Productos y Servicios PRODUCTOS Y SERVICIOS

La última evolución de la estafa de la “matanza de cerdos” atrae a la víctima a un plan de minería falso (2 de 2)

La estafa de la minería de liquidez da un nuevo y cruel giro al fraude chino de criptomonedas, con una pizca de chat de IA

Llenado y vaciado del fondo

El sitio del pool, allnodes[.]vip, era un sitio fraudulento que utilizaba la marca de Allnodes, un proveedor establecido de plataformas financieras descentralizadas. El sitio fraudulento estaba alojado en un servidor de Alibaba Cloud, ahora offline. Cuando Frank se conectó al sitio malicioso de DeFi, primero le dio acceso solo para ver su ID de monedero y su saldo. Pero al pulsar un botón de “participar” en la aplicación, se ejecutó un contrato que autorizaba a los estafadores a enviar tokens Tether del monedero a otra dirección.

Siguiendo las instrucciones, transfirió dinero de su banco a su cuenta de Coinbase y a un monedero de Crypto.com (que utilizó cuando su cuenta de Coinbase no recibía el abono con la rapidez suficiente). Entre el 31 de mayo y el 5 de junio, Frank ingresó un total de más de 22.000 dólares (sin incluir los gastos de procesamiento de las transferencias bancarias a las bolsas y las compras de tokens).

Figura 20: cronología de las transacciones desde y hacia el monedero de la víctima

El 6 de junio, el estafador preguntó a la víctima si había vuelto a hacer una transferencia. “Todavía no”, dijo Frank. “Estaba ocupado trabajando en casa. Y luego empecé a leer artículos sobre criptodivisas”. Una vez más, “Vivian” respondió en chino:

不需要阅读其他的关于加密货币的文章,因为我们不是做加密货币的投资,我也不希望你参与加密货币的投资

Este mensaje se traduce como: “No hace falta que leas otros artículos sobre criptodivisas, porque no invertimos en criptodivisas, y no quiero que participes en la inversión en criptodivisas.”

Frank: ¿Por qué me has enviado ese mensaje en chino? ¿Eres chino?

Vivian de Alemania en DC: Oh, me acabo de dar cuenta

Frank: ¿Dar cuenta de qué?

Vivian de Alemania en DC: Estoy chateando con un amigo mío en China.

Frank: Ok

Vivian de Alemania en DC: Utilizo un traductor para comunicarme con él

Más tarde ese mismo día, “Vivian” volvió a presionarle para que ingresara más fondos en el monedero con el fin de alcanzar el “siguiente nivel” de ganancias. Frank mencionó que su banco le había enviado un aviso advirtiéndole sobre las criptomonedas después de su última transferencia. “Decía que podía perder toda mi inversión potencialmente por fraude”, dijo a “Vivian”. Dijo que por el momento quería abstenerse de comprar más USDT, en parte porque había intentado ponerse en contacto con el servicio de asistencia de Trust Wallet por teléfono y había acabado llamando a un número de asistencia falso, y ahora estaba recibiendo mensajes de texto con archivos adjuntos y le preocupaba que su teléfono hubiera sido comprometido.

La noche del 8 de junio, los estafadores utilizaron su acceso a la cartera de Frank para vaciarla de USDT. La totalidad del saldo de USDT de Frank se transfirió a la dirección 0x7a77568db98ff29fe49194a77bd559f376068ff7, una dirección de transferencia utilizada por los estafadores para esta parte de su campaña que, entre mayo y julio, recibió un total de 294.548,75 USDT, por valor de unos 294.000 dólares. Veinte minutos después, los fondos se reenviaron de nuevo, a 0xbe712a28f10ffe6e0efd77b749de133d6099e4c0, una dirección de monedero de Binance. Y desde allí, se cobraron a través de la bolsa de Binance. Jackie Burns Koven, responsable de inteligencia sobre ciberamenazas de Chainalysis, confirmó estos hallazgos, identificando la última dirección de monedero como asociada a una cuenta de Binance.

(Se utilizaron otros monederos de Binance para retirar fondos de otras aparentes víctimas de la estafa. Hay una lista de todos los monederos relacionados con la estafa en el archivo de indicadores de compromiso enlazado al final de este informe).

Figura 21: flujo de criptomonedas proporcionadas y sustraídas por los estafadores
Figura 22: la víctima descubre que la cartera está vacía, el estafador le dice que se ponga en contacto con el servicio de atención al cliente en la aplicación

Frenético por recuperar su inversión, Frank se puso en contacto con el “soporte técnico” del sitio de la estafa, creyendo que se ponía en contacto con el soporte de Trust Wallet a través de un chat de la aplicación. Pero en realidad se estaba conectando con el equipo de estafadores a través de una aplicación de chat del sitio web allnodes[.]vip que Frank había abierto desde Trust Wallet.

