Ați putea observa o înșelătorie de tip phishing dacă apare la următoarea întâlnire? Aflați cum înșelăciunea lui Lainchain i-a surprins pe profesioniști la Paris.

Cuprins

  • O capcană cripto în Paris

  • Înțelegerea înșelătoriilor de tip phishing și a variațiilor acestora

  • Cum funcționează înșelătoria

  • Constatările investigației tehnice

  • Identități false și inginerie socială

  • Analiza telegramelor și a rețelelor sociale

  • Încălcări ale datelor și activitate de pe dark web

  • Protejându-te în spațiul cripto

O capcană cripto în Paris

În seara zilei de 3 decembrie, a avut loc o întâlnire pentru freelanceri la Café Oz din Paris, atrăgând persoane din diverse industrii să facă rețea și să facă schimb de idei. Printre participanți s-a numărat Scott Horlacher, un inginer și dezvoltator de software.

Seara a luat o întorsătură neobișnuită cu sosirea a două persoane. Una era îmbrăcată elegant, prezentându-se ca un avocat care se ocupă de partea de afaceri, în timp ce cealaltă, o persoană mai tânără și cu un aspect mai dur, s-a prezentat ca Leo, un dezvoltator. Împreună, ei au pretins că reprezintă o nouă platformă de schimb crypto numită Lainchain.

Discuția lui Horlacher cu ei a început destul de inocent. „Vorbeam în franceză”, a explicat Scott, menționând că dezvoltatorul, care și-a dat numele Leo, a descris Lainchain ca o aplicație Python Flask. Totuși, răspunsurile la întrebările tehnice ale lui Scott au ridicat semne de întrebare.

„Îl întrebam despre stratul de decontare, de exemplu, cum sunt procesate și decontate tranzacțiile pe schimbul sau platforma ta?”

Fondatorul Lainchain a replicat: „pur și simplu îți conectezi MetaMask-ul și trimite direct.” La acel moment, suspiciunile lui Horlacher au crescut. Când Horlacher a vizitat Lainchain.com, problema a devenit evidentă. „Am derulat spre secțiunea de înscriere și atunci am realizat, oh omule, tipul acesta este un escroc,” a spus el.

„Pagina de înscriere are un generator de fraze seminte pentru portofel direct în ea. Clar, schimbul îți gestionează cheile private, iar în orice moment este un risc de securitate. Persoana este fie cu adevărat proastă pentru a dezvolta platforma, fie este un escroc. Și cred că este mai probabil să fie un escroc.”

După ce i-a confruntat pe cei doi cu problema, încrederea lor s-a destrămat. Au părăsit evenimentul la scurt timp după, lăsându-l pe Horlacher și pe alții să reconstituie înșelătoria, avertizând alții prezenți.

Hotărât să ajungă la fundul acestei întâlniri suspicioase, crypto.news a colaborat cu AMLBot, o firmă de conformitate și criminalistică blockchain. Ceea ce a urmat a fost o anchetă detaliată care a expus Lainchain pentru ceea ce era cu adevărat - o înșelătorie de phishing atent orchestrat.

Acest articol detaliază descoperirile acelei investigații și examinează cum a funcționat înșelătoria, ce semne de avertizare să urmărești și, cel mai important, cum te poți proteja de a cădea victimă unor scheme similare în viitor.

Înțelegerea înșelătoriilor de phishing și a variațiilor lor

Înainte de a aprofunda problema Lainchain, este important să înțelegem tipurile de înșelătorii de phishing care există și cum acestea vizează victimele, în special în sectoarele financiare și crypto.

Înșelătoriile de phishing folosesc înșelăciunea pentru a păcăli indivizii să dezvăluie informații sensibile precum parole, fraze seminte sau acreditive de portofel. Spre deosebire de hackingul direct, phishingul se bazează pe inginerie socială, făcând victimele participanți nevinovați în propria exploatare.

Conform Statista, în 2023, 27.32% din atacurile cibernetice globale au fost atacuri de phishing financiare, în scădere de la 36.3% în 2022 și 41.8% în 2021.

