Sophos ha analizzato due nuove truffe basate su un tipo di frode informatica nota come sha zhu pan (杀猪盘, letteralmente “piatto per la macellazione dei maiali”), che gode del supporto di un collettivo ben organizzato, composto da sviluppatori di pagine web e applicazioni fraudolente, creatori di profili fasulli sui social e persone che sfruttano script di social engineering sui social media e sulle app di incontri per far cadere le vittime nelle loro trappole.
I due casi analizzati, hanno origine in Asia. Una delle due truffe parte da Hong Kong e utilizza un finto marketplace per il trading dell’oro mentre l’altra, che ha base in Cambogia e presenta collegamenti con la malavita organizzata cinese, in un solo mese è già riuscita a totalizzare 500.000 dollari in criptovalute.
In entrambi i casi i truffatori hanno contattato direttamente il Principal Threat Researcher di Sophos, Sean Gallagher, usando Twitter e SMS anziché le consuete app di incontri che rappresentano il metodo tradizionale in truffe come queste per trovare e circuire le vittime.
Questa nuova ricerca di Sophos, la prima parte di una serie di due articoli, intitolata “Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam”, approfondisce il funzionamento della truffa di Hong Kong dimostrando come il gruppo cybercriminale che ne è responsabile stia perfezionando le sue capacità tecniche per accalappiare e convincere le vittime.
“Sono due anni che Sophos sta seguendo e analizzando una sottocategoria delle truffe “sha zhu pan” chiamata CryptoRom: sottogruppo della famiglia di truffe denominata sha zhu pan che sfrutta un’esca romantica per avvicinare le potenziali vittime sulle app di incontri suggerendo quindi di investire su app fasulle per il trading delle criptovalute. Ma CryptoRom è solo la punta dell’iceberg: da quando è scoppiata la pandemia, questo genere di cybertruffa si è ampliato enormemente. Questi cybercriminali stanno cercando di agganciare le loro vittime su tutte le principali piattaforme di social media e persino via SMS, senza più limitarsi alle criptovalute ma sfruttando anche l’oro e altre valute o forme di trading. In poche parole, stanno cercando di ottenere il massimo possibile. ” – ha spiegato Sean Gallagher, Principal Threat Researcher di Sophos.
Nella prima truffa analizzata, Gallagher ha a interagito per tre mesi con uno dei malintenzionati dopo essere stato contattato direttamente su Twitter. Il truffatore si è spacciato per una quarantenne di Hong Kong che ha rapidamente cercato di spostare la conversazione su WhatsApp per poi provare da qui a convincere il ricercatore a investire in un finto marketplace per il trading dell’oro vantando i propri rapporti privilegiati con un tale “zio Martin”, un presunto ex-analista di Goldman Sachs. Da qui Gallagher è stato dirottato verso un sito dal branding copiato da quello di una reale società bancaria giapponese, Mebuki Financial, sul quale avrebbero dovuto avere luogo le transazioni di cambio valutario e compravendita di commodity.
Sebbene la componente di social engineering di questa truffa sia stata meno sofisticata rispetto ad altri casi analizzati da Sophos, tuttavia è emerso un netto miglioramento della parte tecnica dimostrata dalle gang criminali di questo tipo. I cybercriminali hanno infatti usato una complessa quanto efficace combinazione di tecniche SEO, pagine scam ben fatte per “registrare” nuovi clienti sul finto sito Mebuki e una versione piratata di una app legittima per il trading (MetaTrader 4) modificata con codice illecito per sottrarre denaro alle vittime, spiegano gli esperti di Sophos.
“Entrambe le truffe risultano ancora attive e sarà difficile riuscire a neutralizzarle. Anche se abbiamo segnalato come pericolosi i domini e gli indirizzi IP usati dalla banda di Hong Kong, essa è già passata a usare nuovi domini. Inoltre, è già stata attivata una nuova infrastruttura per il download della versione piratata della app MetaTrader, quindi, a questo punto non stiamo facendo altro che inseguire i malintenzionati in una sorta di gioco di ‘acchiappa la talpa’. Sfortunatamente questo è ciò che accade man mano che truffe del genere si allargano sia dal punto di vista della potenziale platea che dell’ambito geografico e delle piattaforme utilizzate. Anche il passaggio dalle criptovalute all’oro dimostra come i truffatori riescano a trovare facilmente nuove nicchie da sfruttare. Ciò significa che la miglior difesa è la pubblica consapevolezza di queste tipologie di truffa. Le persone dovrebbero valutare con grande cautela qualsiasi messaggio che provenga via SMS, app di incontri o social media da uno sconosciuto che intavoli una conversazione suggerendo quindi di spostarla su WhatsApp o Telegram, specialmente se la persona in questione inizia a vantarsi di qualche presunta ricchezza ottenuta dal trading di criptovalute o altri beni” – conclude Gallagher.