I ricercatori Proofpoint hanno identificato un nuovo meccanismo di frodi online che impiega tattiche avanzate di social engineering per sottrarre criptovalute.
Hanno identificato una truffa di tipo Advance Fee Fraud che invia campagne email a basso volume per truffare gli utenti e sottrarre loro dei Bitcoin.
Questo schema diffonde le credenziali di presunte piattaforme di investimento Bitcoin private e attira le vittime con la prospettiva di poter ritirare criptovalute per un valore di centinaia di migliaia di dollari da un conto già esistente.
Il ruolo delle vittime
Pur essendo molto simile ai tradizionali schemi di Advance Fee Fraud, questa nuova serie di campagne è molto più sofisticata da un punto di vista tecnico. Infatti è completamente automatizzata e richiede una forte interazione da parte delle vittime.
L’uso della criptovaluta in questo caso è particolarmente importante perché fornisce anonimato sia all’aggressore che alla potenziale vittima.
Indica inoltre che i cybercriminali comprendono di mira individui tecnicamente esperti, a loro agio nel maneggiare Bitcoin e un portafoglio digitale.
Rapporto tra frodi online e criptovalute
Sherrod DeGripppo, Vice President Threat Research and Detection di Proofpoint. “Proofpoint ha osservato alcuni dei portafogli di criptovalute associati a questa attività e almeno uno registra transazioni totali nell’ordine delle centinaia di migliaia di dollari. Inoltre, i ricercatori di Proofpoint hanno osservato vittime di questa frode discutere le loro perdite su forum pubblici, arrivando a dichiarare perdite fino a 500.000 dollari relative a questo attacco.
Alcuni dei messaggi relativi a questa campagna includevano esche di grande valore, fino a 20 milioni di dollari. Sfortunatamente, attività BEC come questa possono regolarmente risultare in perdite di centinaia di migliaia o milioni di dollari. Regolarmente, Proofpoint identifica e blocca i tentativi di frode BEC di grande valore.”
I dettagli della campagna
I ricercatori Proofpoint hanno rilevato la prima di queste campagne nel maggio 2021, incentrata sulla landing page coins45[.]com. La campagna più recente, iniziata a luglio 2021. indirizza le potenziali vittime a securecoins[.]net. Secondo le analisi Proofpoint, ogni campagna email è stata inviata a decine o centinaia di destinatari in tutto il mondo, con messaggi che contengono le stesse coppie di credenziali – id utente e password – per tutti i destinatari.
Frodi online e criptovalute
Sembra che più persone possano accedere con gli stessi dati di login, a patto che provengano da un diverso indirizzo IP e browser. Tuttavia, una volta che cambiata la password e aggiunto un numero di telefono, l’account diventa unico, e le vittime non possono più vedere nulla delle attività delle altre vittime.