Potresti riconoscere una truffa di phishing se si presentasse al tuo prossimo incontro? Scopri come l'inganno di Lainchain ha colto di sorpresa i professionisti a Parigi.

Indice

  • Una trappola crypto a Parigi

  • Comprendere le truffe di phishing e le loro variazioni

  • Come funziona la truffa

  • Risultati dell'indagine tecnica

  • Identità false e ingegneria sociale

  • Analisi di Telegram e social media

  • Violazioni dei dati e attività nel dark web

  • Proteggere se stessi nello spazio crypto

Una trappola crypto a Parigi

La sera del 3 dicembre, si è tenuto un incontro di freelancer al Café Oz di Parigi, attirando individui di vari settori per fare networking e scambiare idee. Tra i partecipanti c'era Scott Horlacher, un ingegnere del software e sviluppatore.

La serata ha preso una piega insolita con l'arrivo di due individui. Uno era vestito in modo elegante, presentandosi come un avvocato che gestiva il lato commerciale delle cose, mentre l'altro, un individuo più giovane e con un aspetto trasandato, si è presentato come Leo, uno sviluppatore. Insieme, hanno affermato di rappresentare una nuova piattaforma di scambio crypto chiamata Lainchain.

La discussione di Horlacher con loro è iniziata in modo innocuo. “Stavamo conversando in francese,” ha spiegato Scott, notando che lo sviluppatore, che si faceva chiamare Leo, descriveva Lainchain come un'app Python Flask. Tuttavia, le risposte alle domande tecniche di Scott hanno sollevato bandiere rosse.

“Lo stavo interrogando riguardo al livello di regolamento, come vengono elaborati e regolati i transazioni sulla tua exchange o piattaforma?”

Il fondatore di Lainchain ha ribattuto, “basta collegare il tuo MetaMask e lo invii direttamente.” A quel punto, i sospetti di Horlacher sono cresciuti. Quando Horlacher ha visitato Lainchain.com, il problema è diventato evidente. “Sono andato alla sezione di registrazione, e questo è fondamentalmente quando ho capito che, oh uomo, questo tipo è una truffa,” ha detto.

“La pagina di registrazione ha un generatore di frasi di recupero del portafoglio direttamente in essa. Chiaramente, l'exchange gestisce le tue chiavi private, e in qualsiasi momento è un rischio per la sicurezza. La persona è o davvero stupida per aver sviluppato la piattaforma, o è un truffatore. E penso che sia più probabile che siano un truffatore.”

Dopo aver affrontato la coppia riguardo alla questione, la loro sicurezza si è sgretolata. Hanno lasciato l'evento poco dopo, lasciando Horlacher e altri a ricostruire la truffa, avvisando gli altri presenti.

Decisi a scoprire la verità su questo incontro sospetto, crypto.news ha collaborato con AMLBot, un'azienda di conformità e analisi forense della blockchain. Ciò che è seguito è stata un'indagine approfondita che ha esposto Lainchain per quello che era realmente: una truffa di phishing accuratamente orchestrata.

Questo articolo analizza i risultati di quell'indagine e esamina come ha funzionato la truffa, quali segnali di allerta osservare e, soprattutto, come puoi proteggerti dal cadere vittima di schemi simili in futuro.

Comprendere le truffe di phishing e le loro variazioni

Prima di approfondire il problema di Lainchain, è importante comprendere i tipi di truffe di phishing che esistono e come prendono di mira le vittime, in particolare nei settori finanziari e crypto.

Le truffe di phishing utilizzano inganni per indurre le persone a rivelare informazioni sensibili come password, frasi di recupero o credenziali di portafoglio. A differenza dell'hacking diretto, il phishing si basa sull'ingegneria sociale, rendendo le vittime partecipanti ignare alla propria sfruttamento.

Secondo Statista, nel 2023, il 27,32% degli attacchi informatici globali erano attacchi di phishing finanziario, in calo rispetto al 36,3% nel 2022 e al 41,8% nel 2021.

