Sophos: Při podvodech typu Sha Zhu Pan byly využity falešné kryptoměnové obchodní platformy a odcizen více než milion dolarů

Sophos, celosvětový lídr a inovátor v oblasti poskytování kybernetické bezpečnosti formou služby, zveřejnil výsledky rozsáhlého zkoumání podvodu typu shā zhū pán (tzv. porcování prasat), který využívá falešné kryptoměnové obchodní platformy (fondy likvidity) k odcizení již více než 1 milionu dolarů. Studie „Nejnovější evoluce podvodu typu ‘porcování prasat’ láká oběti na schémata falešné těžby“ popisuje příběh Franka1, jedné z podvedených obětí, který během jediného týdne přišel o 22 000 dolarů poté, co ho v seznamovací aplikaci MeetMe kontaktoval „někdo“, kdo se vydával za „Vivian“.

Po prozkoumání Frankova příběhu tým bezpečnostních analytiků Sophos X-Ops odhalil celkem 14 domén spojených s podvodnou operací a desítky téměř identických podvodných stránek, které dohromady vynesly této skupině „porcující prasata“ více než 1 milion dolarů za tři měsíce.

Tento podvod využívá z velké části neregulovaný svět decentralizovaných finančních (DeFI) aplikací pro obchodování s kryptoměnami. Tyto aplikace vytvářejí „fondy likvidity“ různých typů kryptoměn, ke kterým pak mohou uživatelé přistupovat a provádět obchody z jedné kryptoměny na druhou. Účastníci těchto transakcí dostávají procento z poplatku zaplaceného při uzavření obchodu, což vytváří lákavou návratnost investice. Aby se účastníci mohli k obchodní platformě připojit, musí nejprve podepsat online smlouvu – tedy kontrakt, který dává jinému účtu (obvykle provozovatelům platformy) svolení k přístupu k peněženkám účastníků, což má usnadnit obchodování. Stejným způsobem fungují i falešné obchodní platformy, které „řezníci“ stále častěji využívají k odčerpávání finančních prostředků svých obětí. Na rozdíl od legitimních fondů však tito podvodníci v určitém okamžiku náhle ukončí své služby a vyprázdní celý fond likvidity ve svůj prospěch.

„Když jsme poprvé objevili tyto falešné fondy likvidity, byly poměrně primitivní, a ještě stále se vyvíjely. Nyní jsme svědky toho, že podvodníci typu sha zhu pan přebírají tento konkrétní typ podvodu s kryptoměnami a hladce jej začleňují do svého stávajícího souboru taktik, jako je lákání obětí prostřednictvím seznamovacích aplikací. Jen málokdo chápe, jak funguje legitimní obchodování s kryptoměnami, a tak je pro tyto podvodníky snadné své oběti oklamat. Pro tento druh podvodu už dokonce existují sady nástrojů, takže různí „řezníci“ mohou takový podvod s kryptoměnami snadno zařadit do svého arzenálu. Zatímco v loňském roce Sophos zaznamenala několik desítek podvodných stránek „fondů likvidity“, nyní jsme jich našli více než 500,“ řekl Sean Gallagher, hlavní výzkumník hrozeb ve společnosti Sophos.

Tým Sophos X-Ops se o tomto typu těžby likvidity poprvé dozvěděl právě od oběti vystupující pod jménem Frank, který se přes seznamovací aplikaci MeetMe spojil s podvodníkem skrývajícím se pod jménem Vivian, Němkou údajně žijící a pracující ve Washingtonu. Frank si s Vivian několik týdnů posílal zprávy, ve kterých se romantické sliby střídaly s vytrvalými pokusy přesvědčit Franka, aby investoval do kryptoměn. Nakonec si Frank otevřel účet v Trust Wallet (což je legitimní aplikace pro převod dolarů na kryptoměny) a připojil se k fondu likvidity, který mu Vivian doporučila. Ve skutečnosti se jednalo o podvodnou stránku, která jako zástěrku využívala značku zavedeného poskytovatele decentralizované finanční platformy Allnodes. V období od 31. května do 5. června investoval Frank do tohoto systému 22 000 dolarů. A o pouhé tři dny později podvodníci Frankovu digitální peněženku vyprázdnili. Frank chtěl získat své peníze zpět a obrátil se na Vivan, která mu tvrdila, že musí do fondu investovat ještě víc, aby získal své prostředky i „odměny“. Zatímco Frank čekal, až mu banka schválí převod peněz na Coinbase, začal zkoumat co se děje a narazil na článek o těžbě likvidity od společnosti Sophos. V té chvíli se Frank obrátil na Seana Gallaghera s prosbou o pomoc.

I poté, co Gallagher Frankovi doporučil, aby Vivian zablokoval, ho nakonec našla na Telegramu a pokračovala v pokusech nalákat ho na „pokračování v jejich investici“. Poslala mu dokonce dlouhý emotivní dopis, který byl velmi pravděpodobně vytvořen generativní umělou inteligencí.

„Tento druh podvodů je obzvláště záludný v tom, že nevyžaduje instalaci malwaru do zařízení oběti. Nezahrnuje ani falešnou aplikaci, jako některé z těch, se kterými jsme se setkali u jiných podvodů typu CryptoRom. Celý tento falešný fond likvidity byl spuštěn prostřednictvím legitimní aplikace Trust Wallet. V jednu chvíli se Frank dokonce pokusil kontaktovat podporu služby Trust Wallet, aby získal své peníze zpět, ale spojil se zase jen s falešným kontaktem podpory z podvodné stránky fondu likvidity. V těchto kryptoměnových aplikacích neexistuje žádná regulace fondů – ať už jsou legitimní, nebo ne. Tyto podvody jsou úspěšné pouze díky sociálnímu inženýrství a zločinci jsou vytrvalí. Vivian se snažila Franka kontaktovat ještě několik týdnů poté, co ji zablokoval na WhatsAppu.

Jediným způsobem, jak se před těmito podvody chránit, je být ostražitý a vědět o jejich existenci a jak fungují. Proto se Frank chtěl o svůj příběh podělit. Uživatelé by se měli mít na pozoru, když je někdo, s kým nemají žádné jiné spojení, náhle osloví prostřednictvím jakékoli seznamovací aplikace nebo platformy sociálních médií. Zejména pokud ta chce osoba přesunout konverzaci na platformu jako WhatsApp a poté diskutuje o investování do kryptoměn,“ řekl Gallagher.

Sophos sdílel své poznatky o tomto případu se společnostmi Chainalysis a Coinbase, jakož i s dalšími odborníky na vyšetřování hrozeb v oblasti kryptoměn, kteří pokračují v prošetřování. Lidé, kteří se domnívají, že se mohli stát obětí podvodu typu „porcování prasat“ nebo podvodné těžby likvidity, se mohou obrátit na společnost Sophos. Měli by také požádat o pomoc místní orgány činné v trestním řízení.