dcennie, ce type d’opration« , a dclar M. Gallagher.

Avec des douzaines de nouveaux kits apparaissant chaque jour, les escroqueries DeFi sont l’activit qui se dveloppe le plus rapidement dans le secteur de la boucherie de porcs, a dclar M. Gallagher. Selon le rapport, le systme d’pargne DeFi vite certains des obstacles techniques des techniques plus traditionnelles, comme l’installation d’une application mobile personnalise ou le versement d’un acompte aux escrocs.

L’un des rseaux DeFi tudis par M. Gallagher a rapport 3 millions de dollars sur une priode de trois mois, un montant que les criminels utilisant des techniques plus traditionnelles ont mis presque deux fois plus de temps voler. Le travail n’est pas termin une fois que les escrocs ont vid le portefeuille de leurs victimes. Selon M. Gallagher, les criminels leur disent qu’ils peuvent rcuprer les fonds en ajoutant de l’argent.

Lorsqu’une victime finit par rompre le contact, les criminels la relancent avec insistance sur d’autres plateformes, telles que Facebook, WhatsApp et Telegram. Certains utilisent l’IA gnrative pour crer des messages en anglais plus fluides et plus crdibles, selon le rapport. Ils utilisent ChatGPT pour crer un message texte disant : « Pourquoi as-tu coup le contact avec moi ? Tu me manques. Je t’aime. S’il te plat, reviens« , a dclar M. Gallagher.

pargne DeFi : Nouvelle forme d’escroquerie aux crypto-monnaies de type « dpeage de porcs« 

Au printemps 2023, un jeune retrait a t entran dans ce qui allait devenir une « relation » horriblement coteuse. Attir par une application de rencontre par quelqu’un qui prtendait vivre dans sa rgion, il a finalement t convaincu d' »investir » dans ce qu’on lui a dit tre un pari sr, quelque chose appel « minage de monnaie numrique« . Il a fini par investir plus de 20 000 dollars dans ce projet, puisant ainsi son pargne-retraite personnelle.

L’escroquerie tait une nouvelle variante de ce qui est peut-tre devenu le segment de la fraude en ligne qui connat la croissance la plus rapide, reprsentant des milliards de dollars de pertes pour des milliers de victimes rien qu’aux tats-Unis : la fraude l’investissement base sur les crypto-monnaies. En raison de la facilit avec laquelle les crypto-monnaies ignorent les frontires et permettent aux rseaux criminels multinationaux d’obtenir et de blanchir rapidement des fonds, et en raison de la confusion gnralise sur le fonctionnement des crypto-monnaies, un large ventail d’escroqueries en ligne a cherch convaincre les victimes de convertir leurs conomies personnelles en crypto-monnaies, puis de les leur voler.

Parmi ces activits criminelles organises, aucune ne semble aussi rpandue que le sha zhu pan (« dpeage de porcs », 杀猪盘), un modle d’escroquerie sur lequel repose le crime perptr contre cette victime, « Frank« . Apparues en Chine au dbut de la pandmie de COVID, les escroqueries au dpeage de porcs se sont dveloppes dans le monde entier depuis lors, devenant un phnomne frauduleux de plusieurs milliards de dollars. Ces escroqueries ont fait plus que voler de la crypto-monnaie ; elles ont dpouill des personnes de leurs conomies et, dans un cas signal, une escroquerie a entran la faillite d’une petite banque en pigeant un agent de banque.

L’anne dernire, alors que des versions bien rodes de ces escroqueries persistent, on a assist l’essor d’une version beaucoup plus sophistique, qui utilise la puissance de la blockchain elle-mme pour contourner la plupart des dfenses fournies par les vendeurs d’appareils mobiles et donner aux escrocs un contrle direct sur les fonds que les victimes convertissent en crypto-monnaies. Ces nouvelles escroqueries, qui utilisent des applications frauduleuses de finance dcentralise (DeFi), sont une volution des escroqueries de « liquidity mining » dcouvertes en 2022 et qui marient le scnario de la fausse romance et de la fausse amiti perfectionn par les oprations de dpeage de porcs prcdentes avec des contrats intelligents et des portefeuilles mobiles de crypto-monnaies.