Quota di attacchi di phishing finanziario a livello mondiale dal 2016 al 2023 | Fonte: Statista

Inoltre, nel 2023, il Federal Bureau of Investigation Internet Crime Complaint Center ha segnalato oltre 69.000 denunce relative a frodi finanziarie coinvolgenti crypto. Le perdite stimate hanno superato i 5,6 miliardi di dollari, colpendo beni come Bitcoin (BTC), Ethereum (ETH) e Tether (USDT).

Le truffe di phishing spesso assumono queste forme:

  • Phishing via email: Email generiche impersonano entità fidate, come exchange, invitando gli utenti a cliccare su link malevoli o condividere dettagli di accesso.

  • Spear phishing: Truffe altamente mirate personalizzano i messaggi basati su vittime specifiche, spesso impersonando membri del team o partner per stabilire fiducia.

  • Clone phishing: Siti web o app false, come Lainchain, mimano quelle legittime, ingannando gli utenti a inserire le loro credenziali o collegare i portafogli.

  • Phishing sui social media: I truffatori su piattaforme come Telegram o Twitter si spacciano per influencer, personale di supporto o rappresentanti di progetto, attirando le vittime con falsi regali o offerte di investimento.

  • Phishing basato su malware: App o link malevoli infettano i dispositivi, catturando dati sensibili come frasi di recupero, chiavi private e credenziali.

Il phishing nel crypto è particolarmente pericoloso a causa della natura irreversibile delle transazioni blockchain: una volta trasferiti i fondi, non possono essere recuperati. Comprendere queste tattiche è essenziale per evitarle.

Riconoscere i segnali di allerta e adottare pratiche di sicurezza di base, come l'autenticazione a due fattori e la verifica delle fonti, sono passaggi cruciali per proteggere i propri beni digitali.

Come funziona la truffa

Secondo gli investigatori di AMLBot, Lainchain si presentava come un legittimo exchange crypto ma era pieno di difetti fondamentali che esponevano la sua vera natura. L'interfaccia della piattaforma era tutt'altro che professionale, caratterizzata da un design rudimentale che contraddiceva le sue audaci affermazioni.

Pagina di destinazione lainchain.com, 19 dicembre 2024.

L'inganno iniziava con una richiesta apparentemente di routine per gli utenti di collegare i loro portafogli MetaMask per accedere ai servizi della piattaforma. L'integrazione del portafoglio è una funzione comune nelle applicazioni basate su blockchain, ma Lainchain ha manipolato questo processo. Invece di un normale prompt di autorizzazione, agli utenti veniva chiesto di inserire le loro frasi di recupero — una pratica che nessuna piattaforma legittima approverebbe, portando a sospetti che stesse operando come una truffa di phishing.

La pagina di registrazione di lainchain.com, dove agli utenti viene chiesto di fornire la loro frase di recupero, 19 dicembre 2024.

Gli investigatori hanno sottolineato che questa tattica ha effettivamente trasferito il controllo dei portafogli degli utenti ai truffatori. Con accesso alle chiavi private, i perpetratori potevano trasferire liberamente fondi senza rilevamento o interferenze.

Oltre al furto diretto, Lainchain ha utilizzato strategie psicologiche per approfondire il suo sfruttamento. Le vittime sono state attirate con promesse di ritorni straordinari e incoraggiate a depositare ulteriori fondi per “sbloccare il massimo potenziale.”

Quando gli utenti cercavano di prelevare, si trovavano ad affrontare ostacoli fabbricati come richieste di “commissioni di transazione” o “spese di verifica,” che servivano solo a drenare ulteriormente il loro denaro.

L'indagine ha anche rivelato che Lainchain ha raccolto dati personali durante la registrazione, inclusi indirizzi email e dettagli dei portafogli collegati. Queste informazioni sono state probabilmente monetizzate ulteriormente, vendute su mercati del dark web e utilizzate per campagne di phishing o altre forme di furto d'identità.

Risultati dell'indagine tecnica

Gli investigatori di AMLBot hanno utilizzato tecniche di Open Source Intelligence per svelare le operazioni ingannevoli di Lainchain. Un'importante svolta è arrivata dall'analisi dei dettagli di registrazione del dominio lainchain.com.

Il dominio, registrato tramite HOSTINGER — un registrar a basso costo spesso sfruttato dai truffatori — è stato impostato con impostazioni di privacy per oscurare l'identità del proprietario.

Questa deliberata anonimato è un marchio di fabbrica delle operazioni dei criminali informatici. Registrato il 30 gennaio 2023 e aggiornato il 30 ottobre 2024, la cronologia del dominio indicava una finestra prolungata per frodare le vittime.

Ulteriori indagini hanno mostrato che il sito web era ospitato su server a Helsinki, Finlandia, sotto Hetzner Online GmbH, un fornitore di hosting con una reputazione per servizi economici e focalizzati sulla privacy. Sebbene legittimi, tali servizi attraggono frequentemente cattivi attori in cerca di copertura.

Gli investigatori hanno anche scoperto che Lainchain non era una truffa isolata, ma parte di una rete di piattaforme fraudolente come Rawkchain e Staxeblock, tutte costruite su basi di codice quasi identiche.

Commenti incorporati nel codice sorgente HTML di Lainchain facevano esplicito riferimento a Rawkchain, confermando che i siti erano cloni. Questa tattica ha permesso ai truffatori di ri-marchiare e rilanciare dopo l'esposizione, continuando a ingannare gli utenti.

L'analisi del certificato SSL ha ulteriormente collegato Lainchain a un dominio sospetto, finalsolutions.com.pk, suggerendo una rete più ampia per phishing o riciclaggio di fondi rubati. Inoltre, le ricerche inverse IP e l'analisi DNS hanno rivelato server condivisi con altre piattaforme dubbie, esponendo la sua dipendenza da hosting economico e sforzi minimi.

Gli investigatori hanno concluso che Lainchain esemplificava un modello di truffa scalabile, a basso costo e ad alta ricompensa, sfruttando l'anonimato e scorciatoie tecniche per predare gli utenti.

Identità false e ingegneria sociale

Uno degli aspetti più allarmanti della truffa di Lainchain era il suo uso calcolato di identità rubate e prova sociale fabbricata per costruire fiducia e attirare vittime.

Secondo gli investigatori, il sito web di Lainchain mostrava in modo prominente immagini di presunti membri del team, dirigenti e fondatori, complete di titoli impressionanti e biografie professionali.

Tuttavia, gli investigatori hanno rivelato che molte di queste immagini erano rubate da eventi pubblici sulla blockchain e profili sui social media. I truffatori hanno riutilizzato foto di persone ignare, presentandole falsamente come il team di leadership di Lainchain.

In un esempio frappante, l'immagine di un noto politico russo è stata utilizzata per fabbricare l'identità di un dirigente. Altre foto risalivano a professionisti non correlati e sono state abbinate a credenziali false per rafforzare l'illusione di credibilità.

L'inganno si estendeva oltre il sito web. Su piattaforme come Trustpilot, Lainchain mostrava numerose recensioni entusiastiche, lodando la sua interfaccia user-friendly, la robustezza della sicurezza e la redditività.

Tuttavia, ulteriori analisi hanno rivelato che queste recensioni erano false, provenienti da account appena creati o sospetti. Molti di questi profili avevano storie di recensioni di altre piattaforme fraudolente, come Rawkchain e Staxeblock.

Questa combinazione di identità rubate, presenza online fabbricata e recensioni entusiaste ma false ha creato una facciata sofisticata, attirando le vittime a fidarsi della piattaforma, lasciandole vulnerabili a perdite finanziarie e ulteriori sfruttamenti.

Analisi di Telegram e social media

Le funzionalità di privacy e user-friendly di Telegram lo hanno reso una piattaforma favorita per le comunità crypto — e per truffe come Lainchain. Gli investigatori hanno scoperto che Telegram era centrale per l'operazione, fungendo da hub per promuovere la piattaforma fraudolenta e connettersi con le vittime.

I truffatori gestivano un gruppo di supporto privato dove account come Arin_lainchain e DanbenSpencer si spacciavano per amministratori utili. Condividevano contenuti promozionali e indirizzavano gli utenti a rappresentanti di supporto falsi.