Cota atacurilor de phishing financiare la nivel mondial din 2016 până în 2023 | Sursa: Statista

În plus, în 2023, Centrul de Plângeri pentru Crime pe Internet al FBI a raportat peste 69.000 de plângeri legate de fraude financiare implicând crypto. Pierderile estimate au depășit 5,6 miliarde de dolari, afectând active precum Bitcoin (BTC), Ethereum (ETH) și Tether (USDT).

Înșelătoriile de phishing iau adesea aceste forme:

  • Phishingul prin email: Emailuri generice se pretind a fi entități de încredere, cum ar fi schimburi, îndemnând utilizatorii să facă clic pe linkuri malițioase sau să împărtășească detalii de autentificare.

  • Spear phishing: Înșelătorii foarte țintite personalizau mesajele pe baza victimelor specifice, adesea pretinzând a fi membri ai echipei sau parteneri pentru a stabili încredere.

  • Clone phishing: Site-uri sau aplicații false, cum ar fi Lainchain, mimează unele legitime, păcălind utilizatorii să-și introducă acreditivele sau să-și conecteze portofelele.

  • Phishingul pe rețelele sociale: Escrocii de pe platforme precum Telegram sau Twitter se pretind a fi influenceri, personal de suport sau reprezentați ai proiectului, atrăgând victimele cu oferte false de cadouri sau investiții.

  • Phishing bazat pe malware: Aplicații sau linkuri malițioase infectează dispozitivele, capturând date sensibile precum fraze seminte, chei private și acreditive.

Phishingul în crypto este deosebit de periculos din cauza naturii ireversibile a tranzacțiilor blockchain - odată ce fondurile sunt transferate, ele nu pot fi recuperate. Înțelegerea acestor tactici este esențială pentru a le evita.

Recunoașterea semnelor de avertizare și aplicarea unor practici de securitate de bază, cum ar fi autentificarea în doi pași și verificarea surselor, sunt pași cruciali pentru a-ți proteja activele digitale.

Cum funcționează înșelătoria

Conform investigatorilor de la AMLBot, Lainchain s-a prezentat ca o schimbare crypto legitimă, dar era plină de defecte fundamentale care îi expuneau adevărata natură. Interfața platformei era departe de a fi profesională, având un design rudimentar care contrazicea afirmațiile sale îndrăznețe.

Pagina de aterrizare lainchain.com, 19 decembrie 2024.

Înșelătoria a început cu o cerere aparent de rutină pentru utilizatori de a-și conecta portofelele MetaMask pentru a accesa serviciile platformei. Integrarea portofelului este o caracteristică comună în aplicațiile bazate pe blockchain, dar Lainchain a manipulat acest proces. În loc de o solicitare standard de autorizare, utilizatorii au fost rugați să introducă frazele lor seminte - o practică pe care nicio platformă legitimă nu ar susține-o vreodată, ceea ce a condus la suspiciuni că funcționează ca o înșelătorie de phishing.

Pagina de înscriere a lainchain.com, unde utilizatorii sunt rugați să-și introducă fraza seminte, 19 decembrie 2024.

Investigatori au subliniat că această tactică a predat efectiv controlul portofelelor utilizatorilor escrocilor. Cu acces la cheile private, autorii puteau transfera liber fonduri fără a fi detectați sau deranjați.

Dincolo de furtul direct, Lainchain a folosit strategii psihologice pentru a-și adânci exploatarea. Victimele au fost atrase cu promisiuni de randamente extraordinare și încurajate să depună mai multe fonduri pentru a „debloca potențialul maxim.”

Când utilizatorii au încercat să retragă, au întâlnit obstacole fabricate precum cereri pentru „taxe de tranzacție” sau „taxe de verificare”, care serveau doar pentru a le sifona mai mulți bani.

Investigația a arătat, de asemenea, că Lainchain a colectat date personale în timpul înregistrării, inclusiv adrese de email și detalii legate de portofele. Aceste informații au fost probabil monetizate suplimentar, vândute pe piețele dark web și folosite pentru campanii de phishing sau alte forme de furt de identitate.

Constatările investigației tehnice

Investigatori de la AMLBot au folosit tehnici de inteligență open source pentru a dezvălui operațiunile înșelătoare ale Lainchain. O descoperire critică a venit din analiza detaliilor de înregistrare a domeniului lainchain.com.

Domeniul, înregistrat prin HOSTINGER - un registrator ieftin adesea exploatat de escroci - a fost configurat cu setări de confidențialitate pentru a ascunde identitatea proprietarului.

