Betrügereien beim Schweineschlachten nehmen schnell zu

Jun 20, 2023

Lily Hay Newman

Durch Betrug beim Schweineschlachten wurden bereits Hunderte Millionen Dollar gestohlen. Und während Angreifer, hauptsächlich Verbrechersyndikate in China, Skripte und Spielbücher für die Durchführung der Angriffe entwickelt haben, zeigen neue Erkenntnisse von Forschern des Sicherheitsunternehmens Sophos, wie Schweineschlächter ihre Strategien optimieren und verfeinern, um ahnungslosere Opfer in die Falle zu locken.

Um relevant zu bleiben und mehr Opfer zu täuschen, haben die Forscher in den letzten Monaten bei sogenannten Schweineschlachtangriffen sowohl überzeugendere Narrative entwickelt, um Ziele anzulocken, als auch ausgefeiltere Technologien entwickelt, um die Opfer davon zu überzeugen, dass sich damit viel Geld verdienen lässt. Schon vor diesen Verfeinerungen waren die Betrügereien ein großes Geschäft. Das Internet Crime Complaint Center des FBI hat im Jahr 2021 mehr als 4.300 Eingaben im Zusammenhang mit Schweineschlacht-Betrügereien erhalten, was einen Gesamtverlust von mehr als 429 Millionen US-Dollar zur Folge hat.

Sean Gallagher, der leitende Bedrohungsforscher bei Sophos, der die Untersuchung leitete, verfolgte zwei Betrugskampagnen, die ihn auf persönliche Konten und Geräte abzielten. Ab Oktober nahm er über Twitter-Direktnachrichten und SMS-Nachrichten mit den Betrügern Kontakt auf, um herauszufinden, wohin ihn das Kaninchenloch führen würde.

„Das Interessante war, dass, als ich sie durchgespielt habe, einer auf der technischen Seite genialer und der andere auf der Social-Engineering-Seite fortgeschrittener war, aber beide scheinen Erfolg zu haben“, sagt er. „Der Versuch, mit all dem klarzukommen, ist ein großes Spiel von Whac-A-Mole.“

Der erste Betrug, den Gallagher untersuchte, begann mit einer Twitter-DM, in der einfach „Hallo“ stand. Er antwortete erst fast einen Monat später, aber als er antwortete: „Hallo, es tut mir leid, dass ich so lange gebraucht habe, um zu antworten“, war der Schwindel in vollem Gange. Die Person des Angreifers gab an, eine 40-jährige Frau aus Hongkong zu sein, und die beiden begannen zu plaudern.

Gallagher sagte der Persona ausdrücklich, dass er ein Cybersicherheitsforscher sei, der Betrügereien untersucht. „Also bist du Polizist?“ antwortete die Person. Als Gallagher sagte, dass dies nicht der Fall sei, ging das Gespräch weiter. „Kennen Sie den Spotmarkt für Gold?“ fragte die Person. „Der Londoner Gold-Spotmarkt ist eine zuverlässige Plattform. … Ich benutze das, um Geld zu verdienen.“

Andy Greenberg

Ngofeen Mputubwele

Julian Chokkattu

Cathy Alter

Die als „Social Engineering“ bekannten Interaktionen waren für einen Schweineschlachtbetrug relativ schwach, sagt Gallagher. Die Interaktionen waren gestelzt, und selbst wenn die Person Dinge wie das Versenden von Flirtfotos tat, war das Timing immer umständlich und abrupt. Irgendwann sagte Gallagher dem Schauspieler, dass es verdächtig sei, Goldinvestitionen so früh anzusprechen, nachdem man zum ersten Mal mit jemandem gesprochen hatte. „Haha, ja. Weil ich Sie wissen lassen muss, was ich tue“, antwortete die Persona.

Gallagher war jedoch überrascht, als er feststellte, dass die Technologie des Betrugs viel überzeugender war. Betrügereien beim Schweineschlachten sind dafür bekannt, elegante, seriös aussehende Finanzanwendungen und Dashboards zu verwenden, um Opfer zu beruhigen und Vertrauen aufzubauen, wenn sie darüber nachdenken, ob sie Geld in den Plan stecken sollen. Letztendlich hoffen Betrüger, ihre Opfer auszubluten, indem sie sie davon überzeugen, alle ihre Ersparnisse, Kredite, die sie aufnehmen können, und alles Geld, das sie von Freunden und Verwandten leihen können, zu überweisen. Eine überzeugende Technologie, die Dinge wie Echtzeit-Marktdaten umfasst, macht dies also wahrscheinlicher dass Opfer das Gefühl haben, eine seriöse Finanzdienstleistungs-App zu nutzen.

Gallagher stellte fest, dass die Website, die die Betrüger zur Verbreitung ihrer bösartigen Apps nutzten, so eingerichtet war, dass sie sich als echtes japanisches Finanzunternehmen ausgab, und über eine .com-Domain verfügte. Laut Gallagher war es sogar bei Google als eines der Top-Ergebnisse sichtbar, sodass Opfer es finden konnten, wenn sie versuchten, eine grundlegende Recherche durchzuführen. „Für jemanden, der sich in diesen Dingen nicht besonders gut auskennt, wäre dieser Teil ziemlich überzeugend“, sagt Gallagher.

