Dapatkah Anda mengenali penipuan phishing jika muncul di pertemuan Anda berikutnya? Cari tahu bagaimana penipuan Lainchain mengejutkan para profesional di Paris.

Daftar Isi

  • Perangkap crypto di Paris

  • Memahami penipuan phishing dan variasinya

  • Bagaimana cara kerja penipuan ini

  • Temuan penyelidikan teknis

  • Identitas palsu dan rekayasa sosial

  • Analisis Telegram dan media sosial

  • Pelanggaran data dan aktivitas dark web

  • Melindungi diri Anda di ruang crypto

Perangkap crypto di Paris

Pada malam 3 Desember, pertemuan freelancer berlangsung di Café Oz di Paris, menarik individu dari berbagai industri untuk berjejaring dan bertukar ide. Di antara para peserta adalah Scott Horlacher, seorang insinyur perangkat lunak dan pengembang.

Malam itu mengambil arah yang tidak biasa dengan kedatangan dua individu. Salah satunya berpakaian rapi, memperkenalkan dirinya sebagai pengacara yang menangani sisi bisnis, sementara yang lainnya, seorang individu muda dan terlihat kokoh, memperkenalkan dirinya sebagai Leo, seorang pengembang. Bersama-sama, mereka mengklaim mewakili platform bursa crypto baru bernama Lainchain.

Diskusi Horlacher dengan mereka dimulai dengan cukup tidak mencolok. “Kami sedang berbicara dalam bahasa Prancis,” jelas Scott, noting bahwa pengembang yang memberikan nama Leo menggambarkan Lainchain sebagai aplikasi Python Flask. Namun, jawaban terhadap pertanyaan teknis Scott menimbulkan tanda bahaya.

“Saya bertanya kepadanya tentang lapisan penyelesaian, seperti, bagaimana transaksi diproses dan diselesaikan di bursa atau platform Anda?”

Pendiri Lainchain membalas, “Anda hanya menghubungkan MetaMask Anda, dan Anda mengirimkannya langsung.” Pada saat itu, kecurigaan Horlacher tumbuh. Ketika Horlacher mengunjungi Lainchain.com, masalahnya menjadi jelas. “Saya menggulir ke bagian pendaftaran, dan inilah saat saya menyadari bahwa, oh Tuhan, orang ini adalah penipu,” katanya.

“Halaman pendaftaran memiliki generator frasa benih dompet secara langsung di dalamnya. Jelas, bursa ini mengelola kunci pribadi Anda, dan pada titik mana pun, itu adalah risiko keamanan. Orang itu sangat bodoh untuk mengembangkan platform, atau mereka adalah penipu. Dan saya rasa lebih mungkin mereka adalah penipu.”

Setelah menghadapi pasangan itu tentang masalah tersebut, kepercayaan diri mereka runtuh. Mereka meninggalkan acara tidak lama setelah itu, meninggalkan Horlacher dan yang lainnya untuk merangkai penipuan tersebut, memperingatkan orang lain yang hadir.

Ditetapkan untuk menyelidiki pertemuan mencurigakan ini, crypto.news bekerja sama dengan AMLBot, sebuah firma kepatuhan dan forensik blockchain. Apa yang terjadi selanjutnya adalah penyelidikan mendalam yang mengungkap Lainchain untuk apa adanya—sebuah penipuan phishing yang diatur dengan hati-hati.

Artikel ini mengungkap temuan penyelidikan itu dan memeriksa bagaimana penipuan itu bekerja, tanda peringatan apa yang harus diperhatikan, dan yang terpenting, bagaimana Anda dapat melindungi diri dari jatuh ke dalam skema serupa di masa depan.

Memahami penipuan phishing dan variasinya

Sebelum menyelami lebih dalam masalah Lainchain, penting untuk memahami jenis penipuan phishing yang ada dan bagaimana mereka menargetkan korban, terutama di sektor keuangan dan crypto.

Penipuan phishing menggunakan penipuan untuk menipu individu agar mengungkapkan informasi sensitif seperti kata sandi, frasa benih, atau kredensial dompet. Berbeda dengan peretasan langsung, phishing bergantung pada rekayasa sosial, menjadikan korban sebagai peserta yang tidak menyadari dalam eksploitasi mereka sendiri.

Menurut Statista, pada tahun 2023, 27,32% dari serangan siber global adalah serangan phishing finansial, turun dari 36,3% pada tahun 2022 dan 41,8% pada tahun 2021.

