L’une de ces escroqueries passe par une fausse plateforme de trading d’or tandis que l’autre a déjà détourné 500 000 dollars en cryptomonnaie
Les escrocs ne se cantonnent pas aux applications de rencontre et ciblent de plus en plus les utilisateurs de Twitter et de textos au niveau mondial
Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie les détails concernant deux vastes escroqueries, toujours actives, de type « pig butchering » ou « sha zhu pan » – une fraude financière élaborée, sur le long terme, pouvant coûter des milliers de dollars à ses victimes – pilotées à partir de l’Asie. L’une des opérations, originaire de Hong Kong, passe par une fausse plateforme de trading d’or, tandis que l’autre, partant du Cambodge et ayant des liens avec le crime organisé chinois, a rapporté à ses auteurs 500 000 dollars en cryptomonnaie en à peine un mois. Dans les deux cas, les escrocs ont ciblé Sean Gallagher, chercheur principal en menaces chez Sophos, directement par Twitter ou texto respectivement, plutôt que via des applications de rencontre, la méthode classique utilisée pour trouver et cibler leurs victimes. Première partie d’une série de deux, l’étude Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam, publiée aujourd’hui, est consacrée aux rouages internes de l’arnaque basée à Hong Kong, montrant comment les escrocs gagnent en technicité pour appâter et leurrer leurs cibles.
« Depuis deux ans, nous suivons et relatons des arnaques CryptoRom, une sous-catégorie des escroqueries de type pig butchering consistant à contacter les victimes potentielles sur des sites de rencontre pour les inciter à investir dans des applications frauduleuses de trading de cryptomonnaies. Or CryptoRom n’est en fait que la partie visible de l’iceberg. Depuis le début de la pandémie, ce modèle de cyberfraude s’est développé massivement. Ces escrocs ciblent désormais leurs victimes sur tous les principaux réseaux sociaux voire par des messages directs. Ils ne se cantonnent pas à l’exploitation des cryptomonnaies mais s’attaquent aussi à l’or et à d’autres formes de monnaie ou de trading. Ils ratissent littéralement tous azimuts », commente Sean Gallagher, chercheur principal en menaces chez Sophos.
Dans le cas de la première escroquerie qu’il a étudiée, Sean Gallagher a passé trois mois à échanger des messages avec l’un des arnaqueurs qui l’avaient directement abordé sur Twitter. Celui-ci se faisait passer pour une Hongkongaise de 40 ans qui a rapidement tenté d’amener la conversation sur WhatsApp. De là, cette personne a essayé de convaincre le chercheur d’investir dans une fausse plateforme de trading d’or, vantant ses liens avec son « oncle Martin », prétendument ancien analyste chez Goldman Sachs. Elle l’a ensuite aiguillé vers un site imitant celui de la banque japonaise Mebuki Financial, où devaient s’exercer des services de trading de devises et de matières premières.
Si la technique d’ingénierie sociale employée dans cette escroquerie est moins élaborée que dans d’autres cas étudiés par Sophos, elle révèle une hausse marquée de la technicité de ces groupes. Les escrocs font appel à la fois à un référencement (SEO) très efficace, à des pages web soignées pour l’« inscription » des nouveaux clients sur leur faux site Mebuki et une version piratée d’une application légitime destinée aux traders (MetaTrader 4), à laquelle ils ont ajouté du code malveillant afin de dérober les fonds de leurs victimes. Ils mettent aussi régulièrement à jour l’infrastructure de leur opération de façon à éviter sa fermeture par les autorités.
« Les deux escroqueries sont toujours actives et seront difficiles à neutraliser. Alors que nous avons marqué comme malveillants les domaines et adresses IP utilisés par les escrocs hongkongais, ceux-ci ont déjà déménagé vers de nouveaux domaines. Ils ont dès à présent mis en place une nouvelle infrastructure de téléchargement pour leur version pirate de l’application MetaTrader, de sorte qu’en ce moment nous jouons essentiellement au chat et à la souris. C’est malheureusement de plus en plus le cas à mesure que ces opérations étendent leur périmètre, ciblant un nombre croissant de régions du monde et différentes plateformes. La transition des cryptomonnaies vers l’or reflète également la facilité avec laquelle ces groupes peuvent trouver un nouveau créneau à exploiter. C’est pourquoi la meilleure défense est la sensibilisation du public à ces types d’escroqueries. Les utilisateurs doivent se méfier de tout message direct reçu par SMS, via une application de rencontre ou sur un réseau social et provenant d’un inconnu qui entame une conversation puis propose de passer sur WhatsApp ou Telegram, en particulier s’il prétend faire votre fortune grâce au trading de cryptomonnaies ou autres », ajoute Sean Gallagher.
Pour en savoir plus sur les cybercriminels à l’origine de cette escroquerie au trading d’or, lire l’étude Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam sur Sophos.com.
Pour en savoir plus sur…
- deux fausses applications de trading de cryptomonnaies utilisées par des escrocs CryptoRom contournant les contrôles de sécurité de l’App Store Apple.
- les escroqueries CryptoRom et la façon dont elles ciblent les utilisateurs iOS.
- le liquidity mining et son rôle dans la fraude aux cryptomonnaies.
- l’évolution du paysage des menaces et les tendances susceptibles d’avoir un impact sur la cybersécurité, lisez le Rapport Sophos 2023 sur les menaces.
- Sophos X-Ops et ses recherches innovantes sur les menaces, abonnez-vous aux blogs Sophos X-Ops.
- les temps d’exposition d’une attaque et les nouvelles tactiques, techniques et procédures (TTP) des cybercriminels, découvrez l’édition 2022 de l’étude Sophos Active Adversary Playbook.