For de som ikke har hørt om griseslakting ennå – kort sagt – innebærer typologien å bygge tillit med et offer over en lengre periode før de utnyttes for penger, ofte via falske investeringsplattformer. Offeret vil bli guidet gjennom anskaffelsen av kryptovaluta og deretter instruert om å overføre den til svindlerne. Sha Zhu Pan er ikke nyere nyheter siden taktikken har blitt brukt i flere år nå, men ulike varianter av svindelen er på vei oppover. Det er kjent at svindelen stammer fra Fujian-provinsen i Kina i 2017 og har siden blitt økt til å brukes i storskala operasjoner. Selv om modus operandi ser ut til å følge samme rammeverk, brukes dens operasjoner mer systemisk for å lure verdensbefolkningen med økt sofistikering. Nesten alle ofre er ikke-kryptovaluta-brukere, og store individuelle tap er et kjennetegn ved svindel med svineslakt. Det amerikanske FBI har rapportert 1 milliard dollar tapt for slike investeringsordninger for kryptovaluta i 2021, hvor nesten halvparten involverer romantikk. Lignende størrelser sees for andre land. I Kina hvor ordningen oppsto, har 5,7 milliarder dollar blitt rapportert tapt for svindel med svineslakting i 2020. Fra estimater utenfor kjeden og innsamling av lommebøker på blokkjeden, kan de cyberkriminelle syndikatene bak svindel med svineslakt allerede ha tjent titalls milliarder av amerikanske dollar allerede.
5 faser
Svindelene følger et mønster, som ofte utspiller seg i fem forskjellige faser:
Presentasjon - svindlere presenterer seg ofte som velstående, attraktive og vellykkede forretningsfolk på jakt etter et seriøst forhold. De vil dele bilder av mat og seg selv som de ofte stjeler fra andre sosiale medier-kontoer, og de unngår å møte eller live videochatter som hevder at de er for opptatt, for sjenerte eller har hatt en traumatisk opplevelse som gjør det unaturlig og vanskelig.
Grooming - svindlerne vil bevege seg raskt for å erklære vennskap og følelser for sine ofre og kommunisere med dem daglig ved å bruke kjærlige ord, ofte spørre etter bilder. Dette fører deretter til at de introduserer ofrene sine for en tredjeparts app eller nettside, veileder dem om hvordan de kjøper kryptovaluta fra en børs og hvordan de sender den til "plattformen", ofte tilbyr å låne dem penger og oppmuntrer ofre til å invitere venner og familie.
Presstaktikk – svindlerne begynner å øke presset på ofrene for å sende mer og mer til plattformen. Ofre kan bli informert om en tidsbegrenset avtale, og svindlerne vil godta å hjelpe til med å gi et "lån" til offeret inne på plattformen for å oppnå minimumsbeløpet som kreves. Ofrene opplever at investeringene deres blir sittende fast, devaluerer raskt og at svindlerne hevder at investeringene deres også sitter fast. Svindlerne kan prøve å veilede ofrene sine til å låne mer, ved å bruke trusselen om å tape og det som allerede er investert.
Avskjæring - den siste handlingen av bedraget involverer den kraftige snuoperasjonen i følelsen fra svindleren - dette kan innebære å anklage ofrene deres for svindel, be om ytterligere betalinger for forsinkelsesgebyrer, skatter eller andre avgifter. Til slutt avskjærer svindlerne ofte ofrene sine ved å blokkere kommunikasjon.
Drenering – ofrenes personlige opplysninger kan bli solgt eller overført til en annen svindelgruppe som kontakter det samme offeret under en annen enhet, og sier at de kan garantere en rask gjenoppretting av de stjålne midlene. Alternativt, siden en keylogger ofte er koblet til den falske nettsiden, kan de prøve å logge på ulike kontoer for å ta det som er igjen, og hvis ofrenes kontosikkerhet ikke er på nivå, kan de lykkes med akkurat det.
