האקרים מפתים קורבנות להשקיע במטבעות מבוזרים דרך אפלי' היכרויות

מחקר חדש חושף ממצאים חדשים על הונאה רחבת היקף, מסוג פיטום חזירים (בסינית: שה זו פאן), שבה משתמשים ההאקרים בפלטפורמות של מטבעות מבוזרים לגניבת יותר ממיליון דולר מהקורבנות.

החוקרים מסופוס תיארו במחקר את סיפורו של משתמש שנפל קורבן להונאה ואיבד 22 אלף דולר בשבוע. זאת, לאחר שמשתמשת פיקטיבית יצרה איתו קשר דרך אפליקציית ההיכרויות מיט מי.

צוות Sophos X-Ops חקר את המקרה וחשף 14 שמות מתחם (דומיינים) ששימשו במסגרת ההונאה, וכן עשרות אתרים זדוניים, כמעט זהים, שדרכם הפעילו פושעי הסייבר את הונאת פיטום החזירים והצליחו לגנוב יותר ממיליון דולר – בתוך שלושה חודשים בלבד.

איך ההונאה פועלת?

ההונאה מנצלת את חוסר הפיקוח בתחום הכלכלה המבוזרת (DeFi) כדי להערים על הקורבנות להשקיע במטבעות מבוזרים באפליקציות מסחר בקריפטו. במאגר הפלטפורמות הללו מוחזקים סוגים שונים של מטבעות מבוזרים, שמשמשים לביצוע עסקאות במטבעות אלה. המשתתפים במאגר מרוויחים עמלה מהעסקאות הללו, וכך נוצר מנגנון תשואה. כדי להצטרף למאגר, קודם כל צריכים המשתתפים לחתום אונליין על חוזה חכם, שמעניק לחשבון אחר – בדרך כלל למפעילי המאגר – הרשאת גישה לארנקים שלהם לצורך ביצוע עסקאות במאגר. המאגרים הזדוניים שאותם מפעילים פושעי הסייבר פועלים בצורה דומה, אך בשונה ממאגרים לגיטימיים, בשלב מסוים מרוקנים הנוכלים את המאגר ונעלמים עם כספי המשתתפים.

לדברי שון גלאגר, חוקר איומים ראשי בסופוס, "כשגילינו בפעם הראשונה את השימוש הזדוני במאגרים אלה, הכול היה עדיין מאוד בוסרי. מאז השתכללה השיטה, וכיום הפכה תרמית במטבעות מבוזרים לחלק בלתי נפרד מהונאת פיטום חזירים – כמו, למשל, פיתוי קורבנות להשקיע במטבעות מבוזרים דרך אפליקציות היכרויות. מעטים בציבור מבינים באמת כיצד עובד המסחר הלגיטימי במטבעות מבוזרים, ולכן קל לנוכלים להונות את הקורבנות. כיום, יש אפילו ערכות מוכנות לביצוע ההונאות האלה – מה שמקל עוד יותר על ארגוני פשיעה שעוסקים בהונאות מסוג פיטום חזירים להוסיף את סוג התרמית הזה לארגז הכלים שלהם".

גלאגר ציין כי "בשנה שעברה עקבנו אחרי עשרות מאגרים זדוניים, ואילו כיום יש כבר יותר מ־500 כאלה".

סיפורו של פרנק

צוות Sophos X-Ops גילה בראשונה את השימוש בהונאת כריית נזילות מקורבן בשם פרנק. פרנק קיבל פנייה באפליקציית ההיכרויות מיט מי מחשבון פיקטיבי, שהתחזה לאישה גרמניה בשם ויויאן. זו סיפרה שעברה לוושינגטון לצורך עבודה. פרנק התכתב עם ויויאן במשך כמה שבועות, כשכל הזמן היא עוברת לסירוגין משיחה בעלת אופי רומנטי לניסיונות עיקשים לשכנע את פרנק להשקיע במטבעות מבוזרים.

בסופו של דבר, התרצה פרנק ופתח חשבון באפליקציית הארנק הדיגיטלי (הלגיטימית) טראסט וולט, שמאפשרת להמיר דולרים למטבעות מבוזרים, וצירף את הארנק למאגר שעליו המליצה ויויאן. בפועל, מדובר היה במאגר זדוני, שהשתמש בפלטפורמת הכלכלה המבוזרת הלגיטימית אול נודס ככיסוי, כדי לא לעורר חשד. בין ה־31 במאי ל־5 ביוני השנה השקיע פרנק 22 אלף דולר במאגר הזה. שלושה ימים לאחר מכן רוקנו הנוכלים את הארנק הדיגיטלי של פרנק. בצר לו, הוא פנה ל-ויויאן בבקשת עזרה, והיא הנחתה אותו להמשיך ולהשקיע במאגר, כדי להחזיר את הכסף שהפסיד ולקצור את התשואה המובטחת. פרנק ניסה להבין טוב יותר מה בדיוק קורה פה, הגיע למאמר שפרסמה סופוס בנושא הונאות כרייה ופנה לגלאגר לקבלת עזרה.

בעצת גלאגר, חסם פרנק את ויויאן, אך היא הצליחה למצוא אותו בטלגרם, והמשיכה להפציר בו להוסיף ולהשקיע במאגר. היא אפילו שלחה מכתב שניסה לפרוט על נימי הרגש שלו. החוקרים ציינו ש-"קרוב לוודאי שהמכתב נכתב באמצעות כלי בינה מלאכותית".

גלאגר סיכם באומרו כי "מה שהופך את ההונאות האלה לקשות כל כך לאיתור הוא שהן נשענות באופן מלא על הנדסה חברתית – ולא מערבות השתלת נוזקה כלשהי במכשיר של הקורבן. הן אפילו לא משתמשות באפליקציות מזויפות. אין כל פיקוח על האפליקציות והמאגרים האלה למסחר במטבעות מבוזרים. כך, נוכלים ערמומיים ונחושים מנצלים זאת לטובתם". גם ויויאן הייתה נחושה: היא המשיכה לנסות ליצור קשר עם פרנק גם שבועות אחרי שהוא חסם אותה בווטסאפ.