סופוס (Sophos), חברת אבטחת המידע והסייבר מובילת השוק וחלוצה בתחום פתרונות אבטחת סייבר כשירות, פרסמה היום ממצאים חדשים על הונאה רחבת היקף מסוג פיטום חזירים (המכונות בסינית: 'שה זו פאן') שבה נעשה שימוש במאגרי נזילות זדוניים של מטבעות מבוזרים לגניבת יותר ממיליון דולר מהקורבנות. הסקירה, "Latest Evolution of ‘Pig Butchering’ Scam Lures Victim in Fake Mining Scheme," מספרת את סיפורו של משתמש שנפל קורבן להונאה ואיבד 22 אלף דולר בשבוע לאחר שמשתמשת פיקטיבית יצרה איתו קשר דרך אפליקציית ההיכרויות MeetMe.
צוות Sophos X-Ops חקר את המקרה וחשף 14 שמות תחום (דומיינים) ששימשו במסגרת ההונאה, וכן עשרות אתרים זדוניים כמעט זהים שדרכם הפעילו פושעי הסייבר את הונאת פיטום החזירים והצליחו לגנוב יותר ממיליון דולר תוך שלושה חודשים בלבד.
ההונאה מנצלת את חוסר הפיקוח בתחום הכלכלה המבוזרת (DeFi) כדי להערים על הקורבנות להשקיע במטבעות מבוזרים דרך מאגרי נזילות באפליקציות מסחר במטבעות מבוזרים. במאגר נזילות מוחזקים סוגים שונים של מטבעות מבוזרים המשמשים לביצוע עסקאות במטבעות מבוזרים. המשתתפים במאגר מרוויחים עמלה מהעסקאות המתבצעות במאגר וכך נוצר מנגנון תשואה. כדי להצטרף למאגר, קודם כל צריכים המשתתפים לחתום באופן מקוון על חוזה חכם שמעניק לחשבון אחר (בדרך כלל למפעילי המאגר) הרשאת גישה לארנקים שלהם לצורך ביצוע עסקאות במאגר. המאגרים הזדוניים שאותם מפעילים פושעי הסייבר פועלים בצורה דומה, אך בשונה ממאגרי נזילות לגיטימיים, בשלב מסוים מרוקנים הנוכלים את המאגר ונעלמים עם כספי המשתתפים.
“כשגילינו לראשונה את השימוש הזדוני במאגרי נזילות, הכול היה עדיין מאוד בוסרי. מאז, השתכללה השיטה וכיום הפכה תרמית במטבעות מבוזרים לחלק בלתי נפרד מהונאת פיטום חזירים, כמו למשל פיתוי קורבנות להשקיע במטבעות מבוזרים דרך אפליקציות היכרויות. מעטים בציבור מבינים באמת כיצד עובד המסחר הלגיטימי במטבעות מבוזרים ולכן קל לנוכלים להונות את הקורבנות. כיום, יש אפילו ערכות מוכנות לביצוע ההונאות האלו, מה שמקל עוד יותר על ארגוני פשיעה העוסקים בהונאות מסוג פיטום חזירים להוסיף את סוג התרמית הזה לארגז הכלים שלהם. אם בשנה שעברה עקבה סופוס אחרי עשרות מאגרי נזילות זדוניים, כיום יש כבר יותר מ־500 כאלה," מסביר שון גלאגר, חוקר איומים ראשי בסופוס.
צוות Sophos X-Ops גילה לראשונה את השימוש בהונאת כריית נזילות מקורבן בשם פרנק. פרנק קיבל פנייה באפליקציית ההיכרויות MeetMe מחשבון פיקטיבי שהתחזה לאישה גרמניה בשם ויוויאן שסיפרה שעברה לוושינגטון הבירה לצורך עבודה. פרנק התכתב עם וויוויאן במשך כמה שבועות, כשכל הזמן היא עוברת לסירוגין משיחה בעלת אופי רומנטי לניסיונות עיקשים לשכנע את פרנק להשקיע במטבעות מבוזרים.
