Companhia traz detalhes da história de uma vítima que foi enganada e perdeu US$ 22 mil em uma semana
A Sophos, líder global em inovação e fornecimento de cibersegurança como serviço, divulgou informações sobre uma grande operação de pig butchering (shā zhū pán) na qual golpistas usaram falsos pools de negociação de criptomoedas – conhecidos como pools de liquidez, que são mecanismos com diferentes participantes e ativos para facilitar a negociação e aumentar a liquidez de um determinado mercado ou plataforma – para roubar mais de US$ 1 milhão. O relatório, intitulado “Latest evolution of ‘pig butchering’ scam lures victim in fake mining scheme”, detalha a história de uma das vítimas enganadas, chamada Frank (nome fictício utilizado por proteção à privacidade da pessoa), e como ele perdeu US$ 22 mil em uma semana após um atacante, que se passou por “Vivian”, entrar em contato pelo aplicativo de relacionamentos MeetMe.
Depois que a equipe multioperacional da companhia, o Sophos X-Ops, investigou a história de Frank, foram descobertos 14 domínios associados à operação fraudulenta, bem como dezenas de sites maliciosos quase idênticos que, juntos, renderam a esse grupo de golpistas mais de US$ 1 milhão em três meses.
O golpe em questão tira vantagem do universo não regulamentado das finanças descentralizadas (DeFi), que é realizado por meio de aplicativos de negociação de criptomoedas. Esses apps criam pools de liquidez de vários tipos de moedas virtuais que os usuários podem acessar para fazer negociações de uma para outra. Aqueles que participam do pool recebem uma porcentagem de qualquer taxa paga quando uma negociação é feita, criando um retorno atraente para o investimento.
Para fazer parte de um pool, primeiramente, os participantes têm de assinar um contrato inteligente online, que dá à outra conta (normalmente dos operadores do pool) permissão para acessar as carteiras dos demais integrantes para facilitar as negociações. Os pools falsos, que os golpistas utilizam cada vez mais para desviar fundos das vítimas, funcionam praticamente da mesma maneira. No entanto, ao contrário dos legítimos, em algum momento esses criminosos “puxam o tapete” e desviam o dinheiro para si mesmos.
“Quando descobrimos pela primeira vez esses falsos pools de liquidez, eles eram bastante primitivos e ainda estavam em desenvolvimento. Agora, vemos criminosos pegando esse tipo específico de fraude de criptomoedas e integrando-o perfeitamente ao arsenal de táticas, como tentar atrair vítimas por meio de aplicativos de relacionamento, por exemplo. Poucos entendem como funciona o comércio legítimo de criptomoedas e, por isso, fica fácil para os golpistas enganarem as pessoas. Existem até kits de ferramentas para esse tipo de golpe, facilitando que diferentes operações de pig butchering adicionem fraudes de criptomoedas aos manuais de ataques. No ano passado, a Sophos rastreou dezenas de sites fraudulentos que tinham esse propósito. Agora, encontramos mais de 500”, explica Sean Gallagher, principal pesquisador de ameaças da Sophos.
A equipe do Sophos X-Ops soube desta operação de mineração de liquidez – estratégia de alguns protocolos financeiros descentralizados (DeFi) usada para atrair usuários – pela primeira vez por meio de uma vítima chamada Frank. Ele havia se conectado, por meio do aplicativo de relacionamento MeetMe, com um golpista que se passava por uma mulher alemã chamada Vivian, que supostamente morava em Washington, D.C. Durante semanas, Frank conversou com Vivian, que misturou suas promessas românticas com tentativas persistentes de convencê-lo a investir em criptomoedas.
Eventualmente, Frank abriu uma conta Trust Wallet – aplicativo legítimo para converter dólares em criptomoedas – e conectou-se ao link do pool de liquidez recomendado por Vivian. Na realidade, o site era fraudulento e utilizava a marca Allnodes como fachada, que é um fornecedor de plataforma financeira descentralizada.
Entre 31 de maio e 5 de junho, Frank investiu US$ 22 mil no esquema. Três dias depois, os golpistas esvaziaram a carteira digital da vítima que, procurando recuperar seu dinheiro, recorreu a Vivian, que alegou que precisava investir ainda mais no pool para recuperar seus fundos e colher as “recompensas”. Enquanto esperava que seu banco autorizasse uma transferência financeira para a Coinbase – plataforma legítima para compra, venda, transferência e armazenamento de criptomoedas –, Frank começou a pesquisar o que estava acontecendo e se deparou com um artigo da Sophos sobre mineração de liquidez. Foi neste momento que Frank pediu ajuda a Gallagher, pesquisador da empresa.
