Dans les escroqueries traditionnelles de type "dépeçage de porcs", qui ont vu le jour en Chine et ont pris de l'ampleur pendant la pandémie, les criminels prétendent entretenir une relation romantique ou personnelle avec les victimes par l'intermédiaire d'applications de rencontres ou des médias sociaux. Après avoir gagné leur confiance au fil de semaines de conversations virtuelles, les fraudeurs les manipulent pour qu'elles investissent dans de fausses crypto-monnaies. Une fois que les criminels ont soutiré aux victimes le maximum de monnaie numérique, ils s'envolent avec les fonds, dépouillant parfois des innocents des économies de toute une vie.
L'expression "dépeçage de porcs" fait référence au processus d'engraissement des victimes par la flatterie et la camaraderie avant de les conduire à un potentiel abattage financier."L'escroquerie touche les gens là où ils sont le plus vulnérables, parce qu'ils essaient d'entrer en contact avec un autre être humain", explique Sean Gallagher, chercheur principal à l'unité de recherche sur les menaces de Sophos, Sophos X-Ops.
Aujourd'hui, un type d'escroquerie est regroupé et distribué pour la vente. Connue sous le nom de "épargne DeFi", elle repose toujours sur l'établissement par les fraudeurs d'un lien personnel avec les victimes. Dans ce cas, la fraude financière s'appuie sur des applications de crypto-monnaies bien connues, car elles suscitent moins de scepticisme chez les victimes, a expliqué M. Gallagher.
Les victimes sont persuadées d'investir dans une "opportunité d'épargne DeFi", en téléchargeant une application légitime de portefeuille de crypto-monnaies et en entrant dans une adresse web malveillante fournie par l'escroc. Une fois que les utilisateurs ouvrent la page web, les fraudeurs peuvent accéder au portefeuille de la victime et y voler des fonds, selon Sophos.
Les kits d'escroquerie à l'épargne DeFi (finance décentralisée) comprennent une page web qui peut se connecter aux portefeuilles cryptographiques de la victime par l'intermédiaire de la blockchain Ethereum. Nombre de ces pages web comprennent également une fonction de chat installée, que les criminels peuvent utiliser pour agir en tant que "support technique" pour leur victime, selon le rapport.
La banalisation de ces kits d'escroquerie a permis à un plus grand nombre de fraudeurs d'entrer dans l'action, selon les chercheurs. Dans le passé, les escrocs étaient souvent liés à des réseaux criminels de langue chinoise en Asie du Sud-Est. Aujourd'hui, ils ont commencé à émerger à partir d'adresses web en Thaïlande et en Afrique de l'Ouest, selon Sophos. "Il est très simple pour quelqu'un de passer d'une escroquerie sur Instagram ou d'autres types d'escroqueries par ingénierie sociale que nous avons vues au cours de la dernière décennie, à ce type d'opération", a déclaré M. Gallagher.
Avec des douzaines de nouveaux kits apparaissant chaque jour, les escroqueries DeFi sont l'activité qui se développe le plus rapidement dans le secteur de la boucherie de porcs, a déclaré M. Gallagher. Selon le rapport, le système d'épargne DeFi évite certains des obstacles techniques des techniques plus traditionnelles, comme l'installation d'une application mobile personnalisée ou le versement d'un acompte aux escrocs.
L'un des réseaux DeFi étudiés par M. Gallagher a rapporté 3 millions de dollars sur une période de trois mois, un montant que les criminels utilisant des techniques plus traditionnelles ont mis presque deux fois plus de temps à voler. Le travail n'est pas terminé une fois que les escrocs ont vidé le portefeuille de leurs victimes. Selon M. Gallagher, les criminels leur disent qu'ils peuvent récupérer les fonds en ajoutant de l'argent.
Lorsqu'une victime finit par rompre le contact, les criminels la relancent avec insistance sur d'autres plateformes, telles que Facebook, WhatsApp et Telegram. Certains utilisent l'IA générative pour créer des messages en anglais plus fluides et plus crédibles, selon le rapport. Ils utilisent ChatGPT pour créer un message texte disant : "Pourquoi as-tu coupé le contact avec moi ? Tu me manques. Je t'aime. S'il te plaît, reviens", a déclaré M. Gallagher.