Ces escroqueries hybrides « pargne DeFi  » surmontent, d’un point de vue technique, un certain nombre de pierres d’achoppement des prcdentes escroqueries au dpeage de porcs :

  • Elles ne ncessitent pas l’installation d’une application mobile personnalise sur l’appareil mobile de la victime. Certaines versions des applications de dpeage de porcs exigeaient que les cibles convaincues suivent des tapes compliques pour installer une application, ou qu’elles chappent l’examen des boutiques d’applications d’Apple et de Google afin de pouvoir tre installes directement. Les escroqueries DeFi utilisent des applications fiables de dveloppeurs relativement connus, et ne demandent la victime que de charger une page web partir de cette application.
  • Ils n’exigent pas que les crypto-monnaies soient dposes dans un portefeuille contrl par eux, ni qu’un dpt soit effectu par virement bancaire, de sorte que la victime a l’illusion d’avoir un contrle total sur ses fonds. Jusqu’au moment o le pige est dclench, les dpts en crypto-monnaie des victimes sont visibles dans les soldes de leurs portefeuilles, et les escrocs ajoutent mme des jetons de crypto-monnaie supplmentaires leurs comptes pour crer l’illusion d’un profit.
  • Ils dissimulent le rseau de portefeuilles qui blanchit les crypto-monnaies voles derrire un porte-monnaie contractuel – une adresse qui prend le contrle des portefeuilles des victimes lorsque celles-ci « rejoignent » l’escroquerie.

Livraison spciale

En 2020, on a constat que les escrocs du dpeage de porcs commenaient utiliser des applications Apple iOS et Android dans le cadre de leurs escroqueries, en recourant un certain nombre de techniques pour contourner l’examen de la boutique d’applications, notamment l’utilisation de profils d’appareils mobiles pour distribuer de vritables applications iOS et des raccourcis Web avec des outils de dploiement ad hoc gnralement utiliss par les bta-testeurs, les petits groupes et les entreprises.

En 2022, on a dcouvert que les escrocs taient en mesure de placer des applications dans l’App Store d’Apple et le Play Store de Google, en contournant les contrles de scurit des applications et en modifiant le contenu rcupr distance pour charger de nouveaux contenus malveillants. Il tait ainsi beaucoup plus facile de manipuler les victimes pour qu’elles tlchargent l’application, car il n’tait pas ncessaire d’installer un profil d’appareil ou de s’inscrire la gestion de l’appareil mobile. Mais les listes d’applications dans les magasins peuvent toujours veiller les soupons.

Au dbut de l’anne 2022, on a assist l’mergence d’un nouveau type d’escroquerie : le faux pool d’exploitation de liquidits. Au dpart, ces escroqueries taient principalement le fait de groupes de spam sur les mdias sociaux et de canaux Telegram, qui n’avaient gure recours l’instauration d’un climat de confiance sur le long terme, comme le font les rseaux de dpeage de porcs.

Au lieu de cela, ils se sont concentrs sur la vente de l’escroquerie elle-mme, base sur un « vrai » plan d’investissement passif DeFi compliqu, conceptuellement similaire aux comptes de courtage du march montaire dans la finance traditionnelle, mais excut par le biais de contrats intelligents avec un change de crypto-monnaies automatis.

Sophos tait au milieu d’une recherche de suivi sur ces escroqueries au minage de liquidits lorsqu’ils ont t contacts par une victime d’une nouvelle version de ces escroqueries. Les organisations criminelles l’origine de l’escroquerie de « Frank » et de centaines d’autres victimes comme lui utilisent les mmes tactiques que celles qu’elles ont mises au point avec les modles prcdents de dpeage de porcs pour attirer les victimes, en ciblant principalement les personnes seules et vulnrables par le biais d’applications mobiles et de sites web de rencontres, ainsi que d’autres mdias sociaux.

