Quelle: Chainalysis; Compiler: Deng Tong, Golden Finance
Dieser Artikel ist Teil 2 des von Chainalysis veröffentlichten Halbjahresberichts zur Kryptokriminalität 2024. Um den ersten Teil anzuzeigen, klicken Sie auf „Chainalysis-Bericht: Warum gestohlene Gelder und Ransomware weiter zunehmen“.
Zusammenfassung
CSAM-Netzwerk
Die Meldungen von chinesischen CSAM-Websites haben seit Ende 2023 zugenommen.
Die meisten Wallet-Inhaber erwerben Zugang für einen Monat oder länger, bis zu etwa 20.000 Tagen (entspricht über 54 Jahren) nahezu permanenten Zugangs.
Im Einklang mit unseren bisherigen Erkenntnissen nutzen CSAM-Anbieter bei der Auszahlung weiterhin Soforteinlöser.
Betrug
Betrüger passen ihre On-Chain- und Off-Chain-Strategien an, um kürzere, aber dynamischere und profitablere Betrügereien durchzuführen.
Betrügereien mit der Tötung von Schweinen sind in diesem Jahr bisher die größte Einnahmequelle. Ein Betrugsring aus Myanmar, der erstmals im Jahr 2022 in der Kette entdeckt wurde, hat in diesem Jahr bisher mindestens 101,22 Millionen US-Dollar eingenommen.
Die meisten Betrüger wenden sich weiterhin von umfassenden Ponzi-Systemen ab und wenden sich gezielteren Aktivitäten wie Schweineschlachtbetrug, Home-Office-Betrug und Drainer-Diebstahlbetrug zu (Golden Finance). Hinweis: Drainer ist eine Art von Malware, die speziell zum illegalen Entleeren oder „Entleeren“ von Kryptowährungen entwickelt wurde Wallets und wird von seinen Entwicklern zur Miete angeboten, was bedeutet, dass jeder für die Nutzung des bösartigen Tools oder die Adressvergiftung bezahlen kann.
Garantie
Wir haben eine zunehmende Nutzung in chinesischsprachigen Märkten und Geldwäschenetzwerken beobachtet. Ein solcher Marktplatz ist Huione Guarantee, der mit der Huione Group verbunden ist, einem kambodschanischen Konglomerat, das Käufer und Verkäufer zusammenbringt, die oft wenig tun, um die Illegalität ihrer Transaktionen zu verbergen.
Huione Guarantee hat im Jahr 2021 bisher mehr als 49 Milliarden US-Dollar an Kryptowährungstransaktionen abgewickelt, weit mehr als zuvor berichtet.
Zu den On-Chain-Verbindungen von Huione gehören Schweineschlachtungen und andere Betrügereien, Adressen, bei denen Gelder gestohlen wurden, die von der OFAC zugelassene russische Börse Garantex, Betrugsshops, CSAM, chinesische Glücksspielseiten und Casinos und mehr.
Im ersten Teil unseres Halbjahres-Updates zur Kriminalität haben wir Trends im Zusammenhang mit Ransomware und gestohlenen Geldern besprochen. Während die gesamten illegalen On-Chain-Aktivitäten seit Jahresbeginn (YTD) um fast 20 % zurückgegangen sind, haben sich die Zuflüsse gestohlener Gelder fast verdoppelt, und die jährlichen Ransomware-Zahlungen dürften die höchsten aller Zeiten in einem einzigen Jahr sein.
In der zweiten Hälfte unseres Updates werden wir die On-Chain-Aktivitäten im Zusammenhang mit der Verbreitung und dem Konsum von Material über sexuellen Missbrauch von Kindern (CSAM) untersuchen, einschließlich einer On-Chain-Analyse der von zwei CSAM-Anbietern erhaltenen Zahlungen und was diese Beträge bedeuten.
Als Nächstes werfen wir einen Blick auf die neuesten Trends bei Kryptowährungsbetrug. On-Chain- und Off-Chain-Aktivitäten deuten darauf hin, dass Betrüger ihre Taktiken anpassen und kürzere, aber profitablere und regenerativere Kampagnen starten. Wir werden ein bemerkenswertes Betrugssyndikat besprechen – das bisher umsatzstärkste Syndikat des Jahres 2024 – das den Trend der letzten Jahre weg von aufwändigen Schneeballsystemen und hin zu gezielteren Aktivitäten wie der Schweineschlachtung verdeutlicht.
