Você conseguiria identificar um golpe de phishing se ele aparecesse no seu próximo meetup? Descubra como o golpe de Lainchain pegou profissionais de surpresa em Paris.

Índice

  • Uma armadilha criptográfica em Paris

  • Compreendendo golpes de phishing e suas variações

  • Como funciona o golpe

  • Resultados da investigação técnica

  • Identidades falsas e engenharia social

  • Análise de telegramas e redes sociais

  • Violações de dados e atividade na dark web

  • Protegendo-se no espaço criptográfico

Uma armadilha criptográfica em Paris

Na noite de 3 de dezembro, um encontro de freelancers ocorreu no Café Oz em Paris, atraindo indivíduos de várias indústrias para fazer networking e trocar ideias. Entre os participantes estava Scott Horlacher, um engenheiro de software e desenvolvedor.

A noite tomou um rumo incomum com a chegada de duas pessoas. Uma estava bem vestida, apresentando-se como um advogado lidando com o lado comercial das coisas, enquanto a outra, um indivíduo mais jovem e de aparência robusta, se apresentou como Leo, um desenvolvedor. Juntos, afirmaram representar uma nova plataforma de troca cripto chamada Lainchain.

A discussão de Horlacher com eles começou de maneira inocente. “Estávamos conversando em francês,” explicou Scott, observando que o desenvolvedor, que se apresentou como Leo, descreveu a Lainchain como um aplicativo Python Flask. No entanto, as respostas às perguntas técnicas de Scott levantaram bandeiras vermelhas.

“Eu estava questionando-o sobre a camada de liquidação, como as transações são processadas e liquidadas em sua troca ou plataforma?”

O fundador da Lainchain respondeu: “você apenas conecta seu MetaMask, e você envia diretamente.” Nesse ponto, as suspeitas de Horlacher cresceram. Quando Horlacher visitou Lainchain.com, o problema se tornou evidente. “Eu rolei até a seção de inscrição, e foi então que percebi que, oh homem, esse cara é um golpista,” ele disse.

“A página de inscrição tem um gerador de sementes de carteira diretamente nela. Claramente, a troca está gerenciando suas chaves privadas, e em qualquer momento, isso é um risco de segurança. A pessoa é ou realmente estúpida por desenvolver a plataforma ou é um golpista. E eu acho que é mais provável que eles sejam um golpista.”

Depois de confrontar o casal sobre o problema, a confiança deles se desfez. Eles deixaram o evento logo depois, deixando Horlacher e outros para juntar as peças do golpe, alertando os demais presentes.

Determinado a chegar ao fundo desse encontro suspeito, o crypto.news se juntou à AMLBot, uma empresa de conformidade e forense de blockchain. O que se seguiu foi uma investigação aprofundada que expôs a Lainchain pelo que realmente era - um golpe de phishing cuidadosamente orquestrado.

Este artigo analisa as descobertas dessa investigação e examina como o golpe funcionou, quais sinais de alerta observar e, mais importante, como você pode se proteger de cair em esquemas semelhantes no futuro.

Entendendo golpes de phishing e suas variações

Antes de mergulhar mais fundo no problema da Lainchain, é importante entender os tipos de golpes de phishing que existem e como eles visam as vítimas, particularmente nos setores financeiro e cripto.

Os golpes de phishing usam engano para induzir indivíduos a revelar informações sensíveis como senhas, frases-semente ou credenciais de carteira. Diferentemente da invasão direta, o phishing depende de engenharia social, tornando as vítimas participantes involuntárias de sua própria exploração.

De acordo com a Statista, em 2023, 27,32% dos ciberataques globais foram ataques de phishing financeiro, uma queda em relação a 36,3% em 2022 e 41,8% em 2021.

