Amikor az áldozatok megpróbálták kivenni a befektetéseiket az egyik hamis kereskedelmi rendszerből, a számláikat befagyasztották és több százezer dollárnyi hamis “nyereségadót” számítottak fel nekik a hozzáférés visszanyeréséért cserébe – számol be új kutatásban a Sophos. A cég szerint a CryptoRom-művelet egyre jobban szervezett, egyre kifinomultabb és világszerte veszi célba az áldozatokat.
Egy áldozatnak - aki megosztotta esetét a kutatócéggel - 625 ezer dollárt számoltak fel azért, hogy visszakaphassa a hozzáférést ahhoz 1 millió dollárhoz, amelyet egy hamis kriptokereskedelmi rendszerbe fektetett be. Utóbbit pedig olyasvalaki ajánlotta, akivel az áldozat egy online társkereső platformon találkozott. A társkeresős “barát” ezután azt állította, befektette a saját pénzének egy részét, hogy a közös részesedésüket 4 millió dollárra növelje. A csalók állítása szerint a befektetésük 3,13 millió dollár nyereséget hozott és 20 százalékos nyereségadót, avagy 625 ezer dollárt kell fizetniük, ha pénzfelvétel céljából hozzá akarnak férni a számlájukhoz. Valójában azonban sem a társbefektetés, sem a nyereség nem volt valós és az online “barát” is az átverés része volt.
“A CryptoRom átverés egy romantikaközpontú pénzügyi csalás, amely szinte minden szakaszában nagymértékben támaszkodik a social engineering módszerekre” - mondta Jagadeesh Chandraiah, a Sophos senior fenyegetéskutatója. “A csalók legitim társkereső oldalakon lévő hamis profilokon keresztül vonzzák a célpontokat, majd megpróbálják rávenni őket arra, hogy telepítsenek egy hamis kriptovaluta kereskedelmi appot és fektessenek be. Az alkalmazásokat úgy tervezték, hogy nagyon hasonlítsanak a legális, megbízható appokhoz.
Az átverés áldozatai - akik korábbi cikkeik után kerestek meg a Sophos-t - szerint, a 20 százalékos “nyereségadó” csak akkor kerül szóba, amikor megpróbálják kivenni a pénzüket vagy lezárni a számlát. Azoknak az áldozatoknak, akik nehezen tudják kifizetni az adót, felajánlanak egy kölcsönt. Még hamis webhelyek is léteznek, amelyek azt ígérik, hogy segítenek az embereknek visszaszerezni a pénzüket, ha átverték őket.
Röviden: bármely utat is választják az egyre kétségbeesettebbé váló áldozatok, hogy megpróbálják visszaszerezni a pénzüket, a csalók már ott várják őket. Az áldozatok azt mondják, hogy egy életre szóló megtakarításaikat vagy nyugdíjalapjukat veszítették el az átverés következtében. A kutatás néhány olyan esetet is talált, amikor a CryptoRom operátorok közvetlenül WhatsApp- és SMS-üzeneteken keresztül vették fel a kapcsolatot a célpontokkal, valószínűleg lopott információk felhasználásával.
A szakértők összeállítása a CryptoRom-művelet új technikai vonatkozásait is részletezi. Például a csalók visszaélnek az Apple TestFlight funkciójával, amely lehetővé teszi az emberek korlátozott csoportja számára, hogy telepítsenek és kipróbáljanak egy új iOS appot és kevésbé szigorú Apple által végzett felülvizsgálati folyamaton menjenek keresztül. 2021-ben a kutatók megfigyelték, hogy a CryptoRom ugyanebből a célból visszaélt az iOS Super Signature-rel és az Apple vállalati programjával is. A kutatók azt is megállapították, hogy a csalók által használt összes CryptoRommal kapcsolatos weboldal nagyon hasonló háttérstruktúrával, illetve tartalommal rendelkezik, és csak a márkanevek, ikonok és URL-ek különböznek egymástól. A Sophos véleménye szerint ez lehetővé teheti a csalók számára, hogy gyorsan módosítsák a csaláshoz használt weboldalakat, amikor az egyiket észlelik és leállítják.