I løpet av det siste året har vi hatt det uheldige behovet for å advare våre lesere om ikke gang, men to ganger, om en svindel vi har kalt CryptoRom, et portmanteau-ord dannet fra begrepene "Cryptovaluta" og "Romance-svindel».
Enkelt sagt bruker disse svindlerne en rekke teknikker, blant annet å lure på datingsider, for å møte folk på nettet, danne et vennskap...
...ikke med den hensikt å trekke ofrene deres inn i en «vi har forelsket oss, send penger»-romantikksvindel, men i stedet for å tjene tilliten deres og lokke dem til falske investeringer «administrert» via falske mobiltelefonapper.
Interessant nok retter skurkene til og med mot iPhone-brukere, til tross for at ripoff-finansielle apper er vanskelige å snike seg inn i Apples App Store, og Apple tillater ikke brukerne å laste ned apper fra noe annet sted.
Dessverre, og ironisk nok, har CryptoRom-gjengene gjort Apples strenghet til en slags salgsstrategi: hvis alle og enhver kunne laste ned «investerings»-appene deres, ville det ødelegge eksklusiviteten, så appene er kun tilgjengelige ved invitasjon, direkte fra « investeringsgruppen.
SophosLabs har sporet disse kriminelle ved å bruke Apples forretnings- og utviklerverktøysett for å omgå App Store, ved å bruke systemer som Apples Enterprise Provisioning system, som lar telefoner direkte administrert av en bedrift installere proprietære apper:
Skurkene har også brukt Apples utviklingsverktøy TestFlight, der ikke-utgitte apper kan gis i en begrenset periode til inviterte, samtykkende deltakere:
Som et tillegg som vi ikke kan få oss til å ikke nevne: Sophos-forskerne som skrev de to oppgavene som er referert ovenfor, vant den prestisjetunge 2022 Péter Szőr Award, delt ut på den årlige Virus Bulletin-konferansen for beste tekniske forskning årets.
Å vinne din tillit
Åpenbart betyr dette å kjøpe seg inn i en svindlers instruksjoner, ikke bare for å installere en app du aldri har hørt om, men å gjøre det ved i hovedsak å overlate hele enheten din til deres kontroll, enten via Enterprise Provisioning eller ved å registrere deg i en utviklingsprosess som normalt ville anbefales kun for enheter dedikert til koding og testing.
Det er derfor svindlerne vinner din tillit først, for eksempel ved å bli venn med deg via en datingside, slik at du er villig til å akseptere det som høres ut som en åpenbar teknisk risiko.
Skurkene deler den nysgjerrige installasjonsprosessen inn i det som høres ut som et online-privilegium: den uvanlige måten å skaffe appen på er presentert som en måte å bli med i et spennende nettinvesteringsselskap som ikke er tilgjengelig via Apple, nettopp fordi det er finansiell dynamitt som ikke er tilgjengelig for bare hvem som helst!
"Romantikken" i en CryptoRom-svindel drar ikke i hjertestrengene dine, men i lommebokstrengene dine.
Du kan sikkert forestille deg hvordan svindelen utspiller seg herfra.
En nøye sammendiktet pakke med løgner
Appen ser ut og oppfører seg som et legitimt investeringsprodukt, koblet direkte til en online web-backend som behandler innskudd, beregner vekst, tillater innskudd, viser sanntidsgrafer...
…alle presentert med merkevarebygging som vanligvis er dollet opp for å se ut som en offisiell, godt regulert tjeneste eller børs.
Men appen, "børsen" som støtter den, logoene, merkevarebyggingen og den lokkende oppoverretningen til kontosaldoen din er alle fullstendig falske.
Med fem ord, det hele er en nøye oppdiktet pakke med løgner.
Din første investering dukker opp med en gang; skurkene kan til og med tilby å "forsterke" kontoen din med et lån eller en innsatsbonus, som kan høres for godt ut til å være sant, men som likevel vil dukke opp på "kontoen" din som lovet.
Skurkene kan til og med tillate deg å gjøre uttak først, for å bygge tillit og selvtillit.
Dette er et vanlig knep i såkalte Ponzi- eller pyramidespill – i sannhet gir svindlerne deg bare noen av dine egne penger tilbake.
Men de viser raskt at kontoen din øker, og inviterer deg til å forestille deg hvor mye mer du kan tjene hvis du bare setter inn det siste uttaket ditt på nytt, og kanskje banket litt mer på toppen av det også.
Pokker, hvorfor ikke låne av venner og familie (men ikke la dem være med på hele historien, ellers vil de alle være med, ikke sant?) og doble, tredoble, firedoble alle pengene også?
Og det er ikke alt ...
Dessverre er det ikke alt, for det er et stikk i halen også.