Parte dos ataques de phishing financeiro em todo o mundo de 2016 a 2023 | Fonte: Statista

Além disso, em 2023, o Centro de Reclamações de Crimes pela Internet do Federal Bureau of Investigation relatou mais de 69.000 reclamações relacionadas a fraudes financeiras envolvendo cripto. As perdas estimadas excederam $5,6 bilhões, afetando ativos como Bitcoin (BTC), Ethereum (ETH) e Tether (USDT).

Os golpes de phishing frequentemente assumem estas formas:

  • Phishing por e-mail: E-mails genéricos se passam por entidades confiáveis, como trocas, levando os usuários a clicar em links maliciosos ou compartilhar detalhes de login.

  • Spear phishing: Golpes altamente direcionados personalizam mensagens com base em vítimas específicas, muitas vezes se passando por membros da equipe ou parceiros para estabelecer confiança.

  • Clone phishing: Sites ou aplicativos falsos, como a Lainchain, imitam os legítimos, enganando os usuários para inserir suas credenciais ou conectar carteiras.

  • Phishing em mídias sociais: Golpistas em plataformas como Telegram ou Twitter se passam por influenciadores, funcionários de suporte ou representantes de projetos, atraindo vítimas com falsas ofertas de sorteios ou investimentos.

  • Phishing baseado em malware: Aplicativos ou links maliciosos infectam dispositivos, capturando dados sensíveis como frases-semente, chaves privadas e credenciais.

O phishing em cripto é particularmente perigoso por causa da natureza irreversível das transações em blockchain - uma vez que os fundos são transferidos, não podem ser recuperados. Compreender essas táticas é essencial para evitá-las.

Reconhecer os sinais de alerta e empregar práticas básicas de segurança, como autenticação de dois fatores e verificação de fontes, são passos cruciais para proteger seus ativos digitais.

Como o golpe funciona

De acordo com os investigadores da AMLBot, a Lainchain apresentava-se como uma troca de cripto legítima, mas estava repleta de falhas fundamentais que expuseram sua verdadeira natureza. A interface da plataforma estava longe de ser profissional, apresentando um design rudimentar que desmentia suas ousadas alegações.

Página de aterrissagem do lainchain.com, 19 de dezembro de 2024.

O engano começou com um pedido aparentemente rotineiro para os usuários conectarem suas carteiras MetaMask para acessar os serviços da plataforma. A integração da carteira é um recurso comum em aplicativos baseados em blockchain, mas a Lainchain manipulou esse processo. Em vez de um prompt de autorização padrão, os usuários foram solicitados a inserir suas frases-semente — uma prática que nenhuma plataforma legítima jamais endossaria, levando a suspeitas de que estava operando como um golpe de phishing.

A página de inscrição do lainchain.com, onde os usuários são solicitados a fornecer sua frase-semente, 19 de dezembro de 2024.

Os investigadores destacaram que essa tática efetivamente entregou o controle das carteiras dos usuários aos golpistas. Com acesso às chaves privadas, os perpetradores poderiam transferir fundos livremente sem detecção ou interferência.

Além do roubo direto, a Lainchain empregou estratégias psicológicas para aprofundar sua exploração. As vítimas eram atraídas com promessas de retornos extraordinários e encorajadas a depositar mais fundos para “desbloquear o máximo potencial.”

Quando os usuários tentaram retirar, encontraram obstáculos fabricados como exigências de “taxas de transação” ou “cobranças de verificação”, que serviram apenas para desviar mais dinheiro deles.

A investigação também revelou que a Lainchain coletou dados pessoais durante o registro, incluindo endereços de e-mail e detalhes de carteiras vinculadas. Essas informações provavelmente foram monetizadas ainda mais, vendidas em mercados da dark web e usadas em campanhas de phishing ou outras formas de roubo de identidade.

Descobertas da investigação técnica

Investigadores da AMLBot empregaram técnicas de Inteligência de Fonte Aberta para desvendar as operações enganosas da Lainchain. Uma quebra crítica veio da análise dos detalhes de registro de domínio de lainchain.com.

