Impersonators use Slack ‘driver’ in attempt to swindle crypto educator

Cointelegraph · 2024-10-02T14:20:20.000Z

Crypto educator Duo Nine, creator of the Your Crypto Community (YCC) platform, nearly fell victim to an impersonation scam on Sept. 30, according to an Oct. 1 X thread. The scammers claimed to be executives from venture capital firm ParaFi. Their goal was to convince Duo Nine to download a “patch” that would allow his copy of Slack to work. In reality, the “driver” was likely malware, and the impersonators were attempting to steal his private key and drain his crypto wallet of everything it contained. ParaFi Partner Kevin Yedid-Boton stated in an Oct. 1 X post that the scammers are not associated with his firm and that crypto users should not interact with the bogus accounts. “Last night[,] I was the victim of one of the most complex social engineering scams I've ever seen impersonating @paraficapital staff,” Duo Nine stated, adding “If you're in crypto, you are a target.” He explained that he had been contacted on X by a person claiming to be Ryan Navi, principal and head of venture at ParaFi Capital. The person stated that he was representing Web3 protocols Layer3, Polymarket, Zapper and Coin98. These protocols were looking for “KOLs” (key opinion leaders) to help them market their products, the person stated, implying that they may be interested in partnering with Duo Nine. The message came from a verified account on X. Duo Nine responded by asking for an email from the company’s domain or a private message from the company’s X account. The person refused to provide him with either but did refer him to ParaFi's official website, which listed “Ryan Navi” and several other team members. The person also showed Duo Nine that each member of the team had a verified X account and that all of these accounts were following his account. According to Duo Nine, he saw the person’s unwillingness to provide an email as an “instant red flag.” Even so, he “decided to play ball.” Conversation with ParaFi impersonator. Source: Duo Nine. After exchanging a few messages with him, the supposed “Ryan Navi” invited the crypto educator to a group Telegram chat with himself and two other people claiming to be ParaFi team members Nicole Ferguson and Stephanie Ng. Through the chat, the four individuals agreed on the terms of a new partnership. However, at the last minute, “Nicole” suggested that the two meet via an audio call to hash out the final details. It was at this moment that the true purpose of the meeting began to unfold. Recent: World Record Egg’s two crypto tokens smell kind of bad The supposed team members sent him an authentic Calendly link, which he verified by inspecting the URL. Through this link, he set up a meeting with them. However, they warned him that the team would use a Slack server to have the call, which meant that he would need to sign up for a Slack account. He found this request to be “curious” but signed up anyway. When Duo Nine received the link to the organization’s Slack server, he once again checked it to make sure that it came from the correct domain name — in this case, Slack.com. Sure enough, the link did lead to a subdomain of the official Slack website. So far, the server appeared to be legitimate. However, when clicked, it produced an error message. “Sorry! Something went wrong, but we’re looking into it,” the message stated. Error message from impersonation scam server. Source: Duo Nine. He told “Nicole” about the error message, and she asked “Ryan” about it. “You had this error last week, no?,” she reportedly asked the other supposed team member. In response, “Ryan” claimed that the solution he found was to download a “driver” that was linked to from a Reddit forum post. Suspecting that he was being asked to download malware, Duo Nine refused to install the “driver.” Instead, he once again asked the individuals to send an email from the ParaFi domain to prove that they were not impostors. In response, “Ryan” sent an email from paraficapital@outlook.com, featuring the wrong outlook.com domain and proving that he likely did not have access to the authentic one, parafi.com. At this point, the game was up. Duo Nine confronted them with the evidence against them, and they responded by deleting their messages and ending all contact with him. In the post, Duo Nine urged users to “raise awareness” of this scam and others like it and to keep funds in hardware wallets for extra protection against malware. ParaFi warns users of impersonators On Oct. 1, Yedid-Boton posted to X to warn the crypto community of the scam. “ALERT: FAKE ACCOUNTS IMPERSONATING @ParaFiCapital TEAM,” he stated from his official account. According to the post, the impersonators “are verified with @X and pay a subscription, which implies that these scammers expect to profit from these fake accounts!” Users can distinguish between the real and fake ParaFi accounts because the real one has a yellow badge, and the real team members who follow it have “affiliate” badges proving that they are truly affiliated with the company, the post stated. Yedid-Boton suggested that users should not “interact or trust any posts, messages, or content” from the fake accounts. The alleged malware Reddit post The alleged malware Reddit post came from user u/andler_schust, whose account was created in March. The post was created on Oct. 22. It links to Flaudriver, which claims to be an app that scans a user’s computer and checks to see if they need to update drivers. Flauidriver webapp, alleged to be malware. Source: Flauidriver Driver-update scanning apps often require the user to approve extensive permissions, which makes them extremely risky to use. Users should generally not install these types of apps unless they are from a trustworthy source. Cointelegraph did not test the app to determine if it is malware. According to website analytics platform Scamvoid.net, Flauidriver was released on Oct. 20. The Reddit post was created on Oct. 22, two days after the site was created. Reddit post promoting Flauidriver. Source: Reddit. Impersonation scams are a common problem in the crypto community. On June 15, Binance co-founder Yi He posted several examples of scam accounts she found on X that claimed to be hers but were in fact, impersonators. She sought to raise awareness of the problem and to convince X executives to be more vigilant in blocking these accounts. Magazine: Bankroll Network DeFi hacked, $50M phisher moves crypto on CoW: Crypto-Sec On the same day, the United States Cybersecurity and Infrastructure Security Agency (CISA), warned that scammers were impersonating government employees in order to steal users’ crypto.

