Кібератаки на криптоекспертів: організований бізнес «вішингу» заробляє $20,000 на місяць

Підземний ринок платить $20K на місяць за крипто «вішинг» шахрайства

Кіберзлочинці формують команди професійних імітаторів голосу для націлення на високопрофільних криптоекономістів США через складні телефонні соціальні маніпуляційні атаки, у яких оперативники заробляють до $20,000 на місяць у так званих кампаніях «вішингу».

Новий звіт від GK8 компанії Galaxy, проаналізований Decrypt, показує, як злочинці перейшли від традиційних фішинг-емейлів до створення організованих кримінальних підприємств, що націлені на крипто лідерів через персоналізовані голосові та відеокампанії.

Атаки використовують кураторські набори даних про керівників, імітацію голосу та професійну інфраструктуру для експлуатації осіб, які охороняють інфраструктуру зберігання та приватні ключі, що підвищує ризик «великомасштабного крадіжки криптовалюти».

У червні дослідники GK8 виявили пости про набір на заборонених підземних форумах, де досвідчені злочинці шукали «виконавців» для реалізації цілеспрямованих атак проти старших керівників провідних крипто компаній США.

Пости містили зразки цільових списків, що містили п’ять криптоекспертів, включаючи старших юридичних співробітників, інженерів, фінансових контролерів та технічних директорів, з мінімальною чистою вартістю приблизно $500,000.

«Ми підтвердили репутацію злочинців на цих форумах, вивчаючи відгуки, заяви, рейтинги, дату створення облікових записів постачальників і репутацію форуму», — сказала Тоня Беккер, керівник досліджень у GK8, в коментарі до Decrypt, запитуючи, як її команда підтвердила легітимність цих операцій.

«Згідно з інформацією злочинців, ці дані походять з нових компрометацій», — додала Беккер про набори даних про керівників, які рухають ці кампанії.Кампанії «вішингу» на зростанні

На відміну від традиційних фішинг-емейлів, Беккер зазначила, що сучасні кампанії «вішингу» є «високонаціленими і персоналізованими», зосереджуючись на «високоцінних криптоекспертах і професіоналах з привілейованим доступом».

«Вони використовують імітацію голосