Wielkie, trwające latami oszustwo na kryptowaluty

Zespół Trend Micro rozpoczął dochodzenie w sprawie witryny internetowej, na której przeprowadzane jest popularne oszustwo związane z kryptowalutami. Jednak gdy zagłębimy się w temat, dowiemy się, że strona ta jest tylko jedną z wielu w ogromnej sieci powiązanych scamowych witryn – prawdopodobnie to jedna z największych w historii kampanii oszustw związanych z kryptowalutami – prowadzoną przez rosyjskojęzycznego cyberprzestępcę o nazwie „Impulse Team”.

W sumie odkryto ponad tysiąc stron internetowych, które udostępniają ten sam rodzaj fałszywych treści, a wszystkie są połączone programem partnerskim prowadzonym przez zespół Impulse o nazwie „Project Impulse”.

Omawiana masowa kampania prawdopodobnie doprowadziła do oszukania tysięcy osób na całym świecie. Oszustwo działa za pośrednictwem socjotechniki, przy której wykorzystaniu nakłania się ludzi, aby uwierzyli, że wygrali określoną kwotę w kryptowalutach. Jednak aby otrzymać nagrodę, ofiary muszą zapłacić niewielką sumę w celu otwarcia konta na nowej stronie internetowej.

Jak działają oszuści?

Dochodzenie rozpoczęło się od rozpowszechnienia prywatnej wiadomości na Twitterze przez konto utworzone wyłącznie w celu zwabienia ludzi do odwiedzenia określonej strony internetowej: varbytrade[.]com. (Konto zostało już zamknięte).

Poniższy zrzut ekranu pokazuje sprawcę scamu, oferującego dużą nagrodę w wysokości 0,78632 bitcoina, rzekomo w celu przyciągnięcia nowych uczestników do platformy.

Po utworzeniu konta na fałszywej platformie użytkownik jest proszony o jego aktywację poprzez dokonanie wpłaty – 0,01 BTC (około 270 USD w momencie powstawania artykułu).

Choć stosunkowo duża, kwota potrzebna do aktywacji konta blednie w porównaniu z tym, co użytkownicy mieliby otrzymać w zamian. Jak się spodziewacie, oczywiście nie zyskują jednak nic.

Bliższa analiza wykazała, że ta sama osoba zarejestrowała kilka innych podobnych nazw domen, z których wszystkie pokazywały tę samą zawartość internetową, co varbytrade[.]com:

• Harbytrade[.]com
• Jarbytrade[.]com
• Karbytrade[.]com
• Narbytrade[.]com
• Parbytrade[.]com
• Sarbytrade[.]com

Wszystkie te nazwy zostały zarejestrowane dokładnie tego samego dnia co varbytrade[.]com. Jedyną różnicą między witrynami były nieznacznie zmienione nazwy i logo – reszta treści pozostała dokładnie taka sama.

Jakie były straty finansowe?

Zespołowi z Trend Micro udało się uzyskać dostęp do publicznego kanału Telegram, który służy jako system rejestrowania przekrętów Impulse Project. Kanał jest zasilany przez boty, dodające wiadomości, gdy tylko ofiara dokona płatności w kryptowalucie.

Kanał powstał w październiku 2022 r., ale zaczął pokazywać transakcje kryptowalutowe dopiero 24 grudnia 2022 r. Od tego dnia do 8 marca 2023 r. suma wszystkich transakcji wyniosła nieco ponad 5 000 000 USD przetrzymywanych jako USDT (Tether).

Widząc niektóre kwoty wysyłane w ramach pojedynczych transakcji, łatwo zauważyć, że Zespół Impulse manipuluje botami, aby podawały fałszywe dane, prawdopodobnie w celu przyciągnięcia większej liczby podmiotów stowarzyszonych, pokazując im kanał i wmawiając, że zarobią dużo pieniędzy w krótkim czasie.

Podsumowanie

Aktor odpowiedzialny za Project Impulse usprawnia operacje dla swoich podmiotów stowarzyszonych, zapewniając hosting i infrastrukturę, dzięki czemu są one w stanie samodzielnie prowadzić podobne fałszywe strony internetowe. Partnerzy mogą wtedy skoncentrować się na innych aspektach działalności, takich jak prowadzenie własnych kampanii reklamowych.

Jest to korzystne zarówno dla Impulse Team, który może zarabiać na swoich podmiotach stowarzyszonych, uzyskując procent zysków lub otrzymując zapłatę bezpośrednio, jak i dla samych podmiotów, które mają teraz dostęp do zasobów umożliwiających przeprowadzanie scamów.