Według wątku X z 1 października, edukator ds. kryptowalut Duo Nine, twórca platformy Your Crypto Community (YCC), 30 września niemal padł ofiarą oszustwa polegającego na podszywaniu się pod kogoś innego.
Oszuści podawali się za dyrektorów firmy venture capital ParaFi. Ich celem było przekonanie Duo Nine do pobrania „łatki”, która umożliwiłaby działanie jego kopii Slacka. W rzeczywistości „sterownik” był prawdopodobnie złośliwym oprogramowaniem, a podszywający się próbowali ukraść jego klucz prywatny i opróżnić jego portfel kryptowalutowy ze wszystkiego, co się w nim znajdowało.
Partner ParaFi, Kevin Yedid-Boton, oświadczył 1 października w poście X, że oszuści nie są związani z jego firmą i że użytkownicy kryptowalut nie powinni korzystać z fałszywych kont.
„Wczoraj wieczorem padłem ofiarą jednego z najbardziej skomplikowanych oszustw socjotechnicznych, jakie kiedykolwiek widziałem, podszywającego się pod pracowników @paraficapital” – oświadczył Duo Nine, dodając „Jeśli działasz w branży kryptowalut, jesteś celem”.
Wyjaśnił, że skontaktowała się z nim na portalu X osoba podająca się za Ryana Naviego, dyrektora i szefa działu venture w ParaFi Capital.
Osoba ta stwierdziła, że ​​reprezentuje protokoły Web3 Layer3, Polymarket, Zapper i Coin98. Protokoły te szukały „KOL” (kluczowych liderów opinii), którzy pomogliby im sprzedawać swoje produkty, stwierdziła osoba, sugerując, że mogą być zainteresowani partnerstwem z Duo Nine.
Wiadomość została wysłana ze zweryfikowanego konta na X.
Duo Nine odpowiedziało, prosząc o wysłanie wiadomości e-mail z domeny firmy lub o prywatną wiadomość z konta X firmy.
Osoba ta odmówiła podania mu któregokolwiek z nich, ale odesłała go do oficjalnej strony internetowej ParaFi, na której wymieniono „Ryana Naviego” i kilku innych członków zespołu. Osoba ta pokazała również Duo Nine, że każdy członek zespołu ma zweryfikowane konto X i że wszystkie te konta śledzą jego konto. Według Duo Nine, niechęć tej osoby do podania adresu e-mail była dla niego „natychmiastowym sygnałem ostrzegawczym”. Mimo to „postanowił grać w piłkę”.
Rozmowa z imitatorem ParaFi. Źródło: Duo Nine.
Po wymianie kilku wiadomości z nim, rzekomy „Ryan Navi” zaprosił edukatora kryptowalut do grupowego czatu na Telegramie, w którym uczestniczył on sam oraz dwie inne osoby podające się za członkinie zespołu ParaFi, Nicole Ferguson i Stephanie Ng.
Podczas czatu cztery osoby uzgodniły warunki nowego partnerstwa. Jednak w ostatniej chwili „Nicole” zasugerowała, aby spotkali się przez połączenie audio, aby ustalić ostateczne szczegóły. To właśnie w tym momencie zaczął ujawniać się prawdziwy cel spotkania.
Ostatnie: Dwa kryptotokeny World Record Egg śmierdzą trochę źle
Rzekomi członkowie zespołu wysłali mu autentyczny link Calendly, który zweryfikował, sprawdzając adres URL. Za pomocą tego linku umówił się z nimi na spotkanie. Ostrzegli go jednak, że zespół użyje serwera Slack, aby przeprowadzić rozmowę, co oznaczało, że będzie musiał założyć konto Slack. Uznał tę prośbę za „ciekawą”, ale i tak się zarejestrował.
Gdy Duo Nine otrzymał link do serwera Slack organizacji, ponownie go sprawdził, aby upewnić się, że pochodzi z właściwej nazwy domeny — w tym przypadku Slack.com.
Oczywiście, link prowadził do subdomeny oficjalnej strony Slack. Jak dotąd serwer wydawał się być legalny.
Jednak po kliknięciu pojawił się komunikat o błędzie. „Przepraszamy! Coś poszło nie tak, ale sprawdzamy to” – głosił komunikat.
Wiadomość o błędzie z serwera oszustwa podszywającego się pod kogoś. Źródło: Duo Nine.
Powiedział „Nicole” o komunikacie o błędzie, a ona zapytała o to „Ryana”. „Miałeś ten błąd w zeszłym tygodniu, prawda?”, rzekomo zapytała innego domniemanego członka zespołu.