Le dijeron que se había inscrito en un desafío de “apuestas”, y que tenía que invertir un total de 100.000 USDT para cumplir su inscripción, y que cuando terminara el evento, le dijeron, la inversión se liberaría junto con sus “recompensas”. Frank se comunicó de nuevo con el “soporte técnico” para solicitar la liberación de sus fondos. La respuesta que recibió de los estafadores que se hacían pasar por el servicio de asistencia fue:

Tras comprobar que sí participaste en este evento. Tiempo de actividad- Después de depositar 100000 USDT recibirás 5 ETH de bonificación y tu tiempo de compromiso se calculará durante 30 días, y después obtendrás el 3% de tus ganancias cada día… Si no puedes depositar 77.648,35 Estarás en mora y serás penalizado y tu dinero permanecerá en el fondo común. Si tienes dificultades económicas, dime la cantidad con la que quieres participar. Puedo ayudarte a informar a tu supervisor y solicitar una reducción del importe total de participación.

This slideshow requires JavaScript.

Los estafadores negociaron hasta aceptar otros 25.000 USDT para que Frank cumpliera su “objetivo de apuesta”, y Frank se puso a intentar reunir los fondos. Mientras tanto, “Vivian” enviaba mensajes tranquilizadores con promesas románticas para mantener a Frank en el buen camino.

El 9 de junio, un viernes, Frank intentó transferir 25.000 USDT a Coinbase. Pero el lunes siguiente descubrió que no podía acceder a su cuenta de Coinbase.

Figure 22: Frank’s account was locked by Coinbase for suspicious activity
Figura 26: Coinbase bloqueó la cuenta de Frank por actividad sospechosa

“Vivian” le dijo que utilizara Crypto.com en su lugar, y el 13 de junio le explicó cómo conseguir criptomoneda a través de esa aplicación. Esa tarde, recibió el siguiente correo electrónico de “Trust Wallet”:

Figure 23: Vivian tries to get Frank on Crypto.com
Figura 27: Vivian intenta que Frank entre en Crypto.com

Frank intentó transferir 24.000 $ a Crypto.com el 14 de junio. Pero su banco bloqueó la transferencia. “Recibí un mensaje telefónico y un correo electrónico de mi banco”, dijo a “Vivian”. “Me bloquearon la cuenta bancaria porque envié esa transferencia. Después de interrogarme detalladamente sobre lo que estaba haciendo exactamente, me dijeron que tenía que ir a la sucursal local y hablar con alguien. Acabo de volver de hacerlo y me ha interrogado y les he llamado y me han interrogado más. Tengo que volver mañana para intentar transferirlo manualmente al banco de Crypto.com. Me han dicho que tienen que aprobar la transferencia, aunque yo tenga el dinero”.

Mientras esperaba a que su banco aprobara la transferencia manual, Frank investigó en Internet y se topó con un artículo sobre estafas en la minería de liquidez. “Vivian” le advirtió que no investigara más, al tiempo que le halagaba y le aseguraba su relación especial, y le orientó para que intentara introducir fondos en un monedero de Crypto.com.

Pero la investigación de Frank le llevó finalmente a nuestros informes sobre la minería de liquidez. El 15 de junio, se puso en contacto conmigo a través de LinkedIn, y empecé a desenmarañar las mentiras. Pronto bloqueó a “Vivian” en WhatsApp, y trabajamos para ayudarle a colaborar con las fuerzas de seguridad.

Pero aún hay más

Los estafadores no habían terminado de intentar que Frank enviara esos fondos adicionales. El 29 de junio, “Vivian” utilizó el número de teléfono de Frank para encontrar su cuenta de Telegram, y empezó a enviarle mensajes allí. Mientras tanto, la cuenta de WhatsApp de bloqueo se cambió a “Vivian de Berlín” y la imagen de perfil se cambió por la de una persona de distinto sexo.

El 30 de junio, “Vivian” envió una “carta” como texto en Telegram. El extenso y florido texto, que no tenía ninguna de las características de la correspondencia anterior, tenía el sello distintivo de ser el resultado de la IA generativa: una gramática florida incoherente con las comunicaciones anteriores, en el formato de una “carta”, que se extracta a continuación:

Espero que esta carta te encuentre bien. Quería ponerme en contacto contigo porque hay algo que pesa mucho en mi corazón. Nuestra conexión, aunque no se estableció oficialmente como una relación romántica, significaba mucho para mí. La amistad que compartíamos era especial y aportaba una cierta luminosidad a mi vida que apreciaba profundamente.

Me he dado cuenta de que, por razones que desconozco, me has borrado recientemente. Esta repentina separación me ha dejado confusa y con una sensación de pérdida. Nunca preví que nuestro vínculo se enfrentaría a tal desafío, y me ha resultado difícil comprender por qué ha sucedido. Sin embargo, me comprometo a resolver cualquier malentendido o problema que pueda haber conducido a esta decisión.