Bagian dari serangan phishing finansial di seluruh dunia dari 2016 hingga 2023 | Sumber: Statista

Lebih jauh lagi, pada tahun 2023, Pusat Pengaduan Kejahatan Internet Biro Investigasi Federal melaporkan lebih dari 69.000 pengaduan terkait penipuan keuangan yang melibatkan crypto. Perkiraan kerugian melebihi $5,6 miliar, mempengaruhi aset seperti Bitcoin (BTC), Ethereum (ETH), dan Tether (USDT).

Penipuan phishing sering mengambil bentuk ini:

  • Phishing email: Email generik berpura-pura menjadi entitas tepercaya, seperti bursa, mendorong pengguna untuk mengklik tautan berbahaya atau membagikan rincian login.

  • Spear phishing: Penipuan yang sangat terarah mempersonalisasi pesan berdasarkan korban tertentu, sering berpura-pura menjadi anggota tim atau mitra untuk membangun kepercayaan.

  • Clone phishing: Situs web atau aplikasi palsu, seperti Lainchain, meniru yang sah, menipu pengguna untuk memasukkan kredensial mereka atau menghubungkan dompet.

  • Phishing media sosial: Penipu di platform seperti Telegram atau Twitter berpura-pura menjadi influencer, staf dukungan, atau perwakilan proyek, menggoda korban dengan hadiah palsu atau tawaran investasi.

  • Phishing berbasis malware: Aplikasi atau tautan berbahaya menginfeksi perangkat, menangkap data sensitif seperti frasa benih, kunci pribadi, dan kredensial.

Phishing di crypto sangat berbahaya karena sifat transaksi blockchain yang tidak dapat dibalik—setelah dana ditransfer, mereka tidak dapat dipulihkan. Memahami taktik ini sangat penting untuk menghindarinya.

Mengenali tanda-tanda peringatan dan menerapkan praktik keamanan dasar, seperti otentikasi dua faktor dan memverifikasi sumber, adalah langkah penting untuk melindungi aset digital Anda.

Bagaimana cara kerja penipuan ini

Menurut para penyelidik dari AMLBot, Lainchain menyajikan dirinya sebagai bursa crypto yang sah tetapi dipenuhi dengan kekurangan mendasar yang mengungkapkan sifat aslinya. Antarmuka platform ini jauh dari profesional, menampilkan desain rudimenter yang menyembunyikan klaim beraninya.

Halaman pendaratan lainchain.com, 19 Desember 2024.

Penipuan ini dimulai dengan permintaan seolah-olah rutin bagi pengguna untuk menghubungkan dompet MetaMask mereka untuk mengakses layanan platform. Integrasi dompet adalah fitur umum dalam aplikasi berbasis blockchain, tetapi Lainchain memanipulasi proses ini. Alih-alih permintaan otorisasi standar, pengguna diminta untuk memasukkan frasa benih mereka — praktik yang tidak akan pernah didukung oleh platform yang sah, yang menimbulkan kecurigaan bahwa itu beroperasi sebagai penipuan phishing.

Halaman pendaftaran lainchain.com, di mana pengguna diminta untuk memberikan frasa benih mereka, 19 Desember 2024.

Para penyelidik menyoroti bahwa taktik ini secara efektif menyerahkan kontrol dompet pengguna kepada para penipu. Dengan akses ke kunci pribadi, pelaku dapat mentransfer dana dengan bebas tanpa terdeteksi atau gangguan.

Di luar pencurian langsung, Lainchain menggunakan strategi psikologis untuk memperdalam eksploitasi. Korban dijebak dengan janji pengembalian luar biasa dan didorong untuk menyetor lebih banyak dana untuk 'membuka potensi maksimum.'

Ketika pengguna mencoba menarik dana, mereka menghadapi rintangan buatan seperti permintaan “biaya transaksi” atau “biaya verifikasi,” yang hanya berfungsi untuk menyedot lebih banyak uang dari mereka.

Penyelidikan juga mengungkapkan bahwa Lainchain mengumpulkan data pribadi selama pendaftaran, termasuk alamat email dan rincian dompet yang terhubung. Informasi ini kemungkinan dimonetisasi lebih lanjut, dijual di pasar gelap, dan digunakan untuk kampanye phishing atau bentuk pencurian identitas lainnya.

Temuan penyelidikan teknis

Para penyelidik dari AMLBot menggunakan teknik Intelijen Sumber Terbuka untuk mengungkap operasi menipu Lainchain. Terobosan penting datang dari menganalisis rincian pendaftaran domain lainchain.com.

Domain, terdaftar melalui HOSTINGER — pendaftar biaya rendah yang sering dieksploitasi oleh penipu — diatur dengan pengaturan privasi untuk menyembunyikan identitas pemilik.