W odpowiedzi „Ryan” stwierdził, że rozwiązaniem, które znalazł, było pobranie „sterownika”, do którego link znajdował się w poście na forum Reddit.
Podejrzewając, że nakazano mu pobranie złośliwego oprogramowania, Duo Nine odmówił zainstalowania „sterownika”.
Zamiast tego ponownie poprosił te osoby o wysłanie wiadomości e-mail z domeny ParaFi, aby udowodnić, że nie są oszustami.
W odpowiedzi „Ryan” wysłał wiadomość e-mail z adresu paraficapital@outlook.com, podając niewłaściwą domenę outlook.com i dowodząc, że prawdopodobnie nie miał dostępu do autentycznej domeny, parafi.com.
W tym momencie gra się skończyła. Duo Nine skonfrontowało ich z dowodami przeciwko nim, a oni odpowiedzieli, usuwając swoje wiadomości i kończąc wszelki kontakt z nim.
W poście Duo Nine zaapelowało do użytkowników, aby „zwiększali świadomość” tego i podobnych oszustw oraz przechowywali środki w portfelach sprzętowych, aby zapewnić sobie dodatkową ochronę przed złośliwym oprogramowaniem.
ParaFi ostrzega użytkowników przed podszywaczami
1 października Yedid-Boton opublikował na X ostrzeżenie społeczności kryptowalutowej przed oszustwem. „ALARM: FAŁSZYWE KONTA PODSZYWAJĄCE SIĘ POD ZESPÓŁ @ParaFiCapital” — stwierdził na swoim oficjalnym koncie.
Jak wynika z wpisu, podszywający się „są weryfikowani przez @X i płacą abonament, co oznacza, że ​​oszuści spodziewają się czerpać zyski z tych fałszywych kont!”
Użytkownicy potrafią odróżnić prawdziwe konta ParaFi od fałszywych, ponieważ prawdziwe konto ma żółtą odznakę, a prawdziwi członkowie zespołu, którzy je obserwują, mają odznaki „partnerskie”, które dowodzą, że są rzeczywiście związani z firmą – czytamy we wpisie.
Yedid-Boton zasugerował, aby użytkownicy „nie wchodzili w interakcje ani nie ufali żadnym postom, wiadomościom ani treściom” pochodzącym z fałszywych kont.
Domniemany post na Reddicie o złośliwym oprogramowaniu
Domniemany post na Reddicie o złośliwym oprogramowaniu pochodzi od użytkownika u/andler_schust, którego konto zostało utworzone w marcu. Post został utworzony 22 października. Zawiera link do Flaudriver, który twierdzi, że jest aplikacją skanującą komputer użytkownika i sprawdzającą, czy musi on zaktualizować sterowniki.
Aplikacja internetowa Flauidriver, rzekomo będąca malware. Źródło: Flauidriver
Aplikacje do skanowania aktualizacji sterowników często wymagają od użytkownika zatwierdzenia rozległych uprawnień, co sprawia, że ​​korzystanie z nich jest niezwykle ryzykowne. Użytkownicy generalnie nie powinni instalować tego typu aplikacji, chyba że pochodzą z zaufanego źródła. Cointelegraph nie testował aplikacji, aby ustalić, czy jest ona złośliwym oprogramowaniem.
Według platformy analityki stron internetowych Scamvoid.net, Flauidriver został wydany 20 października. Post na Reddicie został utworzony 22 października, dwa dni po utworzeniu witryny.
Post na Reddicie promujący Flauidriver. Źródło: Reddit.
Oszustwa podszywające się pod inne osoby to powszechny problem w społeczności kryptowalut. 15 czerwca współzałożycielka Binance, Yi He, opublikowała kilka przykładów kont oszustów, które znalazła na X, które rzekomo należały do ​​niej, ale w rzeczywistości były kontami podszywającymi się pod inne osoby. Starała się zwiększyć świadomość problemu i przekonać kadrę kierowniczą X, aby była bardziej czujna w blokowaniu tych kont.
Magazyn: Bankroll Network DeFi zhakowane, phishing na kwotę 50 mln USD przenosi kryptowalutę na CoW: Crypto-Sec
Tego samego dnia Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury Bezpieczeństwa Stanów Zjednoczonych (CISA) ostrzegła, że ​​oszuści podszywają się pod urzędników rządowych, aby kraść kryptowaluty użytkowników.

Odkryj więcej od twórcy

Najnowsze wiadomości