Organisation

Selon l’organisation l’origine de l’escroquerie, les organisations de type « dpeage de porcs » sont divises en plusieurs parties distinctes, dotes d’outils distincts. Il y a un « front office » (l’opration face au « client » qui attire, engage et instruit les victimes) et un « back office » (les oprations informatiques, le dveloppement de logiciels, le blanchiment d’argent et la comptabilit). Ces oprations peuvent tre regroupes gographiquement, mais elles sont souvent trs disperses, l’quipe du back office tant rpartie l’chelle internationale.

Le front office fait appel des quipes de « clavistes » – souvent des personnes attires en Chine, Tawan, aux Philippines, en Malaisie et dans d’autres pays asiatiques par la promesse d’un emploi bien rmunr dans le domaine de la technologie ou dans un centre tlphonique – afin d’attirer l’attention des cibles potentielles. Ils travaillent partir de scripts et d’instructions de leurs manipulateurs, envoyant des messages et des images aux cibles pour les convaincre qu’ils sont des « amis » ou qu’ils ont un intrt romantique pour elles. Dans certains cas, un jeune homme ou une jeune femme joue le rle de « visage » de l’escroquerie et passe des appels vido programms avec les victimes ; dans d’autres cas, le « visage » est entirement fabriqu partir de mdias achets, vols ou gnrs par l’intelligence artificielle.

Les victimes font souvent l’objet d’un harclement continu de la part des escrocs une fois qu’elles se sont dsengages, dans le but de les faire revenir pour les escroquer nouveau. Parfois, ils utilisent les informations recueillies par la victime pour la contacter par d’autres moyens – y compris des SMS, des courriels et des contacts sur d’autres plateformes de mdias sociaux – sous l’apparence d’une assistance technique pour les applications de crypto-monnaie, de « spcialistes de la rcupration » de crypto-monnaie ou d’un « amant » abandonn.

Le back-office s’occupe des exigences logistiques telles que l’infrastructure Internet, l’enregistrement des domaines, l’acquisition ou le dveloppement d’applications frauduleuses et la configuration du processus de blanchiment d’argent.

La bote outils des escrocs

Les exigences de l’infrastructure du front office sont les suivantes :

  • Appareils mobiles

    Ils sont gnralement enregistrs avec un compte sans fil prpay ou sont configurs avec un service de voix sur IP et d’envoi de SMS afin d’tre enregistrs sur des plateformes de messagerie.

  • Applications de messagerie scurises

    WhatsApp est la plateforme prfre des cibles en dehors de la Chine. Telegram est galement utilis, tout comme Skype. Les comptes enregistrs sur un appareil sont souvent partags sur plusieurs autres appareils (tels que des PC) afin que les travailleurs de ligne (« clavistes ») puissent engager la victime par quipes.

  • Mdias sociaux et profils de rencontre

    Les escroqueries plus sophistiques utilisent des comptes vols ou frauduleux sur Facebook et LinkedIn pour tayer leur histoire. Les profils sociaux et de rencontres peuvent utiliser des photos et des vidos d’un porte-parole dsign (souvent fortement modifies), des images et des vidos voles sur d’autres comptes et plateformes, ou des images gnres par l’IA.

  • Une connexion VPN

    Si certains rseaux d’escroquerie n’ont pas pris la peine de dissimuler la source de leur trafic Internet, d’autres ont utilis des services VPN privs pour empcher la golocalisation.

    Un portefeuille de crypto-monnaies : il sert montrer comment se connecter l’escroquerie et convaincre la cible de la lgitimit de la manuvre.