Épargne DeFi : Nouvelle forme d'escroquerie aux crypto-monnaies de type "dépeçage de porcs"
Au printemps 2023, un jeune retraité a été entraîné dans ce qui allait devenir une "relation" horriblement coûteuse. Attiré par une application de rencontre par quelqu'un qui prétendait vivre dans sa région, il a finalement été convaincu d'"investir" dans ce qu'on lui a dit être un pari sûr, quelque chose appelé "minage de monnaie numérique". Il a fini par investir plus de 20 000 dollars dans ce projet, épuisant ainsi son épargne-retraite personnelle.
L'escroquerie était une nouvelle variante de ce qui est peut-être devenu le segment de la fraude en ligne qui connaît la croissance la plus rapide, représentant des milliards de dollars de pertes pour des milliers de victimes rien qu'aux États-Unis : la fraude à l'investissement basée sur les crypto-monnaies. En raison de la facilité avec laquelle les crypto-monnaies ignorent les frontières et permettent aux réseaux criminels multinationaux d'obtenir et de blanchir rapidement des fonds, et en raison de la confusion généralisée sur le fonctionnement des crypto-monnaies, un large éventail d'escroqueries en ligne a cherché à convaincre les victimes de convertir leurs économies personnelles en crypto-monnaies, puis de les leur voler.
Parmi ces activités criminelles organisées, aucune ne semble aussi répandue que le sha zhu pan ("dépeçage de porcs", 杀猪盘, un modèle d'escroquerie sur lequel repose le crime perpétré contre cette victime, "Frank". Apparues en Chine au début de la pandémie de COVID, les escroqueries au dépeçage de porcs se sont développées dans le monde entier depuis lors, devenant un phénomène frauduleux de plusieurs milliards de dollars. Ces escroqueries ont fait plus que voler de la crypto-monnaie ; elles ont dépouillé des personnes de leurs économies et, dans un cas signalé, une escroquerie a entraîné la faillite d'une petite banque en piégeant un agent de banque.
L'année dernière, alors que des versions bien rodées de ces escroqueries persistent, on a assisté à l'essor d'une version beaucoup plus sophistiquée, qui utilise la puissance de la blockchain elle-même pour contourner la plupart des défenses fournies par les vendeurs d'appareils mobiles et donner aux escrocs un contrôle direct sur les fonds que les victimes convertissent en crypto-monnaies. Ces nouvelles escroqueries, qui utilisent des applications frauduleuses de finance décentralisée (DeFi), sont une évolution des escroqueries de "liquidity mining" découvertes en 2022 et qui marient le scénario de la fausse romance et de la fausse amitié perfectionné par les opérations de dépeçage de porcs précédentes avec des contrats intelligents et des portefeuilles mobiles de crypto-monnaies.
Ces escroqueries hybrides "épargne DeFi " surmontent, d'un point de vue technique, un certain nombre de pierres d'achoppement des précédentes escroqueries au dépeçage de porcs :
- Elles ne nécessitent pas l'installation d'une application mobile personnalisée sur l'appareil mobile de la victime. Certaines versions des applications de dépeçage de porcs exigeaient que les cibles convaincues suivent des étapes compliquées pour installer une application, ou qu'elles échappent à l'examen des boutiques d'applications d'Apple et de Google afin de pouvoir être installées directement. Les escroqueries DeFi utilisent des applications fiables de développeurs relativement connus, et ne demandent à la victime que de charger une page web à partir de cette application.
- Ils n'exigent pas que les crypto-monnaies soient déposées dans un portefeuille contrôlé par eux, ni qu'un dépôt soit effectué par virement bancaire, de sorte que la victime a l'illusion d'avoir un contrôle total sur ses fonds. Jusqu'au moment où le piège est déclenché, les dépôts en crypto-monnaie des victimes sont visibles dans les soldes de leurs portefeuilles, et les escrocs ajoutent même des jetons de crypto-monnaie supplémentaires à leurs comptes pour créer l'illusion d'un profit.
- Ils dissimulent le réseau de portefeuilles qui blanchit les crypto-monnaies volées derrière un porte-monnaie contractuel - une adresse qui prend le contrôle des portefeuilles des victimes lorsque celles-ci "rejoignent" l'escroquerie.
Livraison spéciale
En 2020, on a constaté que les escrocs du dépeçage de porcs commençaient à utiliser des applications Apple iOS et Android dans le cadre de leurs escroqueries, en recourant à un certain nombre de techniques pour contourner l'examen de la boutique d'applications, notamment l'utilisation de profils d'appareils mobiles pour distribuer de véritables applications iOS et des raccourcis Web avec des outils de déploiement ad hoc généralement utilisés par les bêta-testeurs, les petits groupes et les entreprises.