Når du prøver å ta ut «midlene» dine, er det plutselig en statlig kildeskatt, vanligvis på 20 %, på midlene du vil ha tilgang til – noe som riktignok ikke er uvanlig i land med investeringsgebyrer som kapitalgevinstskatt.
Bortsett fra at det ikke er en kildeskatt i det hele tatt, som du kanskje først forventer (det er der statens kutt rett og slett trekkes fra, eller tilbakeholdes, fra beløpet du ønsker å ta ut, og resten kommer til deg).
Skurkene forteller deg at midlene er frosset av regulatoriske årsaker, så de kan ikke brukes til å motregne beløpet du "skylder".
Du må betale beløpet først, i en egen transaksjon, for å frigjøre midlene før de kan tas ut i en andre transaksjon.
Skurkene vil typisk legge på seg presset her, og advare om at du risikerer å tape alt på "kontoen", både dine egne penger som du allerede har betalt inn, og "kapitalgevinsten" du tror du har akkumulert.
Som SophosLabs-forskerne forklare, hvis skurkene tror at de virkelig ikke kan presse deg for hele 20 %, fordi de nesten har blødd deg tørr allerede, vil de til og med late som om de "hjelper" ved å samle "vennene" sine for å låne deg noe av pengene du trenger for å få ut "investeringen" din, til de virkelig har tappet deg for hver dråpe:
Klikk på bildet for å se bildet i originalartikkelen.
Teorien er selvfølgelig at etter at du har betalt «skatten» på 20 %, vil du få tilgang til 100 % av «saldoen» på kontoen din, og etterlate rikelig med midler tilgjengelig, ikke bare for å betale ned på lånene som gjorde det hele mulig, men også å ta ut til din egen betydelige fordel.
Tragisk nok er dette et oppdiktet eksempel på hvordan svindel som dette vanligvis utspiller seg:
Handling "Balanse" Beløp på spill "Utbetaling" fradrag ---------------------------------- ------ --- ------------------ -------------------- $10,000 30,000 innbetalt + $40,000 10,000 "lån" - > $ 30,000 2 DIN INNSTAK $ 80,000 10,000 TREKK $30,000 5000 Din graf viser at du gjør det bra! Syntetisk 75,000x økning i verdi -> $ 5,000 30,000 DIN INNSLAG $5000 10,000 TREKK $20,000 111,000 Hva om alt er falskt? Ta ut $20,000 som "sannhetstest" -> $50,000 3 DIN INNSAMLING $333,000 TREKK $20,000 50,000 Stor vekstbegivenhet kommer, kjeltringer går på sjarmoffensiv, ber deg investere mer! Betal uttaket på $20 tilbake, legg til $66,600 på toppen, pluss ytterligere $20,000 "lån" -> $46,000 DIN INNSATS $20,000 TREKK $46,600 Syntetisk 333,000x verdiøkning -> $40,000 DIN INNSATS, $96,000 AV 96,000 $ Woo! På tide å ta ut penger! 237,000% "unfreezing" skatt kommer til $197,000 40,000 Crooks innser at du virkelig ikke kan komme opp med så mye, men regner med at du kan presse ut noen penger ved å slå opp venner osv. for $333,000 hvis de "tilbyr" å finne $XNUMX. Du betaler $XNUMX + $XNUMX "lån" -> $XNUMX DIN INNSTAK $XNUMX TREKK $XNUMX Etter uttak og "tilbakebetaling" av $XNUMX, vil du fortsatt sitte igjen med $XNUMX, som gir deg et "XNUMX av $XNUMX-avdrag på" $XNUMX XNUMX! Ta ut $XNUMX XNUMX mindre "lån" -> SPILLET ER SLUTT.
SETTE INN FLERE MYNTER FOR Å FORTSATT SPILLET.
Brodden i halen på halen
Enda verre, det er til og med et stikk i halen på halen.
Når du innser at du har blitt svindlet, kan du på mirakuløst vis bli kontaktet av noen som sympatiserer med situasjonen din (kanskje det nylig skjedde med dem?) og som vet akkurat hvilken tjeneste du trenger...
..gjenoppretting av kryptovaluta!
Vi vet alle at kryptomynter, av design, stort sett er uregulerte, pseudo-anonyme og alt fra vanskelige til nesten umulige å spore og gjenopprette.
Likevel vet vi også at kryptomyntgjenoppretting noen ganger skjer, av og til i forbløffende mengder og etter lengre perioder, som fondet som ble gjenvunnet fra wannabe rapstjerne Krokodille fra Wall Street og mannen hennes, eller fra Silk Road-kryptobber James Zhong, som gjemte seg 3 milliarder dollar i bitcoins i en popcornboks i nesten et tiår:
Dessverre, hvis du går ned i "recovery service"-kaninhullet, vil du bare helle enda mer gode penger etter dårlige, og dine totale tap vil bli enda mer katastrofale.