  • L’IA gnrative

    On a constat une augmentation de l’utilisation de ChatGPT ou d’autres grands modles de langage (LLM) d’IA gnrative pour crer des messages textuels envoyer aux cibles. Les LLM sont utiliss par les clavistes pour donner l’impression que leur conversation dans la langue de la cible est plus fluide et pour gagner du temps. Dans le cas de « Frank« , l’IA a t utilise pour rdiger un appel reprendre contact avec les escrocs sous la forme d’une lettre d’amour aprs qu’il les a bloqus sur WhatsApp, envoye via Telegram.

L’infrastructure de back-office varie en fonction de l’escroquerie. Dans le cas des escroqueries au minage DeFi, les exigences sont un peu plus simples que dans le cas des escroqueries bases sur de fausses applications d’change de crypto-monnaies ou d’autres applications d’change, car il n’est pas ncessaire de distribuer des applications au-del de la mise en place de sites DeFi malveillants.

  • Hbergement web

    Pour tous les types d’escroqueries, l’hbergement se fait gnralement par l’intermdiaire d’un revendeur d’un grand fournisseur de services en nuage – Alibaba, Huawei Clouds, Amazon CloudFront, Google et d’autres – et est souvent plac derrire le rseau de diffusion de contenu de Cloudflare.

  • Domaines

    Enregistrs par l’intermdiaire de bureaux d’enregistrement de domaines chinois ou amricains bas prix, ou dans certains cas par l’intermdiaire d’Amazon Registry via un partenaire. Les noms de domaine comprennent gnralement un terme ou une marque lis aux crypto-monnaies (DeFi, USDT, ETH, Trust, Binance, etc.), et un ou deux peuvent tre combins avec des chiffres et du texte crs ou incrments de manire alatoire lorsque des multiples sont crs.

  • Kit d’application DeFi

    Page web alimente par JavaScript et utilisant des interfaces de programmation « Web 3.0 » pour se connecter aux portefeuilles via la blockchain Ethereum. La plupart des fausses applications DeFi utilisent la bibliothque d’interface utilisateur React, et nombre d’entre elles sont accompagnes d’applications de chat in-app qui permettent aux escrocs de jouer le rle de « support technique » pour la cible. Ce kit peut tre dvelopp organiquement par le rseau criminel ou obtenu sur des marchs souterrains. Le mme kit peut tre facilement mis en place sur des centaines de domaines ; Sophos a trouv plusieurs centaines d’exemples des kits prsents ci-dessous hbergs sur diffrents services et avec diffrents bureaux d’enregistrement de domaines.

Un kit d’escroquerie « pargne DeFi » a t dcouvert dans plus de 300 domaines.

Un kit similaire de « liquidity mining pool » fonctionne sur plus de 100 domaines identifis par Sophos.

Une autre variante d’un kit d’escroquerie minire hberge sur des centaines de domaines.

  • Nuds de crypto-monnaie

    Ces applications de la blockchain Ethereum peuvent rsider dans le nuage ou sur un ordinateur contrl localement et exploit par les escrocs. Elles font office de « portefeuille de contrat » avec lequel les victimes tablissent un contrat intelligent et excutent les transactions qui raffectent les jetons de crypto-monnaie de l’adresse du portefeuille de la victime vers les portefeuilles des escrocs des fins de blanchiment.

  • Portefeuilles de destination et de retrait

    Les portefeuilles de destination sont gnralement des adresses de portefeuilles « hors ligne » qui servent de point de passage pour les jetons de crypto-monnaie vers lesquels les escrocs se dirigent. Les crypto-monnaies voles sont ensuite transfres sur un compte d’une bourse de crypto-monnaies – dans certains cas, un compte compromis ou cr l’aide de fausses informations d’identification – avant d’tre encaisses. Les crypto-monnaies voles peuvent passer par plusieurs portefeuilles intermdiaires et tre rparties sur plusieurs comptes d’change pour tenter d’chapper la traabilit.

