Finti trading pool di criptovalute al servizio delle truffe sha zhu pan
fanno svanire oltre un milione di dollari
Sophos racconta l’esperienza di una vittima che ha perso 22.000 dollari in una settimana
Sophos, leader globale nell’innovazione e nell’erogazione della cybersicurezza as-a-service, ha pubblicato i risultati dello studio condotto su una grossa truffa della categoria cosiddetta “shā zhū pá”n (macellazione del maiale) che si è avvalsa di finti trading pool di criptovalute (pool di liquidità) per sottrarre oltre un milione di dollari.
Il report, intitolato “Latest Evolution of ‘Pig Butchering’ Scam Lures Victim in Fake Mining Scheme”, si sofferma sull’esperienza vissuta da Frank, una delle vittime di questa truffa, e del modo in cui ha perso 22.000 dollari in una settimana dopo essere stato contattato sulla app di incontri MeetMe da “qualcuno” che si faceva passare per “Vivian”.
Dopo che Sophos X-Ops si è occupata della storia di Frank, il team ha scoperto un totale di 14 domini associati alla truffa e decine di siti pressoché identici che, insieme, hanno permesso alla banda di truffatori di appropriarsi di oltre un milione di dollari nell’arco di tre mesi.
La truffa in questione sfrutta le applicazioni per il trading di criptovalute basate sui meccanismi della finanza decentralizzata (DeFi), un settore praticamente privo di regolamentazione. Queste applicazioni creano dei “pool di liquidità” di varie topologie di criptovaluta ai quali gli utenti possono accedere per effettuare scambi di criptovalute. Chi prende parte al pool riceve una percentuale delle fee pagate per ogni transazione conclusa, ottenendo un interessante ritorno sull’investimento. Per far questo bisogna prima firmare online uno smart contract – una sorta di contratto digitale che concede a un altro account (in genere agli operatori del pool) il permesso di accedere ai wallet dei partecipanti in modo da rendere possibili gli scambi. I pool fasulli, che i truffatori usano sempre più spesso per sottrarre i fondi delle loro vittime, funzionano allo stesso modo; tuttavia, a differenza dei pool legittimi, prima o poi i truffatori scompaiono con l’intero bottino della liquidità detenuta all’interno del pool.
“Quando abbiamo scoperto questi finti pool di liquidità si trattava di operazioni alquanto primitive che avevano ancora grandi margini di sviluppo. Oggi invece vediamo i truffatori specializzati in sha zhu pan che adottano questo particolare tipo di frode integrandolo nel loro arsenale di tattiche come le tecniche di aggancio delle potenziali vittime attraverso le app di incontri. Pochissime sono le persone che capiscono il funzionamento del trading legittimo di criptovalute, quindi è facile per questi malintenzionati riuscire ad aggirare le loro vittime. Per questo tipo di truffa esistono persino veri e propri toolkit già pronti che semplificano il lavoro: tant’è che se l’anno scorso Sophos aveva rilevato solamente alcune decine di ‘pool di liquidità’ fasulli, in questo momento ne stiamo osservando più di 500”, ha dichiarato Sean Gallagher, principal threat researcher di Sophos.
Sophos X-Ops si è imbattuta per la prima volta in questa specifica truffa ascoltando il racconto di una vittima di nome Frank. Frank era entrato in contatto sulla app di incontri MeetMe con un malintenzionato che impersonava Vivian, una presunta donna tedesca che affermava di vivere a Washington D.C. per lavoro. Frank ha chattato per settimane con Vivian, che da parte sua era attenta a combinare promesse romantiche con continui tentativi per convincere Frank a investire nelle criptovalute.