Varmt i løypa
Her er noen gode nyheter for å følge de dårlige: US Department of Justice (DOJ) tar på seg minst én gruppe CryptoRom-svindlere.
DOJ omtaler denne typen svindel som "griseslakting", som er en metafor som tilsynelatende er valgt av svindlerne selv for å håne ofrene deres: på kinesisk er teknikken kjent som 杀猪盘 (sha zhu pan), noe vi sannsynligvis vil referere til som en "hakkekloss" på engelsk, men som bokstavelig talt kan oversettes som "slaktere av svin".
I en rapport denne uken beskriver DOJ en fjerning av syv CryptoRom-relaterte webdomener at den hevder ble brukt over en periode på minst fire måneder (mai til august 2022) for å rive av minst fem ofre bare i USA. (Vi antar at det var mange ofre fra andre land, men DOJ-rapporten gjelder ofre i dens juridiksjon.)
Domenene ble rigget til for å se ut som nettsider til en offisiell finansbørs i Singapore, og skal ha hjulpet til å lure ofre ut av over $10,000,000.
Dette følger en DOJ-aksjon forrige måned der 11-personer ble arrestert i forbindelse med disse «hakkekloss»-angrepene og siktet for å ha revet bort mer enn 200 mennesker i USA for nærmere $18,000,000.
De 11 tiltalte ble også siktet for å ha opptrådt som «muldyr», som ulovlig sendte mer enn $52,000,000 gjennom bankkontoer åpnet ved bruk av forfalskede eller stjålne identitetsdokumenter, og mottok en prosentandel av beløpet som ble hvitvasket i betaling.
Som vi har nevnt tidligere, blir hvitvaskingstjenester av denne typen mye brukt av nettkriminelle for å fjerne ulovlige innskudd fra banksystemet før svindelen blir oppdaget og de falske transaksjonene blir frosset eller reversert.
Business Email Compromise (BEC)-svindlere opererer for eksempel ved å lure selskaper til å betale fakturaer (de fokuserer vanligvis på høyverdige summer, noen ganger i millioner av pund eller dollar) til feil bankkonto.
Derfra bruker de hjelp fra "pengemuldyr" for å få dem feilstyrte midler trukket ut fra banksystemet før bedraget kan forhindres:
Hva gjør jeg?
- Ta deg god tid når nettprat går fra romantikk, kjærlighet eller til og med rent vennskap til penger. Ikke la deg påvirke av det faktum at din nye "venn" tilfeldigvis har mye til felles med deg, og ikke la deg fascinere av deres "investeringsråd". Det er lett for svindlere å presentere seg selv som åndsslekter hvis de har studert på dine sosiale nettverk eller datingsideprofiler på forhånd.
- Gi aldri administrativ kontroll over telefonen til noen som ikke har noen reell grunn til å ha den. Klikk aldri
[Trust]på en dialogboks som ber deg om å melde deg på fjernadministrasjon med mindre det er fra noen du allerede har en arbeidsavtale med, betingelsene er tydelig forklart til deg på forhånd, og du forstår og aksepterer forretningsgrunnene for å registrere telefonen din. - Ikke la deg lure av meldinger inne i selve appen. Ikke la ikoner, grafer, navn og tekstmeldinger i en app lure deg til å anta at den har den troverdigheten den hevder. (Hvis jeg viser deg et bilde av en pott med gull, betyr det ikke at jeg egen en pott med gull.)
- Ikke la deg lure fordi et svindelnettsted ser godt merke og profesjonelt ut. Å sette opp et nettsted med levende grafer, investeringssider og "konto"-administrasjonsverktøy er enklere enn du tror. Crooks kan enkelt kopiere offisielle logoer, slagord, merkevarebygging og til og med JavaScript-kode fra det virkelige nettstedet, og endre det for å passe deres ondsinnede formål.
- Lytt åpent til venner og familie hvis de prøver å advare deg. Nettsvindlere tenker ikke noe på å bevisst sette deg mot familien din som en del av svindelen deres. De kan til og med "råde" deg til ikke å la vennene dine og familien din komme inn på "hemmeligheten din", og presentere investeringsforslaget deres som noe eksklusivt: passer godt for deg, men ikke åpent for hvem som helst. Ikke la svindlerne drive en kile mellom deg og familien din så vel som mellom deg og pengene dine.
LÆR MER OM RELASJONSVINDEL:
- BEC
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- CryptoRom
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- iOS
- Kaspersky
- Lov og orden
- malware
- Mcafee
- Naken sikkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- romantikk svindel
- sosiale nettverk
- TestFlight
- VPN
- nettside sikkerhet
- zephyrnet
![S3 Ep119: Brudd, flekker, lekkasjer og justeringer! [Lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg "S3 Ep119: Brudd, flekker, lekkasjer og justeringer! [Lyd + tekst]")
