I truffatori, che non si limitano più a sfruttare le app di incontri ma utilizzano sempre più spesso anche Twitter e SMS per approcciare le vittime, si appoggiano a un finto marketplace per il trading dell'oro e sono già riusciti a sottrarre 500.000 dollari in criptovalute.

Milano — Febbraio 14, 2023 —

Sophos, leader globale nell'innovazione e nell'erogazione della cybersicurezza as-a-service, ha analizzato due nuove truffe basate su un tipo di frode informatica nota come sha zhu pan (杀猪盘, letteralmente “piatto per la macellazione dei maiali”), che gode del supporto di un collettivo ben organizzato, composto da sviluppatori di pagine web e applicazioni fraudolente, creatori di profili fasulli sui social e persone che sfruttano script di social engineering sui social media e sulle app di incontri per far cadere le vittime nelle loro trappole.

Si tratta di frodi finanziarie lunghe e complesse che possono costare migliaia di dollari alle vittime e che, nei due casi analizzati, hanno origine in Asia. Una delle due truffe parte da Hong Kong e utilizza un finto marketplace per il trading dell'oro mentre l'altra, che ha base in Cambogia e presenta collegamenti con la malavita organizzata cinese, in un solo mese è già riuscita a totalizzare 500.000 dollari in criptovalute.

In entrambi i casi i malintenzionati hanno contattato direttamente il Principal Threat Researcher di Sophos, Sean Gallagher, usando Twitter e SMS anziché le consuete app di incontri che rappresentano il metodo tradizionale in truffe come queste per trovare e circuire le vittime.

Questa nuova ricerca di Sophos, la prima parte di una serie di due articoli, intitolata “Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam”, approfondisce il funzionamento della truffa di Hong Kong dimostrando come il gruppo cybercriminale che ne è responsabile stia perfezionando le sue capacità tecniche per accalappiare e convincere le vittime.

“Sono due anni che Sophos sta seguendo e analizzando una sottocategoria delle truffe “sha zhu pan” chiamata CryptoRom: sottogruppo della famiglia di truffe denominata sha zhu pan che sfrutta un'esca romantica per avvicinare le potenziali vittime sulle app di incontri suggerendo quindi di investire su app fasulle per il trading delle criptovalute. Ma CryptoRom è solo la punta dell'iceberg: da quando è scoppiata la pandemia, questo genere di cybertruffa si è ampliato enormemente. Questi cybercriminali stanno cercando di agganciare le loro vittime su tutte le principali piattaforme di social media e persino via SMS, senza più limitarsi alle criptovalute ma sfruttando anche l'oro e altre valute o forme di trading. In poche parole stanno cercando di ottenere il massimo possibile.” – ha spiegato Sean Gallagher, Principal Threat Researcher di Sophos.

Nella prima truffa analizzata, Gallagher ha trascorso tre mesi a interagire con uno dei malintenzionati dopo essere stato contattato direttamente su Twitter. Il truffatore si è spacciato per una quarantenne di Hong Kong che ha rapidamente cercato di spostare la conversazione su WhatsApp per poi provare da qui a convincere Gallagher a investire in un finto marketplace per il trading dell'oro vantando i propri rapporti privilegiati con un tale “zio Martin”, un presunto ex-analista di Goldman Sachs. Da qui Gallagher è stato dirottato verso un sito dal branding copiato da quello di una reale società bancaria giapponese, Mebuki Financial, sul quale avrebbero dovuto avere luogo le transazioni di cambio valutario e compravendita di commodity.

Sebbene la componente di social engineering di questa truffa sia stata meno sofisticata rispetto ad altri casi analizzati da Sophos, tuttavia è emerso un netto miglioramento della parte tecnica dimostrata dalle gang criminali di questo tipo. I cybercriminali hanno infatti usato una complessa quanto efficace combinazione di tecniche SEO, pagine scam ben fatte per "registrare" nuovi clienti sul finto sito Mebuki e una versione piratata di una app legittima per il trading (MetaTrader 4) modificata con codice illecito per sottrarre denaro alle vittime

"Entrambe le truffe risultano ancora attive e sarà difficile riuscire a neutralizzarle. Anche se abbiamo segnalato come pericolosi i domini e gli indirizzi IP usati dalla banda di Hong Kong, essa è già passata a usare nuovi domini. Inoltre è già stata attivata una nuova infrastruttura per il download della versione piratata della app MetaTrader, quindi a questo punto non stiamo facendo altro che inseguire i malintenzionati in una sorta di gioco di 'acchiappa la talpa'. Sfortunatamente questo è ciò che accade man mano che truffe del genere si allargano sia dal punto di vista della potenziale platea che dell'ambito geografico e delle piattaforme utilizzate. Anche il passaggio dalle criptovalute all'oro dimostra come i truffatori riescano a trovare facilmente nuove nicchie da sfruttare. Ciò significa che la miglior difesa è la pubblica consapevolezza di queste tipologie di truffa. Le persone dovrebbero valutare con grande cautela qualsiasi messaggio che provenga via SMS, app di incontri o social media da uno sconosciuto che intavoli una conversazione suggerendo quindi di spostarla su WhatsApp o Telegram, specialmente se la persona in questione inizia a vantarsi di qualche presunta ricchezza ottenuta dal trading di criptovalute o altri beni.” - conclude Gallagher.

Maggiori informazioni su criminali specializzati nel trading fasullo dell'oro sono consultabili leggendo “Fool’s Gold: Dissecting a Fake Gold Market Pig Butchering Scam”.

Informazioni aggiuntive

Informazioni su Sophos

Sophos, leader mondiale nelle soluzioni di sicurezza innovative per neutralizzare i cyberattacchi, mette a disposizione delle aziende un’ampia gamma di soluzioni di sicurezza per endpoint, network, email e cloud al fine di supportarle nella lotta ai cyberattacchi. In quanto uno dei principali provider di cybersecurity, Sophos protegge oltre 500.000 realtà e più di 100 milioni di utenti a livello globale da potenziali minacce, ransomware, phishing, malware e altro. I servizi e le soluzioni di Sophos vengono gestiti attraverso la console Sophos Central, basata su cloud, e si basano su Sophos X-Ops, l'unità di threat intelligence cross-domain dell'azienda. Sophos X-Ops ottimizza l’intero ecosistema adattivo di cybersecurity di Sophos, che include un data lake centralizzato che si avvale di una ricca serie di API aperti, resi disponibili ai clienti, ai partner, agli sviluppatori e ad altri fornitori di cyber security e information technology. Sophos fornisce cybersecurity as a service alle aziende che necessitano di soluzioni chiavi in mano interamente gestite. I clienti possono scegliere di gestire la propria cybersecurity direttamente con la piattaforma di Sophos per le operazioni di sicurezza o di adottare un approccio ibrido, integrando i propri servizi con quelli di Sophos, come il threat huting e la remediation. Sophos distribuisce i propri prodotti attraverso partner e fornitori di servizi gestiti (MSP) in tutto il mondo La sede centrale di Sophos è situata a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibile alla pagina www.sophos.it.