Der Grund, warum „Schweinetötungsplatte“ den Namen „Schweinetötungsplatte“ trägt, liegt darin, dass Kriminelle die Opfer „mästen“, um so viel Gewinn wie möglich zu erzielen. Dabei geht es oft darum, eine romantische Beziehung mit dem Opfer per SMS oder Dating-App anzubahnen, bis das Opfer dann unter Druck gesetzt wird, Geld an eine gefälschte Investitionsmöglichkeit zu senden. Erschreckenderweise handelt es sich bei den Betrügern am anderen Ende dieser Gespräche oft um Menschen, die entführt, nach Südostasien verschleppt und zur Arbeit in Arbeitslagern auf großen Geländen gezwungen wurden, um den Schweineschlachtteller-Betrug zu begehen.
Abschließend werfen wir einen Blick auf Huione Guarantee, einen 49-Milliarden-Dollar-Markt, der kürzlich als Förderer von Cyberkriminalität, einschließlich CSAM und Killer Plate, entlarvt wurde. Fangen wir an.
Chinas CSAM zeigt Anzeichen von Wachstum
Die Meldungen über chinesische CSAM-Anbieter haben seit Ende letzten Jahres zugenommen. Die folgende Grafik zeigt den Anteil aller CSAM-Aktivitäten bei Lieferanten, die auf RMB lauten, im Vergleich zu anderen Währungen. Diese Websites bieten Yuan-Wechselkurse für Kryptowährungszahlungen. Chinesische Zulieferer haben seit Ende 2023 einen größeren Anteil an den weltweiten CSAM-Zuflüssen ausgemacht und erreichten im ersten Quartal dieses Jahres mit 38,8 % der bisherigen Gesamtzuflüsse ihren Höhepunkt.
Laut der Internet Watch Foundation (IWF), einer Organisation, die sich der Verhinderung sexuellen Missbrauchs von Kindern im Internet widmet, ist es schwierig herauszufinden, warum diese Netzwerke in China gewachsen sind. „Wir sehen eine Zunahme der Meldungen über diese Art von Standorten“, sagte ein IWF-Sprecher. „Allein anhand der Meldekanäle ist es schwierig, definitiv zu sagen, ob es einen Trend gibt oder ob es diese Websites schon seit einiger Zeit gibt, aber den Behörden nicht gemeldet wurde, während die Websites selbst möglicherweise schon seit einiger Zeit verfügbar sind.“ öffentlich bekannt, aber die On-Chain-Infrastruktur für diese Dienste ist relativ neu, wobei die älteste chinesische Wallet auf den 18. Juli 2023 zurückgeht und die meisten anderen Adressen von Ende 2023 stammen. Zumindest im Hinblick auf die On-Chain-Dimension deutet der Zeitrahmen dieser Wallets darauf hin, dass diese Dienste im Entstehen begriffen sind, einen echten Trend darstellen und möglicherweise nicht nur das Produkt neuer Berichtskanäle sind.
On-Chain-Inspektion chinesischer CSAM-Lieferanten
Wir können den weltweiten Schaden sexuellen Kindesmissbrauchs nicht anhand von Zahlen beziffern. Angesichts ihres Umverteilungspotenzials können kleine Einkäufe im Wert von mehreren zehn Dollar (wie in der nachstehenden Chainalysis Investigations-Grafik dargestellt) immer noch zur langfristigen Ausbeutung von Kindern führen.