Anonimitas yang disengaja ini adalah ciri khas operasi kejahatan siber. Terdaftar pada 30 Januari 2023, dan diperbarui pada 30 Oktober 2024, garis waktu domain menunjukkan jendela yang diperpanjang untuk menipu korban.

Penyelidikan lebih lanjut menunjukkan bahwa situs web tersebut dihosting di server di Helsinki, Finlandia, di bawah Hetzner Online GmbH, penyedia hosting dengan reputasi untuk layanan yang berfokus pada privasi dan terjangkau. Meskipun sah, layanan semacam itu sering menarik aktor jahat yang mencari perlindungan.

Para penyelidik juga menemukan bahwa Lainchain bukanlah penipuan yang terisolasi tetapi bagian dari jaringan platform penipuan seperti Rawkchain dan Staxeblock, semuanya dibangun di atas basis kode yang hampir identik.

Komentar yang disematkan dalam sumber HTML Lainchain secara eksplisit menyebutkan Rawkchain, mengkonfirmasi bahwa situs-situs tersebut adalah klon. Taktik ini memungkinkan para penipu untuk mengganti merek dan meluncurkan kembali setelah terungkap, terus menipu pengguna.

Analisis sertifikat SSL lebih lanjut mengaitkan Lainchain dengan domain mencurigakan, finalsolutions.com.pk, yang mengisyaratkan jaringan yang lebih luas untuk phishing atau pencucian dana yang dicuri. Selain itu, pencarian IP terbalik dan analisis DNS mengungkapkan server yang dibagikan dengan platform meragukan lainnya, mengekspos ketergantungannya pada hosting murah dan upaya minimal.

Para penyelidik menyimpulkan bahwa Lainchain merupakan contoh model penipuan yang dapat diskalakan, biaya rendah, dan imbalan tinggi, memanfaatkan anonimitas dan jalan pintas teknis untuk memangsa pengguna.

Identitas palsu dan rekayasa sosial

Salah satu aspek yang paling mengkhawatirkan dari penipuan Lainchain adalah penggunaannya yang dihitung dari identitas yang dicuri dan bukti sosial yang dibuat untuk membangun kepercayaan dan menjebak korban.

Menurut para penyelidik, situs web Lainchain secara mencolok menampilkan gambar anggota tim, eksekutif, dan pendiri yang diduga, lengkap dengan gelar yang mengesankan dan biografi profesional.

Namun, para penyelidik mengungkapkan bahwa banyak dari gambar ini dicuri dari acara blockchain publik dan profil media sosial. Para penipu menggunakan foto individu yang tidak curiga, secara salah menyajikan mereka sebagai tim kepemimpinan Lainchain.

Dalam satu contoh mencolok, gambar seorang politisi Rusia yang dikenal digunakan untuk membuat identitas eksekutif. Foto lainnya yang berasal dari profesional yang tidak terkait dipasangkan dengan kredensial palsu untuk lebih memperkuat ilusi kredibilitas.

Penipuan ini meluas di luar situs web. Di platform seperti Trustpilot, Lainchain menampilkan banyak ulasan positif yang memuji antarmuka yang ramah pengguna, keamanan yang kuat, dan profitabilitas.

Namun, analisis lebih lanjut mengungkapkan ulasan ini adalah palsu, berasal dari akun yang baru dibuat atau mencurigakan. Banyak dari profil ini memiliki riwayat meninjau platform penipuan lainnya, seperti Rawkchain dan Staxeblock.

Kombinasi identitas yang dicuri, kehadiran online yang dibuat, dan testimoni yang bersinar tetapi palsu menciptakan fasad yang canggih, memancing korban untuk mempercayai platform, membuat mereka rentan terhadap kerugian finansial dan eksploitasi lebih lanjut.

Analisis Telegram dan media sosial

Fitur privasi dan ramah pengguna Telegram telah menjadikannya platform favorit bagi komunitas crypto — dan untuk penipuan seperti Lainchain. Para penyelidik menemukan bahwa Telegram adalah pusat operasi, berfungsi sebagai hub untuk mempromosikan platform penipuan dan menghubungkan dengan korban.

Para penipu mengoperasikan grup dukungan pribadi di mana akun seperti Arin_lainchain dan DanbenSpencer berpura-pura menjadi administrator yang membantu. Mereka membagikan konten promosi dan mengarahkan pengguna ke perwakilan dukungan palsu.

Sebuah kesalahan mengungkapkan akun kunci lainnya, Lucifer3971, yang dihubungkan oleh penyelidik dengan aktivitas pasar gelap, termasuk perdagangan data yang dicuri. Sementara akun lain ditinggalkan, Lucifer3971 tetap aktif, memberikan petunjuk penting.

