I ricercatori Proofpoint hanno identificato un nuovo meccanismo di truffa di tipo Advance Fee Fraud che invia campagne email a basso volume e impiega tattiche avanzate di social engineering per truffare gli utenti e sottrarre loro dei Bitcoin. Queste campagne di frode diffondono le credenziali di presunte piattaforme di investimento Bitcoin private e attira le vittime con la prospettiva di poter ritirare criptovalute per un valore di centinaia di migliaia di dollari da un conto già esistente.
Pur essendo molto simile ai tradizionali schemi di Advance Fee Fraud, questa nuova serie di campagne di frode è molto più sofisticata da un punto di vista tecnico, essendo completamente automatizzata e richiedendo una forte interazione da parte delle vittime. L’uso della criptovaluta in questo caso è particolarmente importante per i seguenti motivi:
- Fornisce anonimato sia all’aggressore che alla potenziale vittima, che potrebbe trovare attraente la possibilità di acquisire denaro in modo anonimo ed esentasse.
- Indica che i cybercriminali prendono di mira individui tecnicamente esperti, a loro agio nel maneggiare Bitcoin e un portafoglio digitale.
“Proofpoint ha osservato alcuni dei portafogli di criptovalute associati a questa attività di e almeno uno registra transazioni totali nell’ordine delle centinaia di migliaia di dollari”, spiega Sherrod DeGripppo, Vice President Threat Research and Detection di Proofpoint. “Inoltre, i ricercatori di Proofpoint hanno osservato vittime di queste campagne di frode discutere le loro perdite su forum pubblici, arrivando a dichiarare perdite fino a 500.000 dollari relative a questo attacco. Alcuni dei messaggi relativi a questa campagna includevano esche di grande valore, fino a 20 milioni di dollari. Sfortunatamente, attività BEC come questa possono regolarmente risultare in perdite di centinaia di migliaia o milioni di dollari. Regolarmente, Proofpoint identifica e blocca i tentativi di frode BEC di grande valore”.
I dettagli delle campagne di frode
I ricercatori Proofpoint hanno rilevato la prima di queste campagne nel maggio 2021, incentrata sulla landing page coins45[.]com, mentre la campagna più recente iniziata nel luglio 2021 indirizza le potenziali vittime a securecoins[.]net.
Secondo le analisi Proofpoint, le campagne di frode via email è sono state inviate a decine o centinaia di destinatari in tutto il mondo, con messaggi che contengono le stesse coppie di credenziali – id utente e password – per tutti i destinatari. Sembra che più persone possano accedere con gli stessi dati di login, a patto che provengano da un diverso indirizzo IP e browser. Tuttavia, una volta che cambiata la password e aggiunto un numero di telefono, l’account diventa unico, e le vittime non possono più vedere nulla delle attività delle altre vittime.