En 2022, on a découvert que les escrocs étaient en mesure de placer des applications dans l'App Store d'Apple et le Play Store de Google, en contournant les contrôles de sécurité des applications et en modifiant le contenu récupéré à distance pour charger de nouveaux contenus malveillants. Il était ainsi beaucoup plus facile de manipuler les victimes pour qu'elles téléchargent l'application, car il n'était pas nécessaire d'installer un profil d'appareil ou de s'inscrire à la gestion de l'appareil mobile. Mais les listes d'applications dans les magasins peuvent toujours éveiller les soupçons.
Au début de l'année 2022, on a assisté à l'émergence d'un nouveau type d'escroquerie : le faux pool d'exploitation de liquidités. Au départ, ces escroqueries étaient principalement le fait de groupes de spam sur les médias sociaux et de canaux Telegram, qui n'avaient guère recours à l'instauration d'un climat de confiance sur le long terme, comme le font les réseaux de dépeçage de porcs.
Au lieu de cela, ils se sont concentrés sur la vente de l'escroquerie elle-même, basée sur un "vrai" plan d'investissement passif DeFi compliqué, conceptuellement similaire aux comptes de courtage du marché monétaire dans la finance traditionnelle, mais exécuté par le biais de contrats intelligents avec un échange de crypto-monnaies automatisé.
Sophos était au milieu d'une recherche de suivi sur ces escroqueries au minage de liquidités lorsqu'ils ont été contactés par une victime d'une nouvelle version de ces escroqueries. Les organisations criminelles à l'origine de l'escroquerie de "Frank" et de centaines d'autres victimes comme lui utilisent les mêmes tactiques que celles qu'elles ont mises au point avec les modèles précédents de dépeçage de porcs pour attirer les victimes, en ciblant principalement les personnes seules et vulnérables par le biais d'applications mobiles et de sites web de rencontres, ainsi que d'autres médias sociaux.
Organisation
Selon l'organisation à l'origine de l'escroquerie, les organisations de type "dépeçage de porcs" sont divisées en plusieurs parties distinctes, dotées d'outils distincts. Il y a un "front office" (l'opération face au "client" qui attire, engage et instruit les victimes) et un "back office" (les opérations informatiques, le développement de logiciels, le blanchiment d'argent et la comptabilité). Ces opérations peuvent être regroupées géographiquement, mais elles sont souvent très dispersées, l'équipe du back office étant répartie à l'échelle internationale.
Le front office fait appel à des équipes de "clavistes" - souvent des personnes attirées en Chine, à Taïwan, aux Philippines, en Malaisie et dans d'autres pays asiatiques par la promesse d'un emploi bien rémunéré dans le domaine de la technologie ou dans un centre téléphonique - afin d'attirer l'attention des cibles potentielles. Ils travaillent à partir de scripts et d'instructions de leurs manipulateurs, envoyant des messages et des images aux cibles pour les convaincre qu'ils sont des "amis" ou qu'ils ont un intérêt romantique pour elles. Dans certains cas, un jeune homme ou une jeune femme joue le rôle de "visage" de l'escroquerie et passe des appels vidéo programmés avec les victimes ; dans d'autres cas, le "visage" est entièrement fabriqué à partir de médias achetés, volés ou générés par l'intelligence artificielle.
Les victimes font souvent l'objet d'un harcèlement continu de la part des escrocs une fois qu'elles se sont désengagées, dans le but de les faire revenir pour les escroquer à nouveau. Parfois, ils utilisent les informations recueillies par la victime pour la contacter par d'autres moyens - y compris des SMS, des courriels et des contacts sur d'autres plateformes de médias sociaux - sous l'apparence d'une assistance technique pour les applications de crypto-monnaie, de "spécialistes de la récupération" de crypto-monnaie ou d'un "amant" abandonné.
Le back-office s'occupe des exigences logistiques telles que l'infrastructure Internet, l'enregistrement des domaines, l'acquisition ou le développement d'applications frauduleuses et la configuration du processus de blanchiment d'argent.