Nøye planlagt og nøysomt utført
Før vi fortsetter, vil jeg legge til at hvis du er ny på krypto, har vi et blogginnlegg som dekker det helt grunnleggende.
Svindlerne har blitt stadig mer sofistikerte i sin tilnærming da de ofte implementerer omfattende prosedyrer/opplæring av personell, på mange måter lik hvordan et normalt samarbeid vil fungere. Det er fortsatt en type romantikk-svindel som involverer kryptovaluta, men med forskjellige varianter som:
Falsk investeringsplattform - Meta Trader
Dette er trolig den eldste og mest kjente metoden. Et tredjepartsprogram som er koblet til svindlerens server. Et shell-selskap er registrert (ofte i Storbritannia) og brukes til å kjøpe en lisens og domene fra metaquote-selgere som Uwork. Trenden med bitcoin kan deretter manipuleres med MT4/5-plugins som virtuell forhandler.
Mining-svindel – smarte kontraktsutnyttelser
Offeret mottar en lenke til den uredelige likviditetsutvinningsapplikasjonen. For å begynne å investere, må offeret koble sin kryptovaluta-lommebok til applikasjonen. Svindleren instruerer offeret om hvordan de kobler kryptovaluta-lommeboken sin til likviditetsgruvepoolen ved å klikke på en knapp for å motta et såkalt gruvesertifikat, eller node, i bytte mot en liten avgift ofte betalt i eth. En popup-vindu designet for å speile grensesnittet til lommebokapplikasjonen viser en liste over tillatelser den angivelig ber om. Ved å klikke på lenken og godta tillatelsene som presenteres, autoriserer ofre ubevisst svindlere til å trekke et ubegrenset beløp ut av kryptovaluta-lommebøkene sine uten tillatelse eller varsel. I svindelen med likviditetsgruvedrift flytter offeret kryptovaluta fra lommeboken til likviditetsgruveplattformen og ser den påståtte avkastningen på et forfalsket dashbord. I troen på at investeringene deres er en suksess, kjøper ofrene ytterligere kryptovaluta. Svindlere flytter til slutt all lagret kryptovaluta og investeringer som er gjort til en svindlerkontrollert lommebok.
Hvordan fungerer dette egentlig?
I løpet av våre undersøkelser har vi identifisert en rekke domener (dapps) som utfører svindelen. Når offeret klikker på lenken for angivelig å bli med i likviditetsgruvepoolen, kjøres en smart kontrakt på ethereum-blokkjeden. Helt uvitende signerer offeret en digital kontrakt som har blitt manipulert for å gi fulle forbruksrettigheter til svindleren. Offeret deler i hovedsak kontrollen og deres ERC20 - USDT (tether) tokens i lommeboken. Så snart dappen har tilgang til midlene, trekker en «transferfrom»-funksjon tokens ut i svindlernes lommebok.
Malware på telefonen - profilkonfigurasjon
Offeret blir bedt om å laste ned en konfigurasjonsfil (skadelig programvare) som er maskert som en programnedlasting. Skadevaren stjeler passord og kontoinformasjon i det stille. Ofrenes legitimasjon kan deretter potensielt brukes til å utføre uredelige pengeoverføringer.
Defi lending liquidity pool
Et domene som presenterer seg som en defi-utlånspoolplattform, som typisk gir offeret profitt i retur for å tilføre likviditet i form av renter på typisk 1-2 % per dag. Offeret blir bedt om å koble lommeboken sin til plattformen, og gjennom lignende metode som gruvesvindel får svindlerne tilgang til tokens i ofrenes lommebok. I denne metoden kan en popup-melding oppfordre offeret til å investere mer via et tidsbegrenset tilbud. Den falske fortjenesten er alltid synlig for offeret på kontoen deres mens domenegrensesnittet blir manipulert av svindlerne.
Hvor befinner svindlerne seg?
