Sophos alerta: burlões utilizam plataformas falsas de negociação de criptomoedas para roubar mais de $1M

A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, divulgou informação sobre uma grande operação ‘shā zhū pán’ (esquema também conhecido como “abate de porcos”) que utilizou pools falsas de negociação de criptomoeda para roubar mais de 1M de dólares. O relatório “Latest Evolution of ‘Pig Butchering’ Scam Lures Victim in Fake Mining Scheme” detalha a história de Frank1, uma das vítimas enganadas, e como perdeu 22.000 dólares numa semana após ter sido contactado por alguém chamado “Vivian” na aplicação de encontros MeetMe.
A equipa Sophos X-Ops investigou a história de Frank e descobriu um total de 14 domínios associados à operação fraudulenta, bem como dezenas de websites de fraude quase idênticos que, em conjunto, renderam a esta “rede” de cibercriminosos mais de 1M de dólares em três meses.
Este esquema tira partido do mundo amplamente não regulamentado das aplicações de negociação de criptomoedas de finanças descentralizadas (DeFI). Estas aplicações criam “pools de liquidez” de vários tipos de criptomoedas, a que os utilizadores podem aceder para fazerem transações de uma criptomoeda para outra. Quem participa na pool recebe uma percentagem de qualquer taxa paga quando uma transação é efetuada, criando um retorno do investimento aliciante. Para aderir a um pool, os participantes têm primeiro de assinar um contrato inteligente online – que dá a outra conta (normalmente a dos operadores da pool) permissão para aceder às carteiras dos participantes para facilitar as transações. As pools falsas, que os criminosos estão a utilizar cada vez mais para desviar fundos das vítimas, funcionam praticamente da mesma forma – no entanto, ao contrário das pools legítimas, num determinado momento os burlões “tiram o tapete” às pessoas e roubam todo o montante da pool de liquidez.
“Quando descobrimos pela primeira vez estas falsas pools de liquidez, eram bastante primitivas e ainda estavam em desenvolvimento. Agora vemos que os burlões dos esquemas ‘sha zhu pan’ integram perfeitamente este tipo específico de fraude com criptomoedas no seu conjunto de táticas existentes, como por exemplo atrair vítimas através de aplicações de encontros. Muito poucas pessoas sabem como funciona o comércio legítimo de criptomoedas, pelo que é fácil para estes burlões enganarem os seus alvos. Existem mesmo manuais para ensinar este tipo de golpe, o que torna simples para diferentes grupos criminosos adicionarem esta fraude ao seu arsenal. No ano passado a Sophos encontrou dezenas destes sites fraudulentos de pools de liquidez; neste momento, já estamos a ver mais de 500,” disse Sean Gallagher, Principal Threat Researcher da Sophos.
A Sophos X-Ops teve conhecimento desta operação através de uma vítima chamada Frank1, que se tinha conectado na aplicação de encontros MeetMe com um burlão escondido por detrás da persona de “Vivian”, uma mulher alemã que supostamente vivia e trabalhava em Washington, D.C.. Durante semanas, Frank conversou com “Vivian”, que misturou promessas românticas com tentativas persistentes de convencer Frank a investir em criptomoedas.
Eventualmente, Frank abriu uma conta Trust Wallet (uma aplicação legítima para converter dólares em criptomoedas) e entrou no website de pool de liquidez que “Vivian” lhe recomendou. Na realidade, o website era fraudulento e utilizava a marca Allnodes, um reconhecido fornecedor de plataformas financeiras descentralizadas, para cobrir o seu rasto. Entre 31 de maio e 5 de junho, Frank investiu 22.000 dólares no esquema. Apenas três dias depois, os burlões esvaziaram a sua carteira digital. Na tentativa de recuperar o seu dinheiro, Frank recorreu a “Vivian”, que alegou que ele precisava de investir ainda mais na pool para recuperar os seus fundos e colher recompensas. Enquanto aguardava que o seu banco autorizasse uma transferência de dinheiro para a Coinbase, Frank começou a pesquisar sobre o que se estava a passar e deparou-se com um artigo da Sophos sobre o tema – e foi então que pediu ajuda a Sean Gallagher.
Mesmo depois de Gallagher ter instruído Frank para bloquear “Vivian”, ela acabou por o encontrar no Telegram e continuou as suas tentativas de o convencer a “dar continuidade ao seu investimento”, chegando ao ponto de lhe enviar uma carta longa e emocionada que foi, muito provavelmente, criada por uma aplicação de IA generativa.
“O que torna este tipo de esquemas particularmente ardiloso é o facto de não exigirem a instalação de qualquer malware no dispositivo da vítima. Nem sequer envolvem uma aplicação falsa, como alguns que encontrámos noutros golpes do género CryptoRom. Toda esta falsa pool foi executada através da aplicação legítima Trust Wallet. A certa altura, Frank até tentou contactar o apoio da Trust Wallet para recuperar o seu dinheiro, mas era um contacto falso. Não há regulamentação sobre estas pools, legítimas ou não, nas aplicações de criptomoedas. Estas fraudes são bem-sucedidas recorrendo simplesmente à engenharia social, e os burlões são persistentes. ‘Vivian’ continuou a tentar contactar Frank durante semanas depois de ele a ter bloqueado no WhatsApp,” continuou Gallagher. “A única forma de nos mantermos a salvo destas fraudes é estarmos atentos e sabermos que elas existem e como funcionam. Foi por isso que Frank quis partilhar a sua história. Os utilizadores devem ter cuidado com qualquer pessoa com quem não tenham qualquer ligação e que os contacte subitamente através de qualquer aplicação de encontros ou plataforma de redes sociais, em especial se essa ‘pessoa’ quiser passar a conversa para uma plataforma como o WhatsApp e depois discutir investimentos em criptomoedas.”
A Sophos partilhou os seus dados sobre este caso com a Chainalysis e a Coinbase, bem como com outros profissionais de informações sobre ameaças no espaço das criptomoedas, que continuam a investigar o assunto. Quem acreditar estar a ser vítimas de fraude deste género pode contactar a Sophos, e também a polícia local, para obter assistência.