Das oben abgebildete Netzwerk umfasst zwei mutmaßliche CSAM-Lieferanten, die Materialien in chinesischen Yuan verkaufen. Überweisungen von persönlichen Wallets an Anbieter geben Aufschluss darüber, welche Art von Zugang CSAM-Käufer im Vergleich zu den Abonnementpreisen auf der Website des CSAM-Anbieters kaufen. Wie bereits erwähnt, können Käufer für nur 5 US-Dollar einen Tag lang Zugang zu CSAM-Materialien dieser Anbieter erhalten. Sie können auch einen nahezu dauerhaften Zugang (ca. 20.000 Tage oder über 54 Jahre) für nur 41 US-Dollar erwerben. In diesem Beispiel erwerben die meisten Wallet-Inhaber den Zugang für einen Monat oder länger. Was CSAM-Anbieter betrifft, nutzen sie bei der Auszahlung Soforteinlöser, was mit unserer Berichterstattung zu Beginn dieses Jahres übereinstimmt.
Betrüger nutzen On-Chain- und Off-Chain-Strategien; es kommt weiterhin zu groß angelegten Schweineschlacht-Betrügereien
Betrügereien im Zusammenhang mit Kryptowährungen nehmen im Jahr 2024 zu, da Milliarden von Dollar einfließen, was einen der bislang größten Bereiche illegaler Aktivitäten in diesem Jahr darstellt. Das auffälligste Merkmal der diesjährigen Betrugslandschaft ist die rasante Entwicklung der On-Chain-Fußabdrücke der Betrüger – der Krypto-Wallets und Adressen, mit denen sie Zahlungen von Betrugsopfern einziehen – sowie der Off-Chain-Tools, mit denen sie Opfer manipulieren, wie z Domainnamen und Social-Media-Konto. Diese Aktivität zeigt, wie Betrüger sich innerhalb und außerhalb der Kette anpassen, um kürzere und schädlichere Betrügereien durchzuführen. Um Entdeckungen und Störungen zu vermeiden, werden bei vielen dieser Vorgänge viele kleinere, gleichzeitige Kampagnen neu erstellt oder verwaltet, um das größere organisierte Betrugssyndikat am Laufen zu halten.
Ein auffälliges Merkmal der Betrugslandschaft im Jahr 2024 ist, wie viel der gesamten Betrugszuflüsse in diesem Jahr bisher in Wallets geflossen sind, die in diesem Jahr aktiv waren, was auf einen Anstieg neuer Betrügereien hindeutet. Die folgende Grafik zeigt den Anteil des zuerst erscheinenden Wallets an den gesamten Betrugseinnahmen für die Jahre, in denen der Betrug Kryptowährung erhalten hat. Bemerkenswert ist, dass 43 % der Betrugszuflüsse seit Jahresbeginn an Wallets gingen, die in diesem Jahr aktiv waren. Dieser Trend ist bedeutsam, da im nächsthöheren Jahr, 2022, nur 29,9 % der gesamten Zuflüsse seit Jahresbeginn in diesem Jahr an aktive Wallets gingen.
Dieser Trend spiegelt sich gut in der deutlich kürzeren durchschnittlichen Lebensdauer von Betrügereien wider, wie in der folgenden Grafik dargestellt. Wir haben diesen Trend aufgezeichnet, indem wir die Anzahl der Tage zwischen der ersten und letzten Beobachtung der Betrugsaktivität in der Kette gezählt haben. Die durchschnittliche Anzahl der Tage, an denen Betrügereien aktiv waren, ist von 2020 bis 2024 deutlich zurückgegangen, wobei Betrügereien, die im Jahr 2020 begannen, 271 Tage aktiv waren, verglichen mit 42 Tagen bei Betrügereien, die im Jahr 2024 begannen. Dieser Makrotrend steht im Einklang mit der Tatsache, dass sich Betrüger weiterhin von ausgefeilten Ponzi-Systemen abwenden und sich gezielteren Aktivitäten wie dem Töten von Schweinen oder der Vergiftung von Adressen zuwenden, was teilweise auf die verstärkten Durchsetzungsbemühungen von Stablecoin-Emittenten zurückzuführen ist, um Adressen auf der schwarzen Liste zu betrügen.