Alla fine Frank ha aperto un account su Trust Wallet (una app legittima per convertire dollari in criptovalute) collegandolo al pool di liquidità consigliato da Vivian, un pool fasullo che mascherava il proprio carattere illecito sfruttando come copertura il brand Allnodes, un vero provider che gestisce una piattaforma di finanza decentralizzata. Tra il 31 maggio e il 5 giugno Frank ha investito 22.000 dollari, e tre giorni dopo i truffatori hanno svuotato il suo wallet. Nel tentativo di recuperare i propri soldi, Frank si è rivolto a Vivian, che gli ha suggerito di investire ulteriori somme nel pool allo scopo di tornare in possesso di quanto investito e concretizzare i “vantaggi” dell’operazione. Mentre aspettava che la propria banca autorizzasse un trasferimento di altro denaro a Coinbase, Frank ha iniziato a indagare su quanto stava succedendo imbattendosi quindi in un articolo sul cosiddetto liquidity mining pubblicato da Sophos. A quel punto Frank ha contattato Gallagher per farsi aiutare.
Anche dopo che Gallagher aveva consigliato Frank di bloccare Vivian, quest’ultima è riuscita a trovarlo su Telegram continuando i propri tentativi di spingerlo a “proseguire nell’investimento” fino ad arrivare a inviargli una lunga e commovente lettera scritta molto probabilmente da una AI generativa.
“Quel che rende questo genere di truffa particolarmente insidioso è che non richiede di installare alcun malware sul dispositivo della vittima. Non serve nemmeno una app fasulla, come alcune di quelle nelle quali ci siamo imbattuti in altre truffe CryptoRom. L’intero pool di liquidità fasullo era gestito attraverso una app legittima come Trust Wallet. A un certo punto Frank ha addirittura provato a contattare l’assistenza clienti di Trust Wallet per tornare in possesso del suo denaro, ma in realtà ha parlato con un finto operatore legato alla truffa. Queste app di criptovalute non prevedono regole, legittime o meno, per i pool. Le truffe hanno successo solamente grazie a tecniche di social engineering e all’insistenza dei malintenzionati: Vivian ha continuato a provare a contattare Frank per settimane dopo che lui l’aveva bloccata su WhatsApp”.
“L’unico modo per evitare di cadere in trappola è quello di stare attenti nella consapevolezza dell’esistenza e del meccanismo di funzionamento di queste truffe. Ecco perché Frank ha voluto raccontare la sua esperienza. Gli utenti devono sospettare di ogni sconosciuto che improvvisamente voglia contattarli su una app di incontri o su una piattaforma di social media, in particolare se l’individuo in questione insiste per spostare la conversazione su una piattaforma come WhatsApp e inizia quindi a parlare di investimenti in criptovalute”, ha concluso Gallagher.
Sophos ha condiviso i dati relativi a questo caso con Chainalysis e Coinbase, oltre che con altri professionisti della sicurezza specializzati in criptovalute, i quali stanno continuando a investigare. Chiunque ritenga di essere caduto vittima di liquidity mining o di una truffa sha zhu pan (杀猪盘, letteralmente “piatto per la macellazione dei maiali”), meccanismo che gode del supporto di un collettivo ben organizzato, composto da sviluppatori di pagine web e applicazioni fraudolente, creatori di profili fasulli sui social e persone che sfruttano script di social engineering sui social media e sulle app di incontri per far cadere le vittime nelle loro trappole, è invitato a contattare Sophos oltre che le autorità locali di competenza per ottenere assistenza.
Per maggiori informazioni sulla diffusione delle truffe di liquidity mining è possibile consultare “Latest Evolution of ‘Pig Butchering’ Scam Lures Victim in Fake Mining Scheme” su Sophos.com.
*Il nome è stato cambiato per salvaguardare la privacy della vittima.
Sophos
Sophos, leader mondiale e innovatore di soluzioni avanzate di cybersecurity, tra cui servizi MDR (Managed Detection and Response) e incident response, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyber attacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 500.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si incentra su Sophos X-Ops, l’unità di threat intelligence cross-domain dell’azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato, che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat hunting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it