Di dalam grup, para penipu juga menciptakan ilusi legitimasi menggunakan akun palsu untuk mensimulasikan aktivitas. Akun-akun ini mengajukan pertanyaan, membagikan ulasan positif, dan mendiskusikan penarikan palsu, membuat grup tersebut tampak dapat dipercaya. Moderator menyambut anggota baru dengan pesan skrip dan memposting cerita sukses yang dibuat-buat untuk menjebak korban lebih lanjut.

Skema ini meluas di luar Telegram. Di Facebook, para penipu menyusup ke grup crypto dan freelance dengan profil palsu untuk mempromosikan Lainchain. Di Twitter, mereka menggunakan bot dan testimoni yang dibuat untuk memperkuat pesan mereka, menciptakan ilusi kredibilitas dan kepercayaan.

Pelanggaran data dan aktivitas dark web

Penipuan Lainchain memperluas eksploitasi di luar mencuri dana, menargetkan data pribadi korban untuk menghasilkan keuntungan tambahan. Para penyelidik mengungkap bahwa informasi sensitif disalurkan ke kebocoran data berskala besar dan dijual di pasar gelap.

Salah satu repositori utama yang terhubung ke jaringan ini adalah naz.api, sebuah database terkenal yang menghosting data pengguna yang dicuri dari skema phishing, serangan malware, dan eksploitasi browser.

Pencarian naz.api mengungkapkan banyak catatan yang dikompromikan terkait dengan Lainchain, termasuk alamat email, nomor telepon, kata sandi, dan rincian pribadi lainnya.

Penyelidikan juga mengidentifikasi catatan pencuri yang terhubung ke Lainchain. Catatan ini, yang diperdagangkan secara luas di dark web, memberikan snapshot rinci sesi browser korban, termasuk kredensial yang disimpan, data isi otomatis, dan tangkapan layar portal login.

Lebih mengkhawatirkan, catatan ini tidak terisolasi—mereka termasuk data dari penipuan pendahulu Lainchain, Rawkchain dan Staxeblock, memberi makan ke dalam jaringan informasi yang dicuri yang terus berkembang.

Melindungi diri Anda di ruang crypto

Penipuan Lainchain menyoroti ancaman yang semakin meningkat dari platform palsu yang dirancang untuk meniru operasi yang sah, menargetkan mereka yang tidak akrab dengan sistem crypto. Meskipun penipuan seperti ini terungkap, banyak yang lain beroperasi tanpa terdeteksi, mencuri jutaan dari pengguna yang tidak curiga.

Tetap aman dimulai dengan memahami bagaimana penipuan ini bekerja. Para penipu sering meminta frasa benih atau menipu pengguna agar menghubungkan dompet mereka ke platform berbahaya. Slava Demchuk, CEO AMLBot, menjelaskan risikonya:

“Dengan menghubungkan dompet Anda ke platform yang tidak tepercaya, Anda mungkin tanpa sadar memberikan izin bagi kontrak pintar berbahaya untuk mengakses dan menguras dana Anda. Sebelum menyetujui transaksi apa pun, selalu tinjau rincian dengan cermat. Jika platform tampak tidak dapat dipercaya atau kurang rekam jejak yang terbukti, sebaiknya pergi.”

Taktik umum lainnya melibatkan aplikasi dompet palsu yang disematkan dengan malware untuk mencuri informasi sensitif. Demchuk menekankan untuk berhati-hati saat mengunduh aplikasi:

“Hanya unduh aplikasi dari sumber yang terpercaya dan verifikasi kredibilitasnya dengan memeriksa ulasan pengguna. Mempertahankan perangkat lunak antivirus Anda tetap terbaru menambahkan lapisan perlindungan tambahan.”

Dia juga menyarankan pendekatan skeptis ketika mengevaluasi platform:

“Cari tanda bahaya seperti tim anonim atau yang tidak dapat diverifikasi, kredensial yang hilang, atau inkonsistensi dalam klaim mereka. Jika ada yang terasa tidak beres, berhenti dan lakukan penelitian lebih lanjut. Selalu lebih baik untuk berhati-hati daripada mengambil risiko mengorbankan aset Anda.”

Melaporkan penipuan juga sama pentingnya. Kolaborasi antara pengguna, pengembang, dan regulator sangat penting untuk menjaga ekosistem crypto. Tetap terinformasi dan proaktif tidak hanya melindungi aset individu tetapi juga memperkuat komunitas crypto yang lebih luas melawan ancaman ini.