O domínio, registrado através da HOSTINGER - um registrador de baixo custo frequentemente explorado por golpistas - foi configurado com configurações de privacidade para ocultar a identidade do proprietário.

Esse anonimato deliberado é uma característica das operações cibernéticas criminosas. Registrado em 30 de janeiro de 2023 e atualizado em 30 de outubro de 2024, a linha do tempo do domínio indicou uma janela prolongada para fraudar vítimas.

Uma investigação mais aprofundada mostrou que o site estava hospedado em servidores em Helsinque, Finlândia, sob a Hetzner Online GmbH, um provedor de hospedagem com uma reputação focada em privacidade e serviços acessíveis. Embora legítimos, tais serviços frequentemente atraem atores maliciosos em busca de cobertura.

Os investigadores também descobriram que a Lainchain não era um golpe isolado, mas parte de uma rede de plataformas fraudulentas como Rawkchain e Staxeblock, todas construídas em bases de código quase idênticas.

Comentários embutidos no código-fonte HTML da Lainchain referenciavam explicitamente a Rawkchain, confirmando que os sites eram clones. Essa tática permitiu que os golpistas rebrandassem e relançassem após a exposição, continuando a enganar os usuários.

A análise do certificado SSL vinculou ainda mais a Lainchain a um domínio suspeito, finalsolutions.com.pk, insinuando uma rede mais ampla para phishing ou lavagem de fundos roubados. Além disso, pesquisas de IP reverso e análise de DNS revelaram servidores compartilhados com outras plataformas duvidosas, expondo sua dependência de hospedagem barata e esforço mínimo.

Os investigadores concluíram que a Lainchain exemplificava um modelo de golpe escalável, de baixo custo e alta recompensa, explorando anonimato e atalhos técnicos para predar usuários.

Identidades falsas e engenharia social

Um dos aspectos mais alarmantes do golpe da Lainchain foi seu uso calculado de identidades roubadas e provas sociais fabricadas para construir confiança e atrair vítimas.

De acordo com os investigadores, o site da Lainchain exibia prominentemente imagens de supostos membros da equipe, executivos e fundadores, completos com títulos impressionantes e biografias profissionais.

No entanto, os investigadores revelaram que muitas dessas imagens foram roubadas de eventos públicos de blockchain e perfis de mídias sociais. Os golpistas reutilizaram fotos de indivíduos desavisados, apresentando-os falsamente como a equipe de liderança da Lainchain.

Em um exemplo marcante, a imagem de um conhecido político russo foi usada para fabricar a identidade de um executivo. Outras fotos rastreadas de profissionais não relacionados foram emparelhadas com credenciais falsas para avançar a ilusão de credibilidade.

O engano se estendeu além do site. Em plataformas como Trustpilot, a Lainchain exibiu várias avaliações positivas, elogiando sua interface amigável, segurança robusta e lucratividade.

No entanto, uma análise mais aprofundada revelou que essas avaliações eram falsas, originadas de contas recém-criadas ou suspeitas. Muitas dessas perfis tinham históricos de avaliação de outras plataformas fraudulentas, como Rawkchain e Staxeblock.

Essa combinação de identidades roubadas, presença online fabricada e testemunhos brilhantes, mas falsos, criou uma fachada sofisticada, isentando as vítimas de confiar na plataforma, deixando-as vulneráveis a perdas financeiras e exploração adicional.

Análise de Telegram e mídias sociais

As características de privacidade e facilidade de uso do Telegram tornaram-no uma plataforma favorita para comunidades cripto — e para golpes como a Lainchain. Os investigadores descobriram que o Telegram era central para a operação, servindo como um centro para promover a plataforma fraudulenta e conectar-se com vítimas.

Os golpistas operavam um grupo de suporte privado onde contas como Arin_lainchain e DanbenSpencer se passavam por administradores úteis. Eles compartilhavam conteúdo promocional e direcionavam usuários para representantes de suporte falsos.

