Tether coins in handcuffs
Ricerche sulle CyberMinacce

Il modello “as-a-service” conquista i cybercriminali ampliando su scala globale l’impatto delle truffe “sha zhu pan”

Dopo due anni di ricerche, gli esperti di Sophos X-Ops hanno scoperto un livello di sofisticazione senza precedenti nelle truffe che spingono le vittime ad aderire a investimenti fasulli

Sophos, ha rivelato oggi come i criminali specializzati nelle truffe sha zhu pan —杀猪盘, letteralmente “piatto per la macellazione dei maiali”, nome che indica complesse frodi sulle criptovalute che sfruttano tecniche di ingegneria sociale mascherate da relazioni di amicizia a possibile sfondo romantico — si stiano avvalendo di un modello di business di tipo “as-a-service” commercializzando sul dark web veri e propri kit specializzati chiavi in mano per espandersi all’interno di nuovi mercati su scala globale.

Gli esperti di Sophos spiegano nel dettaglio il funzionamento di questo meccanismo nel nuovo articolo Cryptocurrency Scams Metastasize into New Forms”. Generati dall’iniziativa di bande criminali cinesi, questi kit mettono a disposizione i componenti tecnici necessari a implementare una specifica variante della truffa sha zhu pan nota come “depositi di risparmio DeFi”.

I malintenzionati presentano questo particolare tipo di truffa come un’opportunità di investimento passivo simile a quella dei conti deposito di liquidità rivolgendosi spesso a persone che non sanno cosa siano le criptovalute.

Alle vittime viene chiesto di collegare il proprio wallet a un “conto di intermediazione” con la promessa di guadagnare forti interessi dalle somme investite. In realtà le vittime non fanno altro che aggiungere i loro wallet a un trading pool fraudolento destinato a essere puntualmente svuotato dai truffatori.

“Quando la truffa detta sha zhu pan è apparda per la prima volta durante la pandemia, gli aspetti tecnici delle truffe erano ancora relativamente primitivi e richiedevano parecchio lavoro anche di affiancamento per dirigere le vittime a fare ciò che i malviventi volevano. Oggi che le truffe hanno maggiori percentuali di successo e i cybercriminali hanno perfezionato le loro tecniche, osserviamo un’evoluzione simile a quella già vista in passato con il ransomware e altre tipologie di cybercrimine: la creazione di un modello as-a-service. Le gang dedite a questo genere di truffa stanno realizzando dei kit per app DeFi chiavi in mano che altri cybercriminali possono acquistare sul dark web. La conseguenza è la comparsa in aree come Thailandia, Africa occidentale e persino Stati Uniti di nuove gang del tutto sganciate dal crimine organizzato cinese.

Come con altri generi di cybercrimine commercializzato, questi kit abbassano la soglia d’ingresso per coloro che sono interessati alle truffe sha zhu pan allargando a dismisura la quantità di vittime potenziali. Lo scorso anno queste truffe erano già un fenomeno da svariati miliardi di dollari; quest’anno il problema purtroppo è destinato a crescere esponenzialmente”, ha dichiarato Sean Gallagher, principal threat researcher di Sophos.

Gli esperti di Sophos X-Ops hanno seguito l’evoluzione di queste truffe per due anni. Le prime versioni, ribattezzate truffe “CryptoRom” da Sophos, entravano in contatto con le potenziali vittime attraverso app di incontri per poi convincerle a scaricare da fonti esterne applicazioni fasulle per il trading di criptovalute. Nel caso degli utenti iOS, il meccanismo richiedeva alle vittime di scaricare un complicato sistema di aggiramento che consentiva di scavalcare i sistemi di sicurezza sui dispositivi delle vittime così da poter accedere ai loro wallet.

Nel 2022, le attività sono andate perfezionandosi con la scoperta di metodi in grado di aggirare le procedure di verifica degli app store in modo da poter pubblicare le app fraudolente su Apple App Store e Google Play Store. Quello è stato anche l’anno in cui è emerso un nuovo meccanismo truffaldino: i finti pool per il trading di criptovalute (liquidity mining).

Nel 2023 Sophos X-Ops ha scoperto due vaste operazioni di cosiddetta “macellazione del maiale” – una basata a Hong Kong e l’altra in Cambogia – che utilizzavano app legittime per il trading di criptovalute creando falsi profili personali con cui adescare le vittime alle quali sottrarre milioni di dollari. Ulteriori approfondimenti hanno rilevato come queste gang avessero anche aggiunto la AI ai loro arsenali.

Alla fine del 2023 Sophos X-Ops ha poi rilevato un’enorme operazione di liquidity mining condotta da tre distinte bande criminali cinesi che ha coinvolto quasi 100 vittime. Investigando il funzionamento di questa attività, Sophos X-Ops si è imbattuta per la prima volta nei kit chiavi in mano per le truffe sha zhu pan.

