Sophos, een wereldwijde leider in het innoveren en bieden van cybersecurity as a service, heeft vandaag details vrijgegeven over twee uitgebreide en nog steeds operationele bendes die vanuit Azië aan pig butchering of sha zhu pan doen. Dit is oplichterij met uitgebreide en langdurige financiële fraude die slachtoffers duizenden dollars kan kosten.
De ene constructie bevindt zich in Hong Kong en gebruikt een valse marktplaats voor goudhandel; de andere, gevestigd in Cambodia, heeft banden met de Chinese georganiseerde misdaad en heeft de oplichters in één maand tijd al $ 500.000 in cryptomunten opgebracht.
In beide complotten hadden de oplichters het op Sean Gallagher gemunt, hoofdonderzoeker bedreigingen bij Sophos. Ze hadden hem rechtstreeks via Twitter en sms benaderd in plaats van via datingapps, de traditionele methode om slachtoffers te vinden en aan te spreken.
Deel één van de tweedelige reeks ‘Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam’ is vandaag gepubliceerd en gaat over de interne werking van de bende in Hong Kong. Het legt uit hoe deze oplichters technisch steeds verfijnder te werk gaan om doelwitten in de val te lokken en te misleiden.
“Twee jaar lang hebben we een subgenre van pig butchering, ook wel CryptoRom genaamd, onderzocht en er verslag over uitgebracht. Dit is een specifiek type van pig butchering gebaseerd op een romantische list: oplichters benaderen mogelijke slachtoffers op datingapps en vragen hen dan om te investeren in frauduleuze apps voor cryptohandel. Maar CryptoRom is slechts het topje van de ijsberg. Sinds de start van de pandemie is deze soort cyberfraude enorm uitgebreid. De oplichters spreken mensen nu aan op alle grote socialemediaplatformen en zelfs via rechtstreekse berichten. Bovendien beperken ze zich niet meer tot cryptomunten, maar gebruiken ze ook goud en andere valuta of beleggingsmiddelen. Ze gaan echt tot het uiterste”, zegt Sean Gallagher, hoofdonderzoeker bedreigingen bij Sophos.
Bij de eerste zaak die Gallagher onderzocht, heeft hij drie maanden lang contact gehad met een van de oplichters nadat ze hem rechtstreeks via Twitter had benaderd. De oplichter deed zich voor als een veertigjarige vrouw uit Hong Kong die al snel probeerde om het gesprek naar WhatsApp te verplaatsen. Van daaruit probeerde ze Gallagher te overtuigen om in een valse marktplaats voor goudhandel te investeren. Ze had immers een ‘oom Martin’ – naar verluidt een voormalig analist bij Goldman Sachs – op wie ze een beroep kon doen. Vervolgens leidde ze hem naar een website die de branding van Mebuki Financial had gekopieerd, een echt Japans bankbedrijf. Daar zou de valuta- en grondstoffenhandel plaatsvinden.
Hoewel de sociale manipulatie achter deze fraude niet zo goed uitgewerkt was als bij andere gevallen die Sophos heeft onderzocht, bleek dat de techniek van deze soort groepen aanzienlijk bijgeschaafd was. De oplichters gebruikten een doordachte combinatie van zeer doeltreffende SEO, knappe namaakpagina’s waar nieuwe klanten zich konden ‘registreren’ op de valse Mebuki-website, en een nepversie van een echte beleggingsapp (MetaTrader4) met bijkomende malware om geld van de slachtoffers afhandig te maken. Bovendien updaten ze de oplichtinfrastructuur van hun activiteit regelmatig om niet gesnapt te worden.
“Beide bendes zijn nog steeds actief, en het zal moeilijk zijn om ze uit te schakelen. We hebben de domeinen en IP-adressen van de aanvallers in Hong Kong gemarkeerd als kwaadaardig, maar ze hebben hun oplichtpraktijken reeds overgebracht naar nieuwe domeinen. Ze beschikken al over een nieuwe downloadinfrastructuur voor hun namaakversie van de app MetaTrader, dus op dit moment spelen we in essentie het spelletje ‘whack-a-mole’. Dat is jammer genoeg de realiteit, aangezien deze praktijken steeds uitgebreider worden en zich op steeds meer regio’s en platformen richten. Bovendien toont de overstap van crypto naar goud aan hoe gemakkelijk deze groepen een nieuwe niche vinden om uit te buiten. We kunnen ons dus het beste verdedigen door het brede publiek bewust te maken van deze soort oplichtpraktijken. Mensen zouden altijd achterdochtig moeten zijn wanneer ze een sms of bericht op een datingapp of sociale media krijgen van iemand die ze niet kennen, die dan voorstelt om het gesprek naar WhatsApp of Telegram te verplaatsen – vooral wanneer ze beweren grote rijkdom verworven te hebben door te beleggen in crypto of iets anders”, zegt Gallagher.