Un passo falso ha rivelato un altro account chiave, Lucifer3971, che gli investigatori hanno collegato ad attività di mercato nero, inclusa la vendita di dati rubati. Mentre altri account erano stati abbandonati, Lucifer3971 è rimasto attivo, fornendo piste critiche.

All'interno del gruppo, i truffatori hanno anche creato l'illusione di legittimità utilizzando account falsi per simulare attività. Questi account ponevano domande, condividevano recensioni entusiastiche e discutevano di prelievi falsi, facendo apparire il gruppo affidabile. I moderatori accoglievano i nuovi membri con messaggi scriptati e pubblicavano storie di successo fabbricate per attirare ulteriormente le vittime.

Lo schema si estendeva oltre Telegram. Su Facebook, i truffatori hanno infiltrato gruppi crypto e freelance con profili falsi per promuovere Lainchain. Su Twitter, hanno utilizzato bot e testimonianze fabricate per amplificare il loro messaggio, creando un'illusione di credibilità e fiducia.

Violazioni dei dati e attività nel dark web

La truffa di Lainchain ha esteso la sua sfruttamento oltre al furto di fondi, prendendo di mira i dati personali delle vittime per generare profitto aggiuntivo. Gli investigatori hanno scoperto che informazioni sensibili sono state canalizzate in fughe di dati su larga scala e vendute su mercati del dark web.

Un importante repository collegato a questa rete era naz.api, un database noto per ospitare dati rubati degli utenti provenienti da schemi di phishing, attacchi di malware e exploit del browser.

Una ricerca su naz.api ha rivelato numerosi record compromessi legati a Lainchain, inclusi indirizzi email, numeri di telefono, password e altri dettagli privati.

L'indagine ha anche identificato registri di stealer collegati a Lainchain. Questi registri, ampiamente commerciati nel dark web, fornivano istantanee dettagliate delle sessioni di navigazione delle vittime, inclusi credenziali salvate, dati di completamento automatico e screenshot dei portali di accesso.

Ancora più preoccupante, questi registri non erano isolati: includevano dati provenienti da truffe precedenti di Lainchain, Rawkchain e Staxeblock, alimentando una rete crescente di informazioni rubate.

Proteggere se stessi nello spazio crypto

La truffa di Lainchain evidenzia la crescente minaccia di piattaforme false progettate per mimare operazioni legittime, prendendo di mira coloro che non sono familiari con i sistemi crypto. Sebbene truffe come questa siano esposte, innumerevoli altre operano indisturbate, rubando milioni a utenti ignari.

Rimanere al sicuro inizia con la comprensione di come funzionano queste truffe. I truffatori spesso richiedono frasi di recupero o ingannano gli utenti a collegare i loro portafogli a piattaforme malevole. Slava Demchuk, CEO di AMLBot, ha spiegato i rischi:

“Collegando il tuo portafoglio a una piattaforma non fidata, potresti inconsapevolmente concedere permessi a contratti smart malevoli per accedere e prosciugare i tuoi fondi. Prima di approvare qualsiasi transazione, rivedi sempre attentamente i dettagli. Se la piattaforma sembra inaffidabile o manca di un track record comprovato, è meglio allontanarsi.”

Un'altra tattica comune coinvolge applicazioni di portafoglio false incorporate con malware per rubare informazioni sensibili. Demchuk ha sottolineato di esercitare cautela quando si scaricano app:

“Scarica solo applicazioni da fonti affidabili e verifica la loro credibilità controllando le recensioni degli utenti. Mantenere aggiornato il tuo software antivirus aggiunge un ulteriore livello di protezione.”

Ha anche consigliato un approccio scettico quando si valutano le piattaforme:

“Cerca segnali di allerta come team anonimi o non verificabili, credenziali mancanti o incoerenze nelle loro affermazioni. Se qualcosa sembra strano, fermati e fai ulteriori ricerche. È sempre meglio procedere con cautela piuttosto che rischiare di compromettere i tuoi beni.”

Segnalare le truffe è altrettanto importante. La collaborazione tra utenti, sviluppatori e regolatori è essenziale per proteggere l'ecosistema crypto. Rimanere informati e proattivi non solo protegge i beni individuali, ma rafforza anche la comunità crypto più ampia contro queste minacce.