Mens sha zhu pan-operasjoner kommer fra Fujian-provinsen i Kina, har den spredt seg til andre fylker i Sørøst-Asia. Pengestrømmen ender ofte opp med kinesiske gjenger som rekrutterer andre til å gjennomføre svindelen i utlandet – vanligvis under dårlige levekår. Disse rekruttene kan deretter selges som slaver mellom forskjellige forbindelser som ofre for menneskehandel. Forbindelsene har vært lokalisert i Myanmar, Laos, Vietnam og Kambodsja. I våre undersøkelser gjort sammen med andre medlemmer av GASO, har vi avslørt steder av ulike svindelforbindelser langs grensene til Thailand.
Hvordan blir milliarder av dollar i stjålne midler hvitvasket?
Etter blokkjedeanalyser av slektninger av svineslaktsaker, viser spesielt ett selskap seg som en viktig bidragsyter til hvitvaskingsprosessen: IMTOKEN PTE. LTD, (https://token.im/?locale=en-us), innlemmet i Singapore i 2016, er et selskap som utvikler cryptocurrency-lommeboktjeneste. Det kan skryte av å ha vekslet mer enn 500 milliarder dollar i kryptovaluta siden starten. Tokenlon er imTokens desentraliserte handelsplattform, inkubert og lansert av ImToken i 2018. Tokenlon er integrert i ImToken-lommeboken. I en e-post til oss sier ImToken at Tokenlon er et eget team nå, men at de fortsatt er i et nært forretningspartnerskap. Tokenlon hevder å være en desentralisert børs, og blant de utpekte mulighetene til Tokenlon er å bytte Bitcoin mot en annen kryptovaluta. I Tokenlons vilkår og betingelser (https://tokenlon.im/tos), hevder de å være en desentralisert kryptovalutabørs (DEX), noe som antyder at de ikke har kontroll over transaksjoner som gjøres siden de alle gjøres automatisk (med smarte kontrakter) . Dette gjør det mulig for imToken å unngå AML-forskrifter og KYC-krav, ettersom de vanligvis oppfattes som ikke gjeldende for DEX-er. I følge Monetary Authority of Singapore er FinTechs og ikke-FinTechs underlagt samme regulering hvis de utfører samme regulerte forretningsaktivitet. Mens omfanget av hvordan DEX-er kan reguleres er opp til debatt, er ImToken/Tokenlon åpenbart feilaktig fremstilling av seg selv som en DEX. På grunn av hvordan Bitcoin (BTC) fungerer, er det umulig å kjøre smarte kontrakter på Bitcoin-blokkjeden. Tokenlon tilbyr token-bytte mellom BTC og Ethereum-baserte tokens. Det er andre tjenester som tilbyr samme byttealternativ fra Bitcoin, men de gjør det som en sentralisert enhet som implementerer KYC, og ikke "desentralisert" som Tokenlon gjør. Som sådan har Tokenlon blitt en veldig populær plattform for hvitvasking av penger. Vi observerer for ofte at Tokenlon praktisk talt er den eneste DEX-en som brukes av Sha Zhu Pan-svindlere i et forsøk på å skjule sporet deres på blokkjeden. Det er sporbart ettersom det er noen data under OP_RETURN-feltet under den respektive bitcoin-transaksjonen, men selve kjedehoppet er ikke representert på bitcoin-reskontroen.
Tokenlon og imToken har vært involvert i nesten alle Sha Zhu Pan-saker vi noen gang har vært vitne til.
Til tross for Tokenlons påstander om å tilby bytteavtaler på en desentralisert måte, innrømmer de at de holder BTC i varetekt. Se https://gto.tokenlon.im/imbtc. "Etter å ha brukt BTC til å lage imBTC og ventet på at 6 blokker skal bekreftes, vil imBTC bli utstedt til Ethereum-lommebokadressen din."
Tokenlon innrømmet nylig å være sentralisert, selv om de er desentralisert når det gjelder regulering. "Derfor velger vi å følge prinsippet om sikkerhet og åpenhet, og midlertidig bruke sentralisert hosting for å gjøre imBTC enkelt å bruke, for å popularisere bruken bedre." https://support.token.im/hc/en-us/articles/360037559114-imBTC-A-new-kind-of-Bitcoin Selv om de har gjort dette så tidlig som i 2019, som de sier i sin kinesiske blogg: https://imtoken.fans/t/topic/6693 Tokenlon beskriver ikke hvordan tokens utstedes, fordi det må gjøres på en sentralisert måte. Dette er ganske enkelt på grunn av hvordan bitcoin-nettverket fungerer. Det er bare ikke mulig å gjøre på en desentralisert måte. Som en konsekvens blir ikke transaksjonen offentlig vist på bitcoin-boken slik man normalt ville sett det. "imBTC er ikke et fritt utstedt token, men genereres ved å låse et identisk beløp i BTC. Helt transparent og 100 % kontrollerbar."
Dette er det motsatte av transparent fordi transaksjonsdataene ikke er på blokkjeden slik man normalt ville sett det. Det er noen data tilgjengelig, men de krever dechiffrering, og vi har sett Tokenlon forsøke å skjule disse dataene også ved å legge til flere bokstaver og tall som ikke tjener noen hensikt. Bare én Tokenlon BTC “escrow” adresse 3JMjHDTJjKPnrvS7DycPAgYcA6HrHRk8UG har behandlet 54 000 BTC siden 2019, som er mellom 1 og 2 milliarder USD (andre adresser i imBTC Dashboard (tokenlon.im)). I tillegg viser måten Tokenlon bytter på andre tokens også på at Tokenlon faktisk er sentralisert, mer som en over-the-counter kryptovaluta-utvekslingstjeneste. Spesielt har Tokenlon svært få, men store likviditetsleverandører. Det er mange flere talende tekniske aspekter som vi kan diskutere, basert på vår egen sporing av en rekke svindeloffers lommebøker og undersøkelser. Vi vil gjerne legge til at andre etterforskere av svindel med svineslakt uavhengig av hverandre har kommet frem til de samme funnene om Tokenlon, og sier at "Tokenlon og imToken-lommeboken har utrolig lav bruk utenfor utvalgte land i Sørøst-Asia, og av aktiviteten som Tokenlon ser. , det burde være tydelig nå at mye av det er uredelig.»
Kan rettferdighet seire?
Retningslinjer som forhindrer og reagerer på menneskehandel som i det store og hele forenkler disse nettsvindlene er åpenbart nødvendige. Å ha rekrutterere/ledere satt bak murene virker usannsynlig, eller i det minste ikke i nær fremtid, kan øke vanskeligheten med å få midlene vellykket hvitvasket være et levedyktig alternativ. I følge data fra kjeden er det utvilsomt lønnsomt, og svindlere blir sjelden tatt ettersom svindelen utføres fra land som ikke kan nås av internasjonale rettshåndhevelsesbyråer og med mangelfulle retningslinjer som ikke håndterer problemet innenfra. Å skape bevissthet hjelper alltid, men vi tror at det å stoppe pengestrømmen/redusere lønnsomheten er en viktig del av bekjempelsen av denne typen kriminalitet. En god start kan være å stoppe enheter der AML praktisk talt ikke eksisterer. Hvis en 'DEX' som hadde en veldig stor del av ulovlig aktivitet, av det den er fullstendig klar over og valgte å ignorere den, burde den ikke holdes ansvarlig? Selv om det er mulig å spore kryptovaluta på blokkjeden, fortsetter kriminelle å bruke mer sofistikerte hvitvaskingsteknikker i et forsøk på å skjule sporet, noe som kan gjøre etterforskningen mer tidkrevende. Disse teknikkene involverer lagdeling, kjedehopping (broer) og mest effektivt blandere/tumblere, selv om vaskeprosessen generelt har vært mindre sofistikert for disse tilfellene sammenlignet med andre. Hvis sporingen er vellykket, kan offeret følge både kriminelle og sivile veier for å gjenopprette sine stjålne eiendeler.
Comments