Sophos onthult hoe Sha Zhu Pan scammers – die aan cryptovaluta-fraude doen – een model gebruiken dat alles weg heeft van cybercriminaliteit ‘as-a-service’ door de verkoop van Sha Zhu Pan kits wereldwijd uit te breiden naar nieuwe markten. Sophos toont details over deze geavanceerde operaties (die ook bekendstaan als ‘pig butchering’) in het artikel ‘Cryptocurrency Scams Metastasize into New Forms’. De nieuwe kits zijn afkomstig van de georganiseerde misdaad in China en bieden de technische componenten die nodig zijn om een specifiek pig butchering-programma met de naam ‘DeFi savings’ uit te voeren.
Criminelen doen alsof DeFi savings scams passieve investeringsmogelijkheden zijn bij mensen die geen verstand hebben van crypto. Slachtoffers hoeven alleen hun crypto wallet aan te sluiten op een ‘brokerage account’ met de verwachting dat ze veel rente zullen verdienen op hun investering. In werkelijkheid voegen slachtoffers hun crypto wallets toe aan een frauduleuze cryptocurrency trading pool, die de criminelen vervolgens leeghalen.
“Toen de pig butchering voor het eerst opdook ten tijde van de pandemie, waren de technische aspecten van deze zwendel nog relatief primitief en vereisten ze veel inspanning en begeleiding om slachtoffers op te lichten. Nu de zwendel meer succes heeft en de fraudeurs hun technieken verfijnen, zien we een soortgelijke ontwikkeling die we in het verleden hebben gezien bij ransomware en andere vormen van cybercriminaliteit: het realiseren van een ‘as-a-service’-model. Pig butchering-kringen maken kant-en-klare DeFi app-kits, die andere cybercriminelen kunnen kopen op het dark web. Als gevolg verschijnen er nieuwe pig butchering-kringen die geen banden hebben met Chinese georganiseerde misdaad in gebieden als Thailand, West-Afrika en zelfs de VS.
Net als bij andere vormen van commerciële cybercriminaliteit verlagen deze kits de toegangsdrempel voor cybercriminelen die geïnteresseerd zijn in pig butchering, waardoor het aantal slachtoffers enorm groeit. Vorig jaar zorgde pig butchering al voor een schade van vele miljarden dollars; het probleem neemt dit jaar waarschijnlijk alleen maar exponentieel toe” zegt Sean Gallagher, principal threat researcher bij Sophos.
Sophos X‑Ops volgt de ontwikkeling van pig butchering al twee jaar. Bij de eerste varianten – door Sophos ‘CryptoRom’-zwendel genoemd – werden potentiële slachtoffers benaderd via datingapps en vervolgens overgehaald om frauduleuze crypto trading pools te downloaden van externe bronnen. Voor iOS-gebruikers moesten deze cybercriminelen een uitgebreide workaround downloaden waarmee ze de beveiliging van hun apparaten konden omzeilen en toegang kregen tot hun wallet.
In 2022 verfijnden de oplichters hun activiteiten, dit keer door manieren te vinden om de beoordelingsprocessen van app stores te omzeilen om hun frauduleuze apps de legitieme App Store en Google Play Store binnen te smokkelen. Dit was ook het jaar waarin een nieuw oplichtingspatroon opdook: nep-cryptocurrency trading pools (liquidity mining).
In 2023 ontdekte Sophos X‑Ops twee grote pig butchering-kringen: één uit Hong Kong en één uit Cambodja. Deze bendes maakten gebruik van legitieme crypto trading apps en maakten uitgebreide nepprofielen om slachtoffers te lokken en miljoenen van hen te stelen. Verder onderzoek wees uit dat pig butchering-kringen AI aan hun arsenaal hebben toegevoegd.
Eind 2023 ontdekte Sophos X‑Ops een grote liquidity mining-operatie waarbij drie afzonderlijke Chinese georganiseerde misdaadbendes betrokken waren die zich op bijna 100 slachtoffers richtten. Tijdens het onderzoek naar deze operatie ontdekte Sophos X‑Ops voor het eerst dat er pig butchering scam kits beschikbaar waren.
