Proofpoint identificeert nieuwe vorm van voorschotfraude met valse cryptoplatforms

proofpoint

Onderzoekers van Proofpoint hebben een vorm van voorschotfraude ontdekt waarbij social engineering wordt gebruikt om nietsvermoedende slachtoffers Bitcoin afhandig te maken. In dit geval krijgen de slachtoffers inloggegevens van zogenaamde Bitcoin-investeringsplatforms toegestuurd. De slachtoffers worden gelokt met de belofte dat ze honderdduizenden dollars aan cryptocurrency kunnen opnemen van een al bestaande rekening op het platform.
 
Hoewel deze nieuwe aanvallen sterk lijken op traditionele voorschotfraude, zijn ze technisch veel geraffineerder, volledig geautomatiseerd en is er veel interactie van het slachtoffer voor nodig. Het gebruik van cryptocurrency is ook opmerkelijk om de volgende redenen:
  • Cryptocurrency biedt anonimiteit voor zowel de aanvaller als het slachtoffer. Met name voor het slachtoffer kan het aantrekkelijk zijn dat het geld anoniem en belastingvrij zou worden verkregen. 
  • Het geeft aan dat de criminelen zich richten op personen die enigszins technisch onderlegd zijn, aangezien zij vertrouwd moeten zijn met Bitcoin en e-wallets. 
Hoe gaat het in zijn werk?
Deze vorm van voorschotfraude begint net als elke andere vorm van Business Email Compromise, met een e-mail die is ontworpen om de aandacht van de ontvanger te trekken. De e-mails lijken allemaal in grote lijnen op die in afbeelding 1, waarin slachtoffers een fors geldbedrag wordt beloofd. In dit geval ging het om 28,85 Bitcoin, ongeveer 1.247.214 euro (per 6 september 2021).
 
Stap 1 - Aanmelden
Zodra een slachtoffer in de val is gelokt met het geldbedrag, wordt hij of zij gevraagd in te loggen op de website van de valse cryptobeurs met de verkregen inloggegevens. De gebruikersnaam en het wachtwoord die het slachtoffer per e-mail heeft ontvangen om toegang te krijgen tot de site werken. Maar zodra hij of zij inlogt, wordt gevraagd het wachtwoord te wijzigen en een telefoonnummer toe te voegen ter extra beveiliging. Deze stap kan bedoeld zijn om het slachtoffer een vals gevoel van veiligheid te geven. Vaak wordt multifactor-authenticatie namelijk gezien als een goede beveiligingsmaatregel.
 
Zodra het slachtoffer deze stap uitvoert en denkt het account over te nemen, ontvangt hij of zij een geautomatiseerd telefoontje op een door hem of haar opgegeven telefoonnummer. Via dit telefoontje wordt een eenmalig wachtwoord (one-time password, OTP) gegeven om de extra accountbeveiliging in te schakelen. Nadat de OTP is ingevoerd, bevestigt de website dat de rekening is beveiligd.
 
Stap 2 – Op het platform
Als een slachtoffer door zijn of haar account navigeert, zijn er enkele berichten van de zogenaamde 'vorige eigenaar' van het account terug te vinden

In de berichten staat dat het platform volledig anoniem is, waardoor het perfect is om Bitcoin op te verhandelen. Bij het gebruikersaccount hoeft er geen naam of adres te worden ingevoerd en het slachtoffer kan alleen een telefoonnummer en een optioneel e-mailadres invoeren. De pagina vermeldt ook de laatste keer dat het slachtoffer inlogde en geeft verder aan dat het IP-adres nooit wordt geregistreerd. Hierdoor voelt een mogelijk technisch onderlegd slachtoffer zich nog meer op zijn gemak.
 
Stap 3 – Geld opnemen
Zoals in afbeelding 4 te zien is, geeft de rekening aan dat er in het verleden Bitcoin is gestort en opgenomen, waardoor het lijkt alsof de rekening gewoon werkt. Door in het menu naar "Withdraw" te gaan, kan een slachtoffer proberen geld van het platform over te maken. Het platform geeft echter aan dat de eerste transactie 0,0001 BTC (ongeveer 4,35 euro op 6 september 2021) moet zijn om er zeker van te zijn dat alles werkt voor zowel de verzender als de ontvanger.
 
Als het slachtoffer verder gaat en het verzoek indient, verschijnt de betaling in de wachtrij. Na ongeveer 40 minuten lijkt het gelukt te zijn. Het slachtoffer krijgt een bevestiging van de overboeking en het bedrag verschijnt in zijn persoonlijke e-wallet. Ook het platform lijkt in realtime te worden bijgewerkt
Helaas voor de slachtoffers lopen ze vast wanneer ze proberen de rest van de Bitcoin over te maken
 
Vervolgens laat het platform het slachtoffer weten dat de vorige accounteigenaar een minimumbedrag van 29,029 BTC heeft ingesteld bij het aanmaken van het account. Het slachtoffer kan dus geen bedragen opnemen die lager zijn dan dat bedrag. Het slachtoffer komt nu waarschijnlijk tot de conclusie dat de enige manier om die 28,9999 BTC te krijgen, is door het ontbrekende bedrag aan Bitcoin naar het platform over te maken (minimaal 0,0291 BTC).
 
Hoewel de onderzoekers van Proofpoint het niet hebben bevestigd, is het onwaarschijnlijk dat slachtoffers uiteindelijk de volledige 29,029 BTC kunnen overmaken naar een rekening van hun keuze. Hierdoor zouden slachtoffers dus minimaal 0,029 BTC verliezen. Dat bedrag is verwaarloosbaar ten opzichte van het zogenaamde saldo op de rekening. Toch gaat het nog steeds om ongeveer 1.260 euro (per 6 september 2021). 
 
Een platform in ontwikkeling
Het platform lijkt continu te worden doorontwikkeld. De cybercriminelen hebben in augustus 2021 een extra stap toegevoegd waardoor mogelijke slachtoffers vooraf geld moeten betalen om te kunnen inloggen en toegang te krijgen tot de rekening. Na het wijzigen van het wachtwoord en het instellen van multifactor-authenticatie moet het slachtoffer akkoord gaan met een jaarlijkse vergoeding van 0,0005 BTC.
 
De onderzoekers van Proofpoint denken dat deze wijziging de slagingskans verkleint. Mogelijke slachtoffers krijgen immers niet de kans om eerst het platform te leren kennen en de legitiem lijkende functies te vertrouwen. Accounts waarvan het wachtwoord en telefoonnummer vóór 5 augustus 2021 zijn gewijzigd, kunnen echter nog steeds inloggen en gebruikmaken van het platform zonder dat om deze extra vergoeding wordt gevraagd.
 
Conclusie
De stimulans om snel en makkelijk geld te verdienen is altijd een effectieve methode om potentiële slachtoffers in de val te lokken met voorschotfraude. Dat er in dit geval veel actie nodig is van het potentiële slachtoffer, kan ontmoedigend werken, maar stelt de bedreiger ook in staat om geautomatiseerde detectie te omzeilen. Onderzoekers van Proofpoint verwachten dat cybercriminelen voorlopig niet zullen stoppen met deze vorm van voorschotfraude en dat zij hun tactieken zullen aanpassen om de kans op succes te vergroten.
 
Meer over
Lees ook
Drie trends voor cyberaanvallen in 2024

Drie trends voor cyberaanvallen in 2024

Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.