La boîte à outils des escrocs
Les exigences de l'infrastructure du front office sont les suivantes :
- Appareils mobiles
Ils sont généralement enregistrés avec un compte sans fil prépayé ou sont configurés avec un service de voix sur IP et d'envoi de SMS afin d'être enregistrés sur des plateformes de messagerie. - Applications de messagerie sécurisées
WhatsApp est la plateforme préférée des cibles en dehors de la Chine. Telegram est également utilisé, tout comme Skype. Les comptes enregistrés sur un appareil sont souvent partagés sur plusieurs autres appareils (tels que des PC) afin que les travailleurs de ligne ("clavistes" puissent engager la victime par équipes. - Médias sociaux et profils de rencontre
Les escroqueries plus sophistiquées utilisent des comptes volés ou frauduleux sur Facebook et LinkedIn pour étayer leur histoire. Les profils sociaux et de rencontres peuvent utiliser des photos et des vidéos d'un porte-parole désigné (souvent fortement modifiées), des images et des vidéos volées sur d'autres comptes et plateformes, ou des images générées par l'IA. - Une connexion VPN
Si certains réseaux d'escroquerie n'ont pas pris la peine de dissimuler la source de leur trafic Internet, d'autres ont utilisé des services VPN privés pour empêcher la géolocalisation.
Un portefeuille de crypto-monnaies : il sert à montrer comment se connecter à l'escroquerie et à convaincre la cible de la légitimité de la manœuvre. - L'IA générative
On a constaté une augmentation de l'utilisation de ChatGPT ou d'autres grands modèles de langage (LLM) d'IA générative pour créer des messages textuels à envoyer aux cibles. Les LLM sont utilisés par les clavistes pour donner l'impression que leur conversation dans la langue de la cible est plus fluide et pour gagner du temps. Dans le cas de "Frank", l'IA a été utilisée pour rédiger un appel à reprendre contact avec les escrocs sous la forme d'une lettre d'amour après qu'il les a bloqués sur WhatsApp, envoyée via Telegram.
L'infrastructure de back-office varie en fonction de l'escroquerie. Dans le cas des escroqueries au minage DeFi, les exigences sont un peu plus simples que dans le cas des escroqueries basées sur de fausses applications d'échange de crypto-monnaies ou d'autres applications d'échange, car il n'est pas nécessaire de distribuer des applications au-delà de la mise en place de sites DeFi malveillants.
- Hébergement web
Pour tous les types d'escroqueries, l'hébergement se fait généralement par l'intermédiaire d'un revendeur d'un grand fournisseur de services en nuage - Alibaba, Huawei Clouds, Amazon CloudFront, Google et d'autres - et est souvent placé derrière le réseau de diffusion de contenu de Cloudflare. - Domaines
Enregistrés par l'intermédiaire de bureaux d'enregistrement de domaines chinois ou américains à bas prix, ou dans certains cas par l'intermédiaire d'Amazon Registry via un partenaire. Les noms de domaine comprennent généralement un terme ou une marque liés aux crypto-monnaies (DeFi, USDT, ETH, Trust, Binance, etc.), et un ou deux peuvent être combinés avec des chiffres et du texte créés ou incrémentés de manière aléatoire lorsque des multiples sont créés. - Kit d'application DeFi
Page web alimentée par JavaScript et utilisant des interfaces de programmation "Web 3.0" pour se connecter aux portefeuilles via la blockchain Ethereum. La plupart des fausses applications DeFi utilisent la bibliothèque d'interface utilisateur React, et nombre d'entre elles sont accompagnées d'applications de chat in-app qui permettent aux escrocs de jouer le rôle de "support technique" pour la cible. Ce kit peut être développé organiquement par le réseau criminel ou obtenu sur des marchés souterrains. Le même kit peut être facilement mis en place sur des centaines de domaines ; Sophos a trouvé plusieurs centaines d'exemples des kits présentés ci-dessous hébergés sur différents services et avec différents bureaux d'enregistrement de domaines.
Un kit d'escroquerie "épargne DeFi" a été découvert dans plus de 300 domaines.
Un kit similaire de "liquidity mining pool" fonctionne sur plus de 100 domaines identifiés par Sophos.
Une autre variante d'un kit d'escroquerie minière hébergée sur des centaines de domaines.
