وجدت Gallagher أن موقع الويب الذي كان المحتالون يستخدمونه لتوزيع تطبيقاتهم الضارة قد تم إعداده لانتحال شخصية شركة مالية يابانية حقيقية ولديه نطاق .com. يقول غالاغر إنه كان مرئيًا حتى على Google كواحد من أفضل النتائج ، لذلك يمكن للضحايا العثور عليه إذا حاولوا إجراء بعض الأبحاث الأساسية. تقول غالاغر: “بالنسبة إلى شخص ليس على دراية خاصة بهذه الأشياء ، سيكون هذا الجزء مقنعًا جدًا”.
قام المهاجمون ، الذين يشتبه سوفوس في وجودهم في هونغ كونغ ، بتطوير تطبيقات Windows و Android و iOS من خدمة تداول مشروعة من شركة برمجيات روسية. يعرف باحثو Sophos ، المعروفين باسم MetaTrader 4 ، أمثلة سابقة على إساءة استخدام المنصة وإساءة استخدامها لأغراض الاحتيال. كجزء من الانضمام إلى المنصة ، كان على الضحايا الكشف عن التفاصيل الشخصية بما في ذلك أرقام التعريف الضريبية وصور وثائق الهوية الحكومية ، ثم البدء في نقل الأموال إلى حساباتهم.
كما هو الحال غالبًا في مجموعة واسعة من عمليات الاحتيال ، كان المهاجمون يوزعون تطبيق iOS الخاص بهم باستخدام شهادة مخترقة لبرنامج إدارة أجهزة المؤسسة من Apple. اكتشف باحثو Sophos مؤخرًا تطبيقات متعلقة بذبح الخنازير تتجنب دفاعات Apple للتسلل إلى متجر التطبيقات الرسمي للشركة.
يبدو أن عملية الاحتيال الثانية التي اتبعتها غالاغر كانت تديرها نقابة إجرامية صينية خارج كمبوديا. كانت التقنية الخاصة بالمخطط أقل أناقة وإثارة للإعجاب ولكنها لا تزال واسعة النطاق. قامت المجموعة بتشغيل تطبيق تداول عملة معماة Android و iOS مزيف ينتحل صفة خدمة تتبع السوق المشروعة TradingView. لكن المخطط كان يحتوي على ذراع هندسة اجتماعية أكثر تطوراً وتطوراً بكثير لجذب الضحايا وجعلهم يشعرون بأن لديهم علاقة حقيقية مع المحتال الذي يقترح أنهم يستثمرون الأموال.
تقول غالاغر: “إنها تبدأ ،” مرحبًا يا جين ، هل ما زلت في بوسطن؟ “” لذا أرسلتها مرة أخرى ، “عذرًا ، رقم خاطئ” ، وكان لدينا تبادل قياسي من هناك ، “بدأت المحادثة عبر الرسائل القصيرة ثم انتقلت إلى برقية.
ادعى الشخص أنه امرأة ماليزية تعيش في فانكوفر ، كولومبيا البريطانية. قالت إنها كانت تدير متجرًا للنبيذ وأرسلت صورة لنفسها وهي تقف بجوار حانة ، على الرغم من أن البار كان في الغالب مليئًا بالخمور ، وليس النبيذ. تمكن غالاغر في النهاية من تحديد الشريط الموجود في الصورة على أنه واحد في فندق روزوود في العاصمة الكمبودية ، بنوم بنه.
عندما سئل ، قال غالاغر مرة أخرى إنه كان باحثًا في تهديد الأمن السيبراني ، لكن المحتال لم يردعه. وأضاف أن شركته لديها مكتب في فانكوفر وحاول مرارًا اقتراح الاجتماع شخصيًا. كان المحتالون ملتزمون بالحيلة ، وتلقت غالاغر بعض الرسائل الصوتية والمرئية من المرأة التي تظهر في الصورة. في النهاية تحدث معها بالفيديو.
تقول غالاغر: “كانت مهاراتها في اللغة الإنجليزية جيدة جدًا ، فقد كانت في موقع لا يوصف تمامًا ، وبدت وكأنها غرفة بها وسادات حائط صوتية ، مثل المكتب أو غرفة الاجتماعات”. “أخبرتني أنها في المنزل ، وسرعان ما توجهت محادثتنا نحو ما إذا كنت سأقوم بتداول العملات الرقمية عالية التردد معهم.”
استحوذت محافظ العملات المشفرة المرتبطة بعملية الاحتيال على ما يقرب من 500 ألف دولار في شهر واحد من الضحايا ، وفقًا لرصد سوفوس.
أبلغ الباحثون عن النتائج التي توصلوا إليها في كلتا الحيلتين لمنصات العملات المشفرة وشركات التكنولوجيا وفرق الاستجابة العالمية للأمن السيبراني ، لكن كلا العمليتين ما زالتا نشطة وتمكّنتا من إنشاء بنية تحتية جديدة باستمرار عند إزالة تطبيقاتهما أو محافظهما.
تقوم Sophos بتنقيح جميع صور الأشخاص من كلا الحيلتين في تقاريرها ، لأن هجمات ذبح الخنازير غالبًا ما تستخدم العمالة القسرية ، وقد يعمل المشاركون ضد إرادتهم. تقول غالاغر إن أكثر الأشياء شؤمًا في الهجمات هو كيف أن تطورها ونموها يعنيان مزيدًا من العمل القسري بالإضافة إلى المزيد من الضحايا المدمرين والمدمرين ماليًا. بينما تتدافع وكالات إنفاذ القانون في جميع أنحاء العالم لمواجهة التهديد ، على الرغم من ذلك ، تظهر التفاصيل المتعمقة لآليات المخططات كيفية عملها وكيف يمكن أن تكون زلقة وقابلة للتكيف.
