Advance Fee Fraud: la frode online che sfrutta le criptovalute

redazione

I ricercatori Proofpoint hanno identificato un nuovo meccanismo di truffa di tipo Advance Fee Fraud che invia campagne email a basso volume e impiega tattiche avanzate di social engineering per truffare gli utenti e sottrarre loro dei Bitcoin. Questo schema diffonde le credenziali di presunte piattaforme di investimento Bitcoin private e attira le vittime con la prospettiva di poter ritirare criptovalute per un valore di centinaia di migliaia di dollari da un conto già esistente.

Pur essendo molto simile ai tradizionali schemi di Advance Fee Fraud, questa nuova serie di campagne è molto più sofisticata da un punto di vista tecnico, essendo completamente automatizzata e richiedendo una forte interazione da parte delle vittime. L’uso della criptovaluta in questo caso è particolarmente importante per i seguenti motivi:

  • Fornisce anonimato sia all’aggressore che alla potenziale vittima, che potrebbe trovare attraente la possibilità di acquisire denaro in modo anonimo ed esentasse.  
  • Indica che i cybercriminali prendono di mira individui tecnicamente esperti, a loro agio nel maneggiare Bitcoin e un portafoglio digitale.

“Proofpoint ha osservato alcuni dei portafogli di criptovalute associati a questa attività e almeno uno registra transazioni totali nell’ordine delle centinaia di migliaia di dollari”, spiega Sherrod DeGripppo, Vice President Threat Research and Detection di Proofpoint. “Inoltre, i ricercatori di Proofpoint hanno osservato vittime di questa frode discutere le loro perdite su forum pubblici, arrivando a dichiarare perdite fino a 500.000 dollari relative a questo attacco. Alcuni dei messaggi relativi a questa campagna includevano esche di grande valore, fino a 20 milioni di dollari. Sfortunatamente, attività BEC come questa possono regolarmente risultare in perdite di centinaia di migliaia o milioni di dollari. Regolarmente, Proofpoint identifica e blocca i tentativi di frode BEC di grande valore.”

I dettagli della campagna

I ricercatori Proofpoint hanno rilevato la prima di queste campagne nel maggio 2021, incentrata sulla landing page coins45[.]com, mentre la campagna più recente iniziata nel luglio 2021 indirizza le potenziali vittime a securecoins[.]net. 

Secondo le analisi Proofpoint, ogni campagna email è stata inviata a decine o centinaia di destinatari in tutto il mondo, con messaggi che contengono le stesse coppie di credenziali – id utente e password – per tutti i destinatari. Sembra che più persone possano accedere con gli stessi dati di login, a patto che provengano da un diverso indirizzo IP e browser. Tuttavia, una volta che cambiata la password e aggiunto un numero di telefono, l’account diventa unico, e le vittime non possono più vedere nulla delle attività delle altre vittime.