Această anonimitate deliberată este un semn distinctiv al operațiunilor cibernetice criminale. Înregistrat pe 30 ianuarie 2023 și actualizat pe 30 octombrie 2024, cronologia domeniului a indicat o fereastră prelungită pentru a înșela victimele.

O investigație suplimentară a arătat că site-ul era găzduit pe servere în Helsinki, Finlanda, sub Hetzner Online GmbH, un furnizor de găzduire cu o reputație pentru servicii axate pe confidențialitate și accesibile. Deși legitime, aceste servicii atrag frecvent actori rău intenționați în căutare de adăpost.

Investigatori au descoperit, de asemenea, că Lainchain nu a fost o înșelătorie izolată, ci parte a unei rețele de platforme frauduloase precum Rawkchain și Staxeblock, toate construite pe baze de cod aproape identice.

Comentariile încorporate în sursa HTML a Lainchain au făcut referire explicită la Rawkchain, confirmând că site-urile erau clone. Această tactică a permis escrocilor să se rebranduieze și să relanseze după expunere, continuând să înșele utilizatorii.

Analiza certificatului SSL a legat și mai mult Lainchain de un domeniu suspicios, finalsolutions.com.pk, sugerând o rețea mai largă pentru phishing sau spălarea de fonduri furate. În plus, căutările IP invers și analiza DNS au dezvăluit servere partajate cu alte platforme dubioase, expunând dependența sa de găzduire ieftină și efort minim.

Investigatori au concluzionat că Lainchain exemplifică un model de înșelătorie scalabil, cu costuri reduse și recompense mari, exploatând anonimitatea și scurtăturile tehnice pentru a vâna utilizatorii.

Identități false și inginerie socială

Unul dintre cele mai alarmante aspecte ale înșelătoriei Lainchain a fost utilizarea sa calculată a identităților furate și a dovezilor sociale fabricate pentru a construi încredere și a atrage victime.

Conform investigatorilor, site-ul Lainchain afișa în mod proeminent imagini cu presupus membri ai echipei, executivi și fondatori, complet cu titluri impresionante și biografii profesionale.

Cu toate acestea, investigatorii au dezvăluit că multe dintre aceste imagini au fost furate de la evenimente publice blockchain și profile de pe rețelele sociale. Escrocii au reutilizat fotografii ale indivizilor nevinovați, prezentându-i fals ca echipa de conducere a Lainchain.

Într-un exemplu izbitor, imaginea unui politician rus bine cunoscut a fost folosită pentru a fabrica identitatea unui executiv. Alte fotografii, urmărite la profesioniști neafiliați, au fost asociate cu acreditive false pentru a susține iluzia de credibilitate.

Înșelătoria s-a extins dincolo de site. Pe platforme precum Trustpilot, Lainchain a prezentat numeroase recenzii strălucitoare, lăudându-se cu o interfață prietenoasă cu utilizatorul, securitate robustă și profitabilitate.

Cu toate acestea, analiza suplimentară a dezvăluit că aceste recenzii erau false, provenind din conturi recent create sau suspecte. Multe dintre aceste profile aveau istorii de recenzare a altor platforme frauduloase, cum ar fi Rawkchain și Staxeblock.

Această combinație de identități furate, prezență online fabricată și testimoniale strălucitoare, dar false, a creat o fațadă sofisticată, atrăgând victimele să aibă încredere în platformă, lăsându-le vulnerabile la pierderi financiare și exploatare suplimentară.

Analiza Telegramului și a rețelelor sociale

Funcțiile de confidențialitate și prietenoase cu utilizatorii ale Telegram au făcut din această platformă una favorită pentru comunitățile crypto - și pentru escrocherii precum Lainchain. Investigatorii au descoperit că Telegram a fost central în operațiune, servind ca un hub pentru promovarea platformei frauduloase și conectarea cu victimele.

Escrocii au operat un grup privat de suport unde conturi precum Arin_lainchain și DanbenSpencer s-au prezentat ca administratori ajutători. Au împărtășit conținut promoțional și au direcționat utilizatorii către reprezentanți de suport falsi.