Um erro revelou outra conta chave, Lucifer3971, que os investigadores ligaram a atividades de mercado negro, incluindo a negociação de dados roubados. Enquanto outras contas foram abandonadas, Lucifer3971 permaneceu ativa, fornecendo pistas críticas.

Dentro do grupo, os golpistas também criaram a ilusão de legitimidade usando contas falsas para simular atividade. Essas contas faziam perguntas, compartilhavam avaliações positivas e discutiam retiradas falsas, fazendo o grupo parecer confiável. Moderadores recebiam novos membros com mensagens roteirizadas e postavam histórias de sucesso fabricadas para atrair ainda mais vítimas.

O esquema se estendeu além do Telegram. No Facebook, os golpistas infiltraram grupos cripto e freelancers com perfis falsos para promover a Lainchain. No Twitter, usaram bots e depoimentos fabricados para amplificar sua mensagem, criando uma ilusão de credibilidade e confiança.

Vazamentos de dados e atividade na dark web

O golpe da Lainchain estendeu sua exploração além de roubar fundos, visando os dados pessoais das vítimas para gerar lucro adicional. Os investigadores descobriram que informações sensíveis foram canalizadas para vazamentos de dados em larga escala e vendidas em mercados da dark web.

Um grande repositório vinculado a essa rede era o naz.api, um banco de dados notório por hospedar dados de usuários roubados de esquemas de phishing, ataques de malware e explorações de navegadores.

Uma pesquisa no naz.api revelou numerosos registros comprometidos ligados à Lainchain, incluindo endereços de e-mail, números de telefone, senhas e outros detalhes privados.

A investigação também identificou registros de stealer conectados à Lainchain. Esses registros, amplamente negociados na dark web, forneciam instantâneas detalhadas das sessões de navegador das vítimas, incluindo credenciais salvas, dados de preenchimento automático e capturas de tela de portais de login.

Ainda mais preocupante, esses registros não eram isolados - incluíam dados dos golpes predecessores da Lainchain, Rawkchain e Staxeblock, alimentando uma rede crescente de informações roubadas.

Protegendo-se no espaço cripto

O golpe da Lainchain destaca a crescente ameaça de plataformas falsas projetadas para imitar operações legítimas, visando aqueles que não estão familiarizados com sistemas cripto. Enquanto golpes como este são expostos, incontáveis outros operam sem detecção, roubando milhões de usuários desavisados.

Ficar seguro começa com entender como esses golpes funcionam. Os golpistas frequentemente solicitam frases-semente ou enganam os usuários para que conectem suas carteiras a plataformas maliciosas. Slava Demchuk, CEO da AMLBot, explicou os riscos:

“Ao conectar sua carteira a uma plataforma não confiável, você pode inconscientemente conceder permissões para que contratos inteligentes maliciosos acessem e drenem seus fundos. Antes de aprovar qualquer transação, revise os detalhes cuidadosamente. Se a plataforma parecer não confiável ou não tiver um histórico comprovado, é melhor se afastar.”

Outra tática comum envolve aplicativos de carteira falsos embutidos com malware para roubar informações sensíveis. Demchuk enfatizou a necessidade de ter cautela ao baixar aplicativos:

“Baixe aplicativos somente de fontes respeitáveis e verifique sua credibilidade conferindo avaliações de usuários. Manter seu software antivírus atualizado adiciona uma camada extra de proteção.”

Ele também aconselhou uma abordagem cética ao avaliar plataformas:

“Procure por bandeiras vermelhas como equipes anônimas ou não verificáveis, credenciais ausentes ou inconsistências em suas alegações. Se algo parecer estranho, pare e faça mais pesquisas. É sempre melhor errar pelo lado da cautela do que arriscar comprometer seus ativos.”

Denunciar golpes é igualmente importante. A colaboração entre usuários, desenvolvedores e reguladores é essencial para proteger o ecossistema cripto. Manter-se informado e proativo não apenas protege ativos individuais, mas também fortalece a comunidade cripto mais ampla contra essas ameaças.