Obwohl Betrüger dazu neigen, neue On-Chain-Adressen zu verwenden, gehen im Jahr 2024 bisher etwa 57 % der Betrugszuflüsse immer noch an Wallets, die vor 2024 aktiv waren. Eine der größten Einzelbörsen, die in diesem Jahr aktiv war, konsolidierte Gelder aus vielen der berüchtigtsten Schweineschlachtbetrügereien Myanmars, KK Park. Das Wallet wurde erstmals im Jahr 2022 in der Kette entdeckt und Betrügereien unter Verwendung der Adresse generieren weiterhin erhebliche Einnahmen und brachten in diesem Jahr bisher über 100 Millionen US-Dollar ein. Die Gelder können von Betrugsopfern oder aus Lösegeldzahlungen von Familien stammen, die versuchen, Opfer von Menschenhandel zu retten.
Darüber hinaus ist es erwähnenswert, dass Betrüger von KK Park und ähnlichen Veranstaltungsorten ihre Betrugspräsenz außerhalb der Kette sehr aktiv anpassen und oft vollständige Facebook-, Tinder- und Match.com-Profile von chinesischen Diensten kaufen, um sie in ihren Kampagnen zu verwenden. Die folgende Grafik zeigt den Wertfluss von der KK Park-Betrugsmappe zu den Betrugsgeschäften, die illegale Produkte verkaufen, was die Betrüger mit verheerender Wirkung ausnutzten.
Ein Screenshot der Website des Betrugsshops zeigt auch die Preise für die von ihm verkauften Social-Media-Konten.
Wir sehen weitere Belege für diesen Trend, wenn wir uns die Gesamtzuflüsse in Dienste ansehen, die Social-Media-Konten wie diesen Betrugsshop verkaufen. Die folgende Grafik zeigt, dass die an diese Dienste gesendeten Kryptowährungen in den letzten zwei Jahren stetig gewachsen sind und von 2022 bis 2024 insgesamt 178.000 Einzahlungen im Gesamtwert von etwa 10,5 Millionen US-Dollar getätigt haben. Die Preise für Social-Media-Profile auf diesen Websites liegen zwischen 5 und 20 US-Dollar pro Konto, was bedeutet, dass Betrüger möglicherweise zwischen 525.000 und 2,1 Millionen Social-Media-Profile gekauft haben, mit denen sie Opfer ansprechen können.
Neben der Überweisung von Geldern an Dienste, die Betrugstools anbieten, müssen Betrüger ihre unrechtmäßig erworbenen Gewinne letztendlich auch an Dienste senden, um sie zu waschen und in Fiat-Währung umzuwandeln, vor allem über zentralisierte Börsen. In diesem Jahr haben wir auch eine Zunahme der Nutzung chinesischsprachiger Marktplätze und Geldwäschenetzwerke, einschließlich Huione Guarantee, festgestellt.
Huione-Garantie: Ein Online-Markt im Wert von 49 Milliarden US-Dollar
Huione Guarantee, ein mit dem kambodschanischen Mischkonzern Huione Group verbundener Online-Marktplatz, wurde kürzlich als bedeutender Akteur der Cyberkriminalität entlarvt. Unsere Abdeckung des Dienstes ist viel größer als zuvor berichtet – wir haben festgestellt, dass die Plattform seit 2021 mehr als 49 Milliarden US-Dollar an Kryptowährungstransaktionen verarbeitet hat.
In der Vergangenheit stellte die Huione Group legitime Dienstleistungen bereit, fungierte als Überweisungssystem für Auslandsüberweisungen und stellte Versicherungsdienstleistungen bereit. Das Unternehmen war einst im Luxusreisegeschäft tätig. Allerdings scheint seine Plattform Huione Guarantee stark für illegale Krypto-Aktivitäten wie Metzgerei, Investitionsbetrug und Geldwäsche genutzt zu werden. Huione Guarantee hat sich zu einem großen und vielfältigen Ökosystem entwickelt, das das lukrative Geschäft mit Metzgereischalen unterstützt, das weiterhin in Südostasien tätig ist.
Huione Guarantee ist ein Peer-to-Peer-Marktplatz (P2P), der Käufer und Verkäufer verbindet und diese Transaktionen häufig über Telegram ermöglicht, das eine Kontaktstelle darstellt. Insgesamt gibt es Tausende von Telegram-Gruppen, die auf Huione Guarantee Werbung machen oder Nachrichten veröffentlichen. Jede Gruppe wird von einem anderen unabhängigen Händler oder Tochterunternehmen betrieben, von denen viele möglicherweise Verbindungen zu in der Region tätigen kriminellen Unternehmen haben.