O greșeală a dezvăluit un alt cont cheie, Lucifer3971, pe care investigatorii l-au legat de activități de pe piața neagră, inclusiv comerțul cu date furate. În timp ce alte conturi au fost abandonate, Lucifer3971 a rămas activ, oferind piste esențiale.

În cadrul grupului, escrocii au creat, de asemenea, iluzia de legitimitate folosind conturi false pentru a simula activitatea. Aceste conturi puneau întrebări, împărtășeau recenzii strălucitoare și discutau despre retrageri false, făcând grupul să pară de încredere. Moderatorii primeau noii membri cu mesaje scriptate și postează povești de succes fabricate pentru a atrage și mai mult victimele.

Schema s-a extins dincolo de Telegram. Pe Facebook, escrocii au infiltrat grupuri crypto și freelance cu profile false pentru a promova Lainchain. Pe Twitter, au folosit roboți și testimoniale fabricate pentru a amplifica mesajele lor, creând o iluzie de credibilitate și încredere.

Încălcări de date și activitate pe dark web

Înșelătoria Lainchain și-a extins exploatarea dincolo de furtul de fonduri, vizând datele personale ale victimelor pentru a genera profit suplimentar. Investigatorii au descoperit că informațiile sensibile au fost canalizate în scurgeri de date la scară largă și vândute pe piețele dark web.

Una dintre principalele repozitorii legate de această rețea era naz.api, o bază de date notorie pentru găzduirea datelor furate ale utilizatorilor din scheme de phishing, atacuri malware și exploatări ale browserelor.

O căutare a naz.api a dezvăluit numeroase înregistrări compromise legate de Lainchain, inclusiv adrese de email, numere de telefon, parole și alte detalii private.

Investigația a identificat, de asemenea, jurnale de furt conectate la Lainchain. Aceste jurnale, comercializate pe scară largă pe dark web, ofereau instantanee detaliate ale sesiunilor de browser ale victimelor, inclusiv acreditive salvate, date autofill și capturi de ecran ale portalurilor de autentificare.

Chiar mai îngrijorător, aceste jurnale nu erau izolate - includeau date din înșelătoriile predecesoare ale Lainchain, Rawkchain și Staxeblock, alimentând o rețea în creștere de informații furate.

Protejându-te în domeniul crypto

Înșelătoria Lainchain evidențiază amenințarea în creștere a platformelor false concepute să mimeze operațiuni legitime, vizând cei care nu sunt familiarizați cu sistemele crypto. Deși astfel de înșelătorii sunt expuse, nenumărate altele operează nedetectate, furând milioane de la utilizatori nevinovați.

Rămânerea în siguranță începe cu înțelegerea modului în care funcționează aceste înșelătorii. Escrocii cer adesea fraze seminte sau își păcălesc utilizatorii să-și conecteze portofelele la platforme malițioase. Slava Demchuk, CEO al AMLBot, a explicat riscurile:

„Prin conectarea portofelului tău la o platformă neîncredere, poți acorda fără să știi permisiuni pentru contracte inteligente malițioase să acceseze și să epuizeze fondurile tale. Înainte de a aproba orice tranzacție, revizuiește întotdeauna detaliile cu atenție. Dacă platforma pare neîncredere sau lipsită de un istoric dovedit, cel mai bine este să te îndepărtezi.”

O altă tactică comună implică aplicații false de portofel încorporate cu malware pentru a fura informații sensibile. Demchuk a subliniat să fie prudenți atunci când descarcă aplicații:

„Descarcă aplicații doar din surse de încredere și verifică-le credibilitatea consultând recenziile utilizatorilor. Menținerea software-ului antivirus actualizat adaugă un alt strat de protecție.”

De asemenea, a sfătuit o abordare sceptică atunci când evaluează platformele:

„Caută semne de alarmă precum echipe anonime sau neverificabile, acreditive lipsă sau inconsecvențe în afirmațiile lor. Dacă ceva pare suspect, oprește-te și fă cercetări suplimentare. Este întotdeauna mai bine să fii precaut decât să riști să-ți compromiți activele.”

Raportarea înșelătoriilor este la fel de importantă. Colaborarea între utilizatori, dezvoltatori și reglementatori este esențială pentru protejarea ecosistemului crypto. Rămânerea informat și proactiv nu doar că protejează activele individuale, ci și întărește comunitatea crypto mai largă împotriva acestor amenințări.