Proofpoint ha scoperto una nuova frode online che sfrutta le criptovalute

Un nuovo meccanismo di truffa di tipo Advance Fee Fraud è stato identificato dai ricercatori Proofpoint, una delle aziende leader nel settore della cyber sicurezza e della conformità normativa. Lo schema usato dai criminali informatici si basa su campagne email a basso volume e utilizza tattiche avanzate di social engineering per truffare gli utenti e sottrarre loro dei Bitcoin. Le vittime, infatti, vengono attirate con la prospettiva di poter ritirare criptovalute per un valore di centinaia di migliaia di dollari da un conto già esistente da fantomatiche piattaforme di investimento Bitcoin private.

Attenzione all'autenticazione a più fattori 

Questa serie di campagne si è dimostrata piuttosto sofisticata dal punto di vista tecnico: pur essendo molto simile ai tradizionali schemi di Advance Fee Fraud è completamente automatizzata e richede una forte interazione da parte delle vittime. L'uso della criptovaluta garantisce anonimato sia all'aggressore sia alla potenziale vittima, che potrebbe trovare attraente la possibilità di acquisire denaro in modo anonimo ed esentasse. I cybercriminali, infatti, prendono di mira individui tecnicamente esperti, a loro agio nel maneggiare Bitcoin e un portafoglio digitale. Proofpoint ha rilevato la prima di queste campagne nel maggio 2021, incentrata sulla landing page coins45[.]com, mentre quella più recente è iniziata nel luglio 2021 su securecoins[.]net. 

Come riscattare i 28,85 Bitcoin promessi...

Come funziona la frode? Vengono inviate email a decine o centinaia di destinatari in tutto il mondo, con messaggi che contengono le stesse coppie di credenziali e con la promessa di riscattare una grossa somma di denaro (l'importo è pari a 28,85 Bitcoin, circa  1.151.246,20 euro). L'id utente e la password funzionano "solo" per accedere al sito: non appena viene effettuato l'accesso, la piattaforma richiede alla vittima la modifica della password e l'inserimento di un numero di telefono di ripristino per motivi di sicurezza. La presunta autenticazione a più fattori fa sentire al sicuro l'ignara vittima che riceve una chiamata automatica al numero di telefono che ha fornito, fornendo la password (OTP) per abilitare la sicurezza aggiuntiva dell'account. A questo punto, la vittima prova a riscattare quei 28,85 BTC promessi nella email ricevuta. Per rendere credibile il tutto, il conto mostra una serie di movimenti relativi ad alcuni BTC che sono già stati depositati e prelevati in passato. Per garantire il perfetto funzionamento dell'operazione, viene richiesto all'utente il trasferimento da qualsiasi portafoglio di 0,0001 BTC (circa 0,61498 euro). La vittima invia così una richiesta di trasferimento che viene visualizzata in tempo reale (o quasi) nel proprio portafoglio personale. Recuperare, però, quei 28,85 BTC promessi nella email si rivela un'impresa impossibile: infatti, l'utente viene successivamente informato che per poter riscattare i bitcoin c'è un importo minimo di prelievo da rispettare, pari a 29.029 BTC! Quindi, l'unico modo per ottenere quei 28,9999 BTC promessi è necessario trasferire altri BTC sulla piattaforma (qualsiasi importo superiore a 0,0291 BTC) per raggiungere un saldo di almeno 29.029 BTC, come richiesto specificatamente dalla piattaforma. Come hanno scoperto i ricercatori di Proofpoint, il trasferimento sembrerebbe difficile da completare, lasciando così il portafoglio della vittima più leggero di 0,029 BTC (pari a 1.165 euro). Uno schema davvero ingegnoso e in continua evoluzione: nell'agosto 2021 i cybercriminali hanno aggiunto un ulteriore passaggio per costringere le potenziali vittime a pagare in anticipo una tariffa annuale di 0,0005 BTC (31 euro).

“Proofpoint ha osservato alcuni dei portafogli di criptovalute associati a questa attività e almeno uno registra transazioni totali nell’ordine delle centinaia di migliaia di dollari”, ha dichiarato Sherrod DeGripppo, Vice President Threat Research and Detection di Proofpoint. “Inoltre, i ricercatori di Proofpoint hanno osservato vittime di questa frode discutere le loro perdite su forum pubblici, arrivando a dichiarare perdite fino a 500.000 dollari relative a questo attacco. Alcuni dei messaggi relativi a questa campagna includevano esche di grande valore, fino a 20 milioni di dollari. Sfortunatamente, attività BEC come questa possono regolarmente risultare in perdite di centinaia di migliaia o milioni di dollari. Regolarmente, Proofpoint identifica e blocca i tentativi di frode BEC di grande valore”.