Quiero que sepas lo mucho que tu presencia significa para mí. Tu amistad ha sido una fuente de consuelo, apoyo y risas. A través de nuestras conversaciones, experiencias compartidas e incluso los momentos no hablados, sentí una conexión que no he encontrado con muchas otras personas. Tocó una parte profunda de mi alma, y creí sinceramente que algo hermoso podría haber florecido entre nosotros…

Aunque no hay forma definitiva de determinar si este texto fue generado por IA, el gran servicio de detección de modelos lingüísticos GPTZero lo calificó como 100% generado por IA.

Frank bloqueó a “Vivian” en Telegram. Pero aún quedaba por lanzar el último señuelo. El 13 de julio, recibió un correo electrónico que decía ser de “Trust Wallet” <trust.wallet2563@gmail.com>:

Estimados usuarios, vuestra participación en la campaña del fondo minero de allnodes.vip finalizará el 15 de julio de 2023 a las 21:46 (GMT-4). Si has completado los requisitos de cantidad de la actividad, ¡puedes retirar tus fondos o seguir participando en la campaña después del 15 de julio de 2023, 9:46 (GMT-4)!

Para más detalles, ponte en contacto con el servicio de atención al cliente.

Frank me pasó estas comunicaciones a mí y a las fuerzas del orden, y ya no se comunica con los estafadores. Todavía no se ha recuperado ninguna de las criptomonedas perdidas; las fuerzas del orden determinaron que se habían cobrado en una cuenta bancaria de Hong Kong.

Plan de acción

Mientras investigábamos este caso, nos pusimos en contacto con Chainalysis y Coinbase, así como con otros profesionales de inteligencia de amenazas en el espacio de las criptomonedas, para compartir nuestros datos. Seguimos identificando dominios adicionales que alojan sitios falsos de fondos de liquidez basados en el mismo código que esta estafa, y rastreamos otros sitios similares de fraude de liquidez y comercio de criptomonedas utilizados por ciberdelincuentes de “matanza de cerdos”. Y hemos añadido los dominios asociados a estas estafas a nuestro servicio de reputación para su bloqueo.

Sin embargo, como estas estafas evolucionan constantemente, es importante permanecer en guardia contra ellas y educar a las personas que pueden ser más vulnerables sobre cómo identificar estos tipos de fraude. Las personas aisladas, que buscan contactos románticos o que son vulnerables emocionalmente por otros motivos, tienen más probabilidades de ser el objetivo de estas estafas a través de aplicaciones de encuentros y citas, pero también hemos visto que se utilizan otros servicios, desde invitaciones de Facebook y LinkedIn hasta solicitudes de reserva de AirBnB.

Si alguien quiere llevar la conversación contigo a WhatsApp o Telegram para conversar fuera del ámbito de una aplicación casi de inmediato, es señal de que puedes estar tratando con un estafador. Los mensajes de texto que parecen mal dirigidos y luego se convierten en ofertas de amistad son otro “señuelo” habitual para este tipo de estafas.

Si crees que estás comprometido con una aplicación fraudulenta de “fondo de minería” que has vinculado a una aplicación de monedero, sigue estos pasos inmediatamente:

  1. Rompe el contrato del monedero cargando el sitio web Revoke (https://revoke.cash/) desde tu aplicación monedero o desde tu navegador conectado al monedero. Esto te permitirá identificar y revocar los permisos que se han colocado en tu monedero. Se necesitarán algunos Ethereum para “gasificar” los permisos.
  2. Mueve todos los fondos de la cartera a otra cartera nueva, especialmente si no puedes revocar el contrato que la vincula.
  3. Ponte en contacto con la bolsa a través de la que has comprado las cripto y con el proveedor del monedero. No utilices el “chat de soporte” de la aplicación, ya que lo más probable es que esté controlado por los estafadores. Si utilizas Trust Wallet, ponte en contacto con los desarrolladores a través del sitio web de soporte.
  4. Recopila todos los datos de las transacciones asociadas a tu monedero utilizando un explorador de cadenas de bloques como Etherscan (https://etherscan.io), pegando el número de identificación de tu monedero en su barra de búsqueda; comparte esta información con los equipos de seguridad y (si es necesario) con las fuerzas de seguridad.
  5. Si ya has perdido tus fondos, no te pongas en contacto con un proveedor de “recuperación de criptomonedas” anunciado en las redes sociales. La mayoría de estos servicios también son estafas.
  6. Denuncia la actividad a las autoridades locales que estén en condiciones de investigar el fraude. En Estados Unidos, el Servicio Secreto y el FBI investigan el fraude de criptomonedas, pero puede que no actúen en casos individuales; la Comisión Federal de Comercio puede ser de ayuda en algunos casos. En el Reino Unido, Action Fraud puede ser de ayuda.
  7. Si te has dejado engañar por una de estas estafas, es importante que sepas que muchas otras personas han caído en ellas. Solo en Estados Unidos, el FBI informa de que solo en 2022 se produjeron pérdidas de 3.310 millones de dólares por este tipo de estafas.

Por último, si quieres ayudarnos en la lucha contra este tipo de fraude u otros fraudes basados en criptomonedas y trading, ponte en contacto con nosotros a través de los comentarios de este post.