Nelle truffe analizzate più di recente da Sophos X-Ops, i malintenzionati hanno eliminato ogni precedente barriera tecnologica e ridotto significativamente le attività di ingegneria sociale necessarie per colpire le vittime. Nelle varianti basate sui conti di deposito DeFi, le vittime vengono attirate nel trading fraudolento di criptovalute attraverso l’uso di app legittime e conosciute fornendo ai truffatori (anche se inconsapevolmente) l’accesso diretto ai loro wallet personali. I criminali riescono inoltre a nascondere la rete di wallet che ricicla le criptovalute rubate, rendendo molto più complesso il lavoro delle forze dell’ordine che volessero risalire agli autori dei furti.

“Le truffe basate sui conti di deposito DeFi rappresentano il culmine di due anni di perfezionamento dei metodi usati dalle bande dedite allo sha zhu pan. Non sono più i tempi in cui i malintenzionati dovevano riuscire a convincere le loro vittime a scaricare qualche strana app o trasferire le proprie criptovalute in un nuovo wallet digitale destinato presto a svanire.

“I truffatori hanno anche imparato a proporre meglio le loro macchinazioni sfruttando il modo in cui funzionano i pool per il liquidity mining allo scopo di sottrarre fondi per poter raccontare alle loro vittime che si tratta semplicemente di un conto di investimento: spesso questa pretesa è più convincente, dato che la maggior parte delle persone non capisce i tecnicismi del trading di criptovalute e che si fida se tutta l’operazione viene condotta sotto l’ombrello di brand conosciuti.

“In altre parole non è mai stato così facile come oggi cadere vittima di truffe sha zhu pan, il che significa che non è mai stato tanto importante essere consapevoli dell’esistenza di questi schemi – e sapere a cosa dover prestare attenzione”, ha commentato Gallagher.

Qualche suggerimento per non diventare “maiali da macellare”

Per evitare di cadere vittima di qualche truffa sha zhu pan, Sophos consiglia quanto segue:

  • Non fidarsi di estranei che vogliano entrare in contatto attraverso SMS o social media come Facebook, specie se poi cercano di spostare rapidamente la conversazione su un messenger privato come WhatsApp
    • Ciò si applica anche ai nuovi profili consigliati sulle applicazioni di incontri, in particolare se la persona appena conosciuta inizia a parlare di trading di criptovalute
  • Mai credere ad alcuna iniziativa per diventare ricchi senza fatica né alle opportunità di investimento in criptovalute che promettono importanti guadagni in brevi intervalli di tempo
  • Prendere dimestichezza con le tattiche delle truffe a sfondo romantico e di quelle basate sugli investimenti fasulli. Organizzazioni no-profit come Cybercrime Support Network offrono risorse utili allo scopo
  • Chiunque ritenga di essere caduto vittima di una truffa sha zhu pan dovrebbe stornare immediatamente qualunque importo depositato sui wallet sospetti e segnalare l’accaduto alle forze dell’ordine

Due anni di investigazioni sulle truffe sha zhu pan da parte di Sophos

2021

2022

  • Sophos X-Ops scopre ulteriori app fasulle per le truffe CryptoRom oltre a nuovi metodi che i malintenzionati usano per aggirare i controlli facendo sì che le vittime possano scaricare le app fasulle sui loro dispositivi iOS
  • Emerge un nuovo tipo di truffa sha zhu pan: quello basato sul liquidity mining

2023

  • Sophos X-Ops scopre le prime app fasulle per le truffe CryptoRom sull’App Store di Apple a indicare che i malintenzionati hanno trovato il modo di aggirare le procedure di verifica dell’azienda
  • Sophos X-Ops scopre due vaste operazioni condotte da bande situate a Hong Kong e in Cambogia. Anziché usare app fasulle, queste gang sfruttano applicazioni legittime per il trading di criptovalute creando elaborati profili personali per agganciare le loro vittime
  • Sophos X-Ops si imbatte in ulteriori app fasulle e scopre che i truffatori stanno aggiungendo la AI generativa ai loro toolkit
  • La storia di un uomo che ha perso 22.000 dollari in una settimana a causa di una truffa sha zhu pan porta Sophos X-Ops a scoprire una vasta operazione di liquidity mining condotta da tre differenti bande legate al crimine organizzato cinese

2024

  • Sophos X-Ops scopre la più sofisticata truffa sha zhu pan mai realizzata a livello tecnico, quella relativa ai “conti deposito DeFi”. Questo meccanismo, così come altre truffe imperniate sulle criptovalute, è in vendita mediante kit chiavi in mano che stanno allargando le attività di macellazione del maiale a nuove aree del globo

Per maggiori informazioni sulle truffe basate sui conti di deposito DeFi e sull’evoluzione delle truffe sha zhu pan è possibile consultare “Cryptocurrency Scams Metastasize into New Forms” su Sophos.com.