Huione Guarantee gibt an, bei diesen Transaktionen eine neutrale Partei zu sein. Berichten zufolge agiert das Unternehmen wie eine Handelsplattform, die für jeden ausgeführten Handel eine Gebühr erhebt, die Legitimität der aufgeführten Waren und Dienstleistungen jedoch nicht überprüft.
Hinweis: Dieses Bild wurde maschinell aus der chinesischen Originalversion übersetzt.
Viele Händler auf der Huione-Garantie tun wenig, um ihre Aktivitäten zu verbergen, sondern verwenden stattdessen kryptische Codewörter, um für die Art der von ihnen gewünschten Dienstleistungen zu werben. Beispielsweise zeigen einige Anzeigen Nutzer, die nach „Konvois“ suchen, was bedeutet, dass sie nach Money Mules suchen, um Geld durch mehrere Punkte und Stufen zu transportieren, wodurch die Quelle und das Ziel des Geldes verschleiert werden.
Andere Beiträge bewarben Folgendes:
Gesichtserkennungs- oder Gesichtsmodifikationstechnologie ist im Abschnitt „Entwickeln“ der Plattform verfügbar.
Planung eines Schweineschlachtplans und eines Schneeballsystems.
Stellt globale Pässe und Visa zur Verfügung und hilft angeblich bei Anträgen.
Hinweis: Dieses Bild wurde maschinell übersetzt. Der Originaltext lautet „Shazhu“, was „Schweine töten“ bedeutet.
Hinweis: Dieses Bild wurde maschinell aus der chinesischen Originalversion übersetzt.
Die On-Chain-Aktivitäten von Huione Guarantee
Die On-Chain-Analyse zeigt, dass Huione Pay auf Ethereum mit Gesamtzuflüssen von über 1,9 Milliarden US-Dollar und auf TRON mit Zuflüssen von über 47 Milliarden US-Dollar aktiv ist. Im Bild unten sehen wir ein Beispiel dieser Aktivität mit Überweisungen zwischen Huione Pay und verschiedenen illegalen und risikoreichen Gegenparteien, was das umfangreiche Netzwerk von Huione an Vermittlern hervorhebt. Das P2P-Netzwerk, das Huione offenbar außerhalb der Kette unterstützt, ist auch in der Kette abgebildet. Huione hat Gelder empfangen und an verschiedene Arten von Gegenparteien gesendet, darunter Betrügereien, als gestohlene Gelder gemeldete Adressen, die von der OFAC zugelassene russische Börse Garantex, Betrugsshops und CSAM , chinesische Glücksspielseiten und Casinos usw.
Huione Guarantee wickelte auch Wallet-Transaktionen ab, die angeblich mit großen kriminellen Gruppen wie KK Park in Verbindung stehen. Darüber hinaus entdeckte Chainalysis Wallets, die mit der Fully Light Group und Warner International in Verbindung stehen, zwei von der myanmarischen Familie Kokang geführten Unternehmen, die Berichten zufolge mit illegalen Aktivitäten wie Spielhallen, geheimen Finanznetzwerken und Geldwäscheprogrammen in Verbindung stehen.
Die Nutzung der Huione-Garantie durch diese Netzwerke zeigt, dass der Dienst nicht nur die Aktivitäten der Betrüger und Betrüger selbst, sondern auch der dahinter stehenden Kriminellennetzwerke erleichtert.
Huione Guarantee ist bemerkenswert, weil es als Anlaufstelle für verschiedene Arten von Cyberkriminellen dient, darunter Betrüger und CSAM-Netzwerke. Es ist zwar der größte, aber nicht der einzige Dienst seiner Art. Andere Netzwerke nutzen Telegram ebenfalls, um P2P-Transaktionen zu ermöglichen, oft für den Austausch illegaler Waren und Dienstleistungen. Chainalysis arbeitet eng mit unseren Partnern zusammen, um dieses Ökosystem genau zu überwachen und diese Aktivität aufzudecken.