In de meest recente pig butchering-operaties die Sophos X‑Ops heeft onderzocht, zijn de fraudeurs alle eerdere technologische ontwikkelingen uit de weg gegaan. De hoeveelheid social engineering die nodig is om van slachtoffers te stelen is aanzienlijk verminderd. In de DeFi-spaarplannen handelen slachtoffers nu frauduleus in cryptovaluta via legitieme, bekende cryptovaluta-apps. Ook geven ze de criminelen (zonder het te weten) directe toegang tot hun wallet. Bovendien kunnen de oplichters het wallet network dat gestolen crypto’s witwast verbergen, waardoor de zwendel moeilijker op te sporen is voor wetshandhavers.
“De DeFi savings-zwendel is het hoogtepunt van twee jaar pig butchering. Voorbij zijn de dagen dat de oplichters slachtoffers moesten overtuigen om een of andere vreemde app te downloaden of de crypto zelf over te maken naar een digitale wallet die wordt leeggehaald.
De fraudeurs hebben ook geleerd hoe ze hun zwendel beter kunnen ‘vermarkten’: ze maken gebruik van de manier waarop liquidity mining pools werken om het geld te stelen door slachtoffers te vertellen dat het om een eenvoudige beleggingsrekening gaat. Dit is vaak gemakkelijker te verkopen, vooral omdat de meeste mensen de ins en outs van de handel in cryptovaluta niet begrijpen en alles onder het mom van vertrouwde merken wordt gedaan.
Met andere woorden: het is nog nooit zo makkelijk geweest voor mensen om slachtoffer te worden van zwendel, dus het is nog nooit zo belangrijk geweest om van het bestaan van deze zwendel te weten, en te weten waarop je moet letten”, aldus Gallagher.
Tips om niet het slachtoffer te worden van pig butchering
Om te voorkomen dat je slachtoffer wordt van pig butchering, raadt Sophos het volgende aan:
- Wees kritisch tegenover vreemden die contact opnemen via sociale netwerken zoals Facebook of sms’jes, vooral als ze het gesprek snel verplaatsen naar een privébericht via WhatsApp.
- Dit geldt ook voor nieuwe matches op dating-apps, vooral als de vreemdeling over cryptohandel begint.
Wees altijd op je hoede voor een ‘snel rijk worden’-plan of een investeringsmogelijkheid voor cryptovaluta die binnen een korte tijd grote rendementen belooft. - Wees je bewust van de tactieken op het gebied van relaties en investeringen. Non-profits zoals het Cybercrime Support Network hebben bronnen die kunnen helpen.
- Iedereen die denkt slachtoffer te zijn geworden van pig butchering moet onmiddellijk geld uit de betreffende wallet terughalen en contact opnemen met de politie.
Tijdlijn van Sophos’ twee jaar durende onderzoek naar pig butchering
2021
- Sophos X‑Ops ontdekt de eerste ‘CryptoRom’-apps die zich richten op gebruikers in Azië.
- Sophos X‑Ops ontdekt vervolgens dat de oplichters hun activiteiten uitbreiden en zich richten op slachtoffers in de VS en Europa.
2022
- Sophos X‑Ops ontdekt meer CryptoRom-apps, evenals een nieuwe workaround die cybercriminelen gebruiken zodat slachtoffers de nep-apps kunnen downloaden op hun iOS-apparaten.
- Een nieuw soort pig butchering duikt op: liquidity mining.
2023
- Sophos X‑Ops ontdekt de eerste nep-apps voor CryptoRom in de Apple App Store nu oplichters manieren vinden om het beoordelingsproces van de App Store te omzeilen.
- Sophos X‑Ops ontdekt twee grote pig butchering-kringen die opereren vanuit Hong Kong en Cambodja. In plaats van nep-apps te gebruiken, maken deze criminelen gebruik van legitieme cryptohandel-apps en bouwen ze uitgebreide profielen om hun slachtoffers aan de haak te slaan.
- Sophos X‑Ops vindt meer nep-apps en leert dat cybercriminelen generatieve AI aan hun gereedschapskist toevoegen.
- Het verhaal van een man die in één week 22.000 dollar verloor door pig butchering leidt Sophos X‑Ops naar een enorme liquidity mining scam die wordt gerund door drie verschillende Chinese georganiseerde misdaadorganisaties.
2024
- Sophos X‑Ops ontdekt de technisch meest geavanceerde pig butchering tot nu toe: DeFi savings-zwendel. Deze en andere crypto-gebaseerde zwendel zijn te koop als kits, waardoor er pig butchering-bendes opduiken in andere delen van de wereld.
Ga voor meer over de huidige DeFi savings-zwendel en de ontwikkeling van pig butchering naar Sophos.com.