Mesmo depois que Gallagher instruiu para Frank bloquear Vivian, o golpista disfarçado o encontrou no Telegram e retomou as tentativas de induzi-lo a “continuar seu investimento”, chegando ao ponto de enviar uma longa e emotiva carta que, muito provavelmente, foi criada por meio de um aplicativo de IA generativo.
“O que torna esses ataques particularmente complicados é que eles não exigem a instalação de nenhum malware no dispositivo da vítima. Eles nem sequer envolvem um aplicativo falso, como alguns dos que encontramos em outros esquemas de CryptoRom, por exemplo. Todo o pool de liquidez falso foi executado por meio do app Trust Wallet. Em determinado momento, Frank até tentou entrar em contato com o suporte da Trust Wallet para recuperar seu dinheiro, mas se conectou com um contato falso do site fraudulento de pool de liquidez. Não há regulamentação desses pools, sejam eles legítimos ou não, nos aplicativos de criptomoedas. Os golpes só têm sucesso por meio de engenharia social – e eles são persistentes. Vivian continuou tentando entrar em contato com Frank por semanas depois que ele a bloqueou no WhatsApp”, complementa Gallagher.
“A única maneira de se proteger contra esses golpes é estar vigilante, saber que eles existem e como funcionam. É por isso que Frank quis compartilhar sua história. Os usuários precisam ser cautelosos com qualquer desconhecido que entre em contato repentinamente por meio de aplicativos de relacionamento ou redes sociais, especialmente se a ‘pessoa’ quiser mover a conversa para uma plataforma como o WhatsApp e depois discutir investimentos em criptomoedas“, conclui o executivo.
A Sophos compartilhou dados sobre este caso com a Chainalysis e com a Coinbase, bem como com outras companhias e profissionais de inteligência de ameaças no espaço de criptomoedas, que continuam investigando. Pessoas que acreditam que podem ser vítimas de pig butchering ou fraude de mineração de liquidez podem entrar em contato com a Sophos, além das autoridades locais para obter assistência.
Para mais informações sobre o aumento dos golpes de mineração de liquidez, acesse o relatório “Latest evolution of ‘pig butchering’ scams lures victim in fake mining scheme”, em sophos.com.
Informações adicionais
- As mais recentes táticas implementadas por golpistas de pig butchering, incluindo o uso de IA generativa;
- Operações de pig butchering em larga escala no Sudeste Asiático;
- Os primeiros aplicativos falsos para esquemas CryptoRom encontrados na Apple App Store;
- Golpes de CryptoRom e como eles atingem usuários de iOS;
- Mineração de liquidez e como ela contribui para crimes com criptomoedas;
- Diminuição do tempo de permanência e mudança de comportamentos e técnicas dos cibercriminosos no “Active Adversary Report for Tech Leaders 2023”;
- Sophos X-Ops e sua inovadora pesquisa sobre ameaças nos blogs Sophos X-Ops.
Sobre a Sophos
A Sophos é líder mundial e inovadora em soluções avançadas de cibersegurança, incluindo Detecção e Resposta Gerenciada (MDR), serviços de atendimento a incidentes e um vasto portfólio de tecnologias de endpoint, rede, email e segurança em nuvem, que ajudam as organizações a combater ataques cibernéticos. Como um dos maiores fornecedores de segurança cibernética pura, a Sophos protege mais de 500 mil organizações e 100 milhões de usuários em todo o mundo contra adversários ativos, ransomware, phishing, malware e muito mais. Os serviços e produtos da companhia se conectam por meio do console de gestão Sophos Central com base na nuvem, e mantidos pelo Sophos X-Ops, unidade de inteligência de ameaças entre domínios. O Sophos X-Ops intelligence otimiza todo o ecossistema Sophos Adaptive Cybersecurity, incluindo uma série de dados centralizados que potencializa um rico conjunto de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança e tecnologia da informação. A Sophos fornece cibersegurança como um serviço às organizações que precisam de soluções de segurança totalmente geridas e prontas para uso. Os clientes podem também gerir a segurança cibernética diretamente por meio da plataforma de operações de segurança da empresa ou utilizar uma abordagem híbrida, complementando equipes internas com os serviços da Sophos, incluindo busca por ameaças e reparação. A Sophos comercializa soluções por meio de revendedores parceiros e fornecedores de serviços geridos (MSPs) em todo o mundo. A companhia está sediada em Oxford, no Reino Unido. Mais informações estão disponíveis em www.sophos.com.