בסופו של דבר, התרצה פרנק ופתח חשבון באפליקציית הארנק הדיגיטלי (הלגיטימית) Trust Wallet שמאפשרת להמיר דולרים למטבעות מבוזרים וצירף את הארנק למאגר הנזילות שעליו המליצה ויוויאן. בפועל, מדובר היה במאגר נזילות זדוני שהשתמש בפלטפורמת הכלכלה המבוזרת הלגיטימית Allnodes ככיסוי כדי לא לעורר חשד. בין ה־31 במאי ל־5 ביוני, השקיע פרנק 22 אלף דולר במאגר הנזילות הזה. שלושה ימים לאחר מכן, רוקנו הנוכלים את הארנק הדיגיטלי של פרנק. בצר לו, פנה פרנק לוויוויאן בבקשת עזרה, שהנחתה אותו להמשיך ולהשקיע במאגר כדי להחזיר את הכסף שהפסיד ולקצור את התשואה המובטחת." בזמן שהמתין שהבנק שלו יאשר העברה כספית לאתר המסחר במטבעות מבוזרים Coinbase, החליט פרנק לנסות להבין טוב יותר מה בדיוק קורה פה ובחיפושיו אחרי תשובות הגיע למאמר שפרסמה סופוס בנושא הונאת כריית נזילות. בשלב זה, פנה פרנק אל גלאגר לעזרה.
גם לאחר שבעצת גלאגר חסם פרנק את ויוויאן, היא הצליחה למצוא אותו בטלגרם והמשיכה להפציר בו להמשיך ולהשקיע במאגר, כשבשלב מסוים אפילו שלחה מכתב שניסה לפרוט על נימי הרגש שלו ושקרוב לוודאי נכתב באמצעות כלי בינה מלאכותית.
"מה שהופך את ההונאות האלו לקשות כל כך לאיתור הוא שהן נשענות באופן מלא על הנדסה חברתית ולא מערבות השתלת נוזקה כלשהי במכשיר של הקורבן. הן אפילו לא משתמשות באפליקציות מזויפות כדוגמת אלו שבהן נתקלנו בסוגי הונאות CryptoRom אחרים. במקרה הזה, מאגר הנזילות הזדוני הופעל ונוהל דרך אפליקציית Trust Wallet הלגיטימית. כשבשלב מסוים ניסה פרנק לפנות לתמיכה של Trust Wallet בניסיון להשיב את כספו, הוא עשה זאת דרך אתר המאגר הזדוני וללא ידיעתו התכתב בעצם עם אחד הנוכלים שהתחזה לנציג תמיכה. אין שום פיקוח על האפליקציות והמאגרים האלה למסחר במטבעות מבוזרים ונוכלים ערמומיים ונחושים מנצלים זאת לטובתם. ויוויאן המשיכה לנסות ליצור קשר עם פרנק גם שבועות אחרי שהוא חסם אותה בוואטסאפ.
" הדרך היחידה להתגונן מפני ההונאות האלו היא העלאת מודעות לקיומן, ושמירה על ערנות. זאת הסיבה שפרנק ביקש לשתף את הסיפור שלו עם הציבור. צריך לנקוט במידה של חשדנות בריאה בזרים גמורים שפונים אליך דרך אפליקציות היכרויות או ברשתות החברתיות, ובפרט אם הם מבקשים להמשיך את השיחה באפליקציית מסרים מיידיים כמו ואטסאפ ומעלים את נושא ההשקעה במטבעות מבוזרים," מסכם גלאגר.
סופוס שיתפה את ממצאי החקירה שלה עם Chainalysis, Coinbase וקהילת מודיעין האיומים בתחום הונאות במטבעות מבוזרים, שהמשיכו את החקירה. במקרה של חשד להונאת פיטום חזירים או כריית נזילות, מומלץ לדווח על המקרה לסופוס וכן לרשויות אכיפת החוק באזורך לקבלת עזרה.