Die Angreifer, von denen Sophos vermutet, dass sie in Hongkong ansässig sind, entwickelten Windows-, Android- und iOS-Apps über einen legitimen Handelsdienst eines russischen Softwareunternehmens. Sophos-Forscher haben in der Vergangenheit Beispiele dafür gesehen, dass die als MetaTrader 4 bekannte Plattform missbraucht und für Betrug missbraucht wurde. Im Rahmen des Beitritts zur Plattform mussten die Opfer persönliche Daten wie Steueridentifikationsnummern und Fotos von amtlichen Ausweisdokumenten preisgeben und dann mit der Überweisung von Bargeld auf ihr Konto beginnen.

Wie es bei einer Vielzahl von Betrügereien häufig der Fall ist, verbreiteten die Angreifer ihre iOS-App mithilfe eines manipulierten Zertifikats für Apples Geräteverwaltungsprogramm für Unternehmen. Sophos-Forscher haben jedoch kürzlich Apps im Zusammenhang mit der Schweineschlachtung gefunden, die die Abwehrmaßnahmen von Apple umgehen und sich in den offiziellen App Store des Unternehmens schleichen konnten.

Der zweite Betrug, dem Gallagher folgte, wurde offenbar von einem chinesischen Verbrechersyndikat aus Kambodscha betrieben. Die Technik für das Projekt war weniger elegant und beeindruckend, aber dennoch umfangreich. Die Gruppe betrieb eine gefälschte Kryptowährungs-Handels-App für Android und iOS, die sich als legitimer Marktverfolgungsdienst TradingView ausgab. Aber das System verfügte über einen viel weiter entwickelten und ausgefeilteren Social-Engineering-Arm, um Opfer anzulocken und ihnen das Gefühl zu geben, eine echte Beziehung zum Betrüger zu haben, was ihnen vorschlägt, Geld zu investieren.

„Es beginnt mit der Frage ‚Hey Jane, bist du noch in Boston?‘ Also schrieb ich zurück: „Entschuldigung, falsche Nummer“, und von dort aus hatten wir einen Standardaustausch“, sagt Gallagher. Das Gespräch begann per SMS und wechselte dann zu Telegram.

Andy Greenberg

Ngofeen Mputubwele

Julian Chokkattu

Cathy Alter

Bei der Persona handelte es sich angeblich um eine Malaysierin, die in Vancouver, British Columbia, lebt. Sie sagte, dass sie ein Weingeschäft betreibe und schickte ein Foto von sich neben einer Bar, obwohl die Bar hauptsächlich mit Spirituosen und nicht mit Wein gefüllt war. Gallagher konnte schließlich die Bar auf dem Foto als eine im Rosewood Hotel in der kambodschanischen Hauptstadt Phnom Penh identifizieren.

Auf Nachfrage sagte Gallagher erneut, er sei ein Forscher für Cybersicherheitsbedrohungen, doch der Betrüger ließ sich nicht abschrecken. Er fügte hinzu, dass sein Unternehmen ein Büro in Vancouver habe und versuchte wiederholt, ein persönliches Treffen vorzuschlagen. Die Betrüger ließen sich jedoch auf die List ein und Gallagher erhielt einige Audio- und Videonachrichten von der Frau auf dem Foto. Schließlich unterhielt er sich sogar per Video mit ihr.

„Ihre Englischkenntnisse waren ziemlich gut, sie befand sich an einem sehr unscheinbaren Ort, es sah aus wie ein Raum mit akustischen Wandpolstern, eine Art Büro oder Konferenzraum“, sagt Gallagher. „Sie sagte mir, sie sei zu Hause, und unser Gespräch drehte sich schnell darum, ob ich mit ihnen den Hochfrequenz-Kryptohandel betreiben würde.“

Nach Angaben von Sophos haben die mit dem Betrug in Zusammenhang stehenden Kryptowährungs-Wallets den Opfern in einem einzigen Monat etwa 500.000 US-Dollar abgenommen.

Die Forscher meldeten ihre Erkenntnisse zu beiden Betrügereien den entsprechenden Kryptowährungsplattformen, Technologieunternehmen und globalen Cybersicherheits-Reaktionsteams, aber beide Unternehmen sind immer noch aktiv und konnten kontinuierlich neue Infrastrukturen aufbauen, als ihre Apps oder Wallets abgeschaltet wurden.

Sophos schwärzt in seinen Berichten alle Bilder von Personen aus beiden Betrügereien, da bei Schweineschlachtereien häufig Zwangsarbeiter eingesetzt werden und die Teilnehmer möglicherweise gegen ihren Willen arbeiten. Gallagher sagt, das Schlimmste an den Angriffen sei, dass ihre Entwicklung und ihr Wachstum zu mehr Zwangsarbeit und noch mehr am Boden zerstörten und finanziell ruinierten Opfern führten. Während Strafverfolgungsbehörden auf der ganzen Welt jedoch darum kämpfen, der Bedrohung entgegenzuwirken, zeigen detaillierte Details der Mechanismen der Systeme, wie sie funktionieren und wie geschickt und anpassungsfähig sie sein können.