- Nœuds de crypto-monnaie
Ces applications de la blockchain Ethereum peuvent résider dans le nuage ou sur un ordinateur contrôlé localement et exploité par les escrocs. Elles font office de "portefeuille de contrat" avec lequel les victimes établissent un contrat intelligent et exécutent les transactions qui réaffectent les jetons de crypto-monnaie de l'adresse du portefeuille de la victime vers les portefeuilles des escrocs à des fins de blanchiment. - Portefeuilles de destination et de retrait
Les portefeuilles de destination sont généralement des adresses de portefeuilles "hors ligne" qui servent de point de passage pour les jetons de crypto-monnaie vers lesquels les escrocs se dirigent. Les crypto-monnaies volées sont ensuite transférées sur un compte d'une bourse de crypto-monnaies - dans certains cas, un compte compromis ou créé à l'aide de fausses informations d'identification - avant d'être encaissées. Les crypto-monnaies volées peuvent passer par plusieurs portefeuilles intermédiaires et être réparties sur plusieurs comptes d'échange pour tenter d'échapper à la traçabilité. - Comptes bancaires
La phase finale du blanchiment d'argent dans le cadre de ces escroqueries consiste en un encaissement depuis une bourse de crypto-monnaies vers un compte bancaire contrôlé par l'escroc. Dans les escroqueries que nous avons suivies, la destination était une banque de Hong Kong. Celles-ci sont souvent associées à des sociétés écrans pour brouiller davantage la piste des transactions ; une affaire récente des services secrets américains a révélé qu'un réseau partiellement basé aux États-Unis utilisait une combinaison de comptes bancaires américains et étrangers liés à des sociétés écrans pour blanchir 80 millions de dollars.
Évolution future
Tout au long de son enquête sur les dernières escroqueries au DeFi mining et autres escroqueries au dépeçage de porc, Sophos a constaté une sophistication technique croissante, dont une grande partie vise à empêcher l'analyse des schémas ou à éviter les plateformes de portefeuilles qui ont interdit les escroqueries précédentes.
Les "codes d'invitation" en étaient une première version, qui nécessitait une interaction entre la cible et les escrocs pour obtenir l'accès à l'application DeFi escroquée. Des mesures plus récentes ont été prises :
- L'utilisation de scripts de détection d'agents pour bloquer ou rediriger les navigateurs de bureau et mobiles non associés à des portefeuilles de crypto-monnaies afin d'échapper à l'analyse, et pour restreindre les connexions à des applications de portefeuilles mobiles spécifiques (vulnérables).
- Utilisation de "WalletConnect" ou d'autres API tierces pour masquer l'adresse du portefeuille contractuel utilisé par le stratagème.
- Détection des soldes des portefeuilles pour empêcher les portefeuilles Ethereum vides de se connecter et de détecter l'adresse du portefeuille du contrat.
On peut s'attendre à ce que les escroqueries au minage de DeFi constituent un pourcentage croissant des escroqueries au dépeçage de porc à l'avenir, parce qu'elles peuvent plus facilement être regroupées pour être vendues et distribuées à d'autres cybercriminels, et parce qu'elles peuvent être facilement adoptées par les opérateurs d'escroqueries à la romance existants. Cette prévision est basée sur les centaines de copies de certains kits observées par Sophos dans la nature et sur leur adoption par des cybercriminels dans d'autres régions.
Savoir, c'est la moitié de la bataille
Comme ces escroqueries utilisent des logiciels légitimes et changent fréquemment d'hébergement web et d'adresses de crypto-monnaie, elles ne sont souvent détectées qu'une fois qu'elles ont commencé - souvent par les banques et les courtiers en crypto-monnaie qui sont alertés par des volumes importants de transactions effectuées par des clients qui n'ont jamais échangé de crypto-monnaie auparavant et qui déclenchent des alertes de blanchiment d'argent et de fraude bancaire. Sophos continue à rechercher activement les sites qui hébergent ces escroqueries et à alerter les fabricants d'appareils mobiles, les développeurs d'applications de portefeuilles et les bourses de crypto-monnaies, mais l'ampleur de ces escroqueries fait qu'il est impossible de se défendre contre chacune d'entre elles.
La meilleure défense contre ces escroqueries reste l'éducation du public. Le Réseau de soutien à la cybercriminalité propose du matériel pédagogique sur les escroqueries amoureuses et les escroqueries à l'investissement, qui peut aider les gens à repérer les pièges de la criminalité de type "dépeçage de porc". Mais pour atteindre les personnes les plus vulnérables à ces escroqueries, il faudra peut-être une touche plus personnelle - de la part des amis, de la famille et des connaissances en qui ils ont confiance.
Source : Rapport de Sophos
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :
Les Stablecoins ont permis de réaliser 40 milliards de dollars de cryptocriminalité depuis 2022. Ces stablecoins ont été impliqués dans 70 % des transactions d'escroquerie en cryptomonnaie en 2023
La fraude liée aux cryptomonnaies augmente de façon exponentielle, selon un rapport de la FTC
Cybercriminalité : des arnaqueurs soutirent des millions de dollars à d'autres arnaqueurs, selon Sophos