  • Comptes bancaires

    La phase finale du blanchiment d’argent dans le cadre de ces escroqueries consiste en un encaissement depuis une bourse de crypto-monnaies vers un compte bancaire contrl par l’escroc. Dans les escroqueries que nous avons suivies, la destination tait une banque de Hong Kong. Celles-ci sont souvent associes des socits crans pour brouiller davantage la piste des transactions ; une affaire rcente des services secrets amricains a rvl qu’un rseau partiellement bas aux tats-Unis utilisait une combinaison de comptes bancaires amricains et trangers lis des socits crans pour blanchir 80 millions de dollars.

volution future

Tout au long de son enqute sur les dernires escroqueries au DeFi mining et autres escroqueries au dpeage de porc, Sophos a constat une sophistication technique croissante, dont une grande partie vise empcher l’analyse des schmas ou viter les plateformes de portefeuilles qui ont interdit les escroqueries prcdentes.

Les « codes d’invitation » en taient une premire version, qui ncessitait une interaction entre la cible et les escrocs pour obtenir l’accs l’application DeFi escroque. Des mesures plus rcentes ont t prises :

  • L’utilisation de scripts de dtection d’agents pour bloquer ou rediriger les navigateurs de bureau et mobiles non associs des portefeuilles de crypto-monnaies afin d’chapper l’analyse, et pour restreindre les connexions des applications de portefeuilles mobiles spcifiques (vulnrables).
  • Utilisation de « WalletConnect » ou d’autres API tierces pour masquer l’adresse du portefeuille contractuel utilis par le stratagme.
  • Dtection des soldes des portefeuilles pour empcher les portefeuilles Ethereum vides de se connecter et de dtecter l’adresse du portefeuille du contrat.

On peut s’attendre ce que les escroqueries au minage de DeFi constituent un pourcentage croissant des escroqueries au dpeage de porc l’avenir, parce qu’elles peuvent plus facilement tre regroupes pour tre vendues et distribues d’autres cybercriminels, et parce qu’elles peuvent tre facilement adoptes par les oprateurs d’escroqueries la romance existants. Cette prvision est base sur les centaines de copies de certains kits observes par Sophos dans la nature et sur leur adoption par des cybercriminels dans d’autres rgions.

Savoir, c’est la moiti de la bataille

Comme ces escroqueries utilisent des logiciels lgitimes et changent frquemment d’hbergement web et d’adresses de crypto-monnaie, elles ne sont souvent dtectes qu’une fois qu’elles ont commenc – souvent par les banques et les courtiers en crypto-monnaie qui sont alerts par des volumes importants de transactions effectues par des clients qui n’ont jamais chang de crypto-monnaie auparavant et qui dclenchent des alertes de blanchiment d’argent et de fraude bancaire. Sophos continue rechercher activement les sites qui hbergent ces escroqueries et alerter les fabricants d’appareils mobiles, les dveloppeurs d’applications de portefeuilles et les bourses de crypto-monnaies, mais l’ampleur de ces escroqueries fait qu’il est impossible de se dfendre contre chacune d’entre elles.

La meilleure dfense contre ces escroqueries reste l’ducation du public. Le Rseau de soutien la cybercriminalit propose du matriel pdagogique sur les escroqueries amoureuses et les escroqueries l’investissement, qui peut aider les gens reprer les piges de la criminalit de type « dpeage de porc« . Mais pour atteindre les personnes les plus vulnrables ces escroqueries, il faudra peut-tre une touche plus personnelle – de la part des amis, de la famille et des connaissances en qui ils ont confiance.

Source : Rapport de Sophos

Et vous ?

Pensez-vous que ce rapport est crdible ou pertinent ?

Quel est votre avis sur le sujet ?

Voir aussi :

Les Stablecoins ont permis de raliser 40 milliards de dollars de cryptocriminalit depuis 2022. Ces stablecoins ont t impliqus dans 70 % des transactions d’escroquerie en cryptomonnaie en 2023

La fraude lie aux cryptomonnaies augmente de faon exponentielle, selon un rapport de la FTC

Cybercriminalit : des arnaqueurs soutirent des millions de dollars d’autres arnaqueurs, selon Sophos



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.