Companhia traz detalhes da história de uma vítima que foi enganada e perdeu US$ 22 mil em uma semana
A Sophos, líder global em inovação e fornecimento de cibersegurança como serviço, divulgou informações sobre uma grande operação de pig butchering (shā zhū pán) na qual golpistas usaram falsos pools de negociação de criptomoedas – conhecidos como pools de liquidez, que são mecanismos com diferentes participantes e ativos para facilitar a negociação e aumentar a liquidez de um determinado mercado ou plataforma – para roubar mais de US$ 1 milhão. O relatório, intitulado “Latest evolution of ‘pig butchering’ scam lures victim in fake mining scheme”, detalha a história de uma das vítimas enganadas, chamada Frank (nome fictício utilizado por proteção à privacidade da pessoa), e como ele perdeu US$ 22 mil em uma semana após um atacante, que se passou por "Vivian", entrar em contato pelo aplicativo de relacionamentos MeetMe.
Depois que a equipe multioperacional da companhia, o Sophos X-Ops, investigou a história de Frank, foram descobertos 14 domínios associados à operação fraudulenta, bem como dezenas de sites maliciosos quase idênticos que, juntos, renderam a esse grupo de golpistas mais de US$ 1 milhão em três meses.
O golpe em questão tira vantagem do universo não regulamentado das finanças descentralizadas (DeFi), que é realizado por meio de aplicativos de negociação de criptomoedas. Esses apps criam pools de liquidez de vários tipos de moedas virtuais que os usuários podem acessar para fazer negociações de uma para outra. Aqueles que participam do pool recebem uma porcentagem de qualquer taxa paga quando uma negociação é feita, criando um retorno atraente para o investimento.
Para fazer parte de um pool, primeiramente, os participantes têm de assinar um contrato inteligente online, que dá à outra conta (normalmente dos operadores do pool) permissão para acessar as carteiras dos demais integrantes para facilitar as negociações. Os pools falsos, que os golpistas utilizam cada vez mais para desviar fundos das vítimas, funcionam praticamente da mesma maneira. No entanto, ao contrário dos legítimos, em algum momento esses criminosos "puxam o tapete" e desviam o dinheiro para si mesmos.
“Quando descobrimos pela primeira vez esses falsos pools de liquidez, eles eram bastante primitivos e ainda estavam em desenvolvimento. Agora, vemos criminosos pegando esse tipo específico de fraude de criptomoedas e integrando-o perfeitamente ao arsenal de táticas, como tentar atrair vítimas por meio de aplicativos de relacionamento, por exemplo. Poucos entendem como funciona o comércio legítimo de criptomoedas e, por isso, fica fácil para os golpistas enganarem as pessoas. Existem até kits de ferramentas para esse tipo de golpe, facilitando que diferentes operações de pig butchering adicionem fraudes de criptomoedas aos manuais de ataques. No ano passado, a Sophos rastreou dezenas de sites fraudulentos que tinham esse propósito. Agora, encontramos mais de 500”, explica Sean Gallagher, principal pesquisador de ameaças da Sophos.
A equipe do Sophos X-Ops soube desta operação de mineração de liquidez – estratégia de alguns protocolos financeiros descentralizados (DeFi) usada para atrair usuários – pela primeira vez por meio de uma vítima chamada Frank. Ele havia se conectado, por meio do aplicativo de relacionamento MeetMe, com um golpista que se passava por uma mulher alemã chamada Vivian, que supostamente morava em Washington, D.C. Durante semanas, Frank conversou com Vivian, que misturou suas promessas românticas com tentativas persistentes de convencê-lo a investir em criptomoedas.
Eventualmente, Frank abriu uma conta Trust Wallet – aplicativo legítimo para converter dólares em criptomoedas – e conectou-se ao link do pool de liquidez recomendado por Vivian. Na realidade, o site era fraudulento e utilizava a marca Allnodes como fachada, que é um fornecedor de plataforma financeira descentralizada.
Entre 31 de maio e 5 de junho, Frank investiu US$ 22 mil no esquema. Três dias depois, os golpistas esvaziaram a carteira digital da vítima que, procurando recuperar seu dinheiro, recorreu a Vivian, que alegou que precisava investir ainda mais no pool para recuperar seus fundos e colher as "recompensas". Enquanto esperava que seu banco autorizasse uma transferência financeira para a Coinbase – plataforma legítima para compra, venda, transferência e armazenamento de criptomoedas –, Frank começou a pesquisar o que estava acontecendo e se deparou com um artigo da Sophos sobre mineração de liquidez. Foi neste momento que Frank pediu ajuda a Gallagher, pesquisador da empresa.
Mesmo depois que Gallagher instruiu para Frank bloquear Vivian, o golpista disfarçado o encontrou no Telegram e retomou as tentativas de induzi-lo a "continuar seu investimento", chegando ao ponto de enviar uma longa e emotiva carta que, muito provavelmente, foi criada por meio de um aplicativo de IA generativo.
“O que torna esses ataques particularmente complicados é que eles não exigem a instalação de nenhum malware no dispositivo da vítima. Eles nem sequer envolvem um aplicativo falso, como alguns dos que encontramos em outros esquemas de CryptoRom, por exemplo. Todo o pool de liquidez falso foi executado por meio do app Trust Wallet. Em determinado momento, Frank até tentou entrar em contato com o suporte da Trust Wallet para recuperar seu dinheiro, mas se conectou com um contato falso do site fraudulento de pool de liquidez. Não há regulamentação desses pools, sejam eles legítimos ou não, nos aplicativos de criptomoedas. Os golpes só têm sucesso por meio de engenharia social – e eles são persistentes. Vivian continuou tentando entrar em contato com Frank por semanas depois que ele a bloqueou no WhatsApp", complementa Gallagher.
“A única maneira de se proteger contra esses golpes é estar vigilante, saber que eles existem e como funcionam. É por isso que Frank quis compartilhar sua história. Os usuários precisam ser cautelosos com qualquer desconhecido que entre em contato repentinamente por meio de aplicativos de relacionamento ou redes sociais, especialmente se a 'pessoa' quiser mover a conversa para uma plataforma como o WhatsApp e depois discutir investimentos em criptomoedas“, conclui o executivo.
A Sophos compartilhou dados sobre este caso com a Chainalysis e com a Coinbase, bem como com outras companhias e profissionais de inteligência de ameaças no espaço de criptomoedas, que continuam investigando. Pessoas que acreditam que podem ser vítimas de pig butchering ou fraude de mineração de liquidez podem entrar em contato com a Sophos, além das autoridades locais para obter assistência.
Para mais informações sobre o aumento dos golpes de mineração de liquidez, acesse o relatório "Latest evolution of 'pig butchering' scams lures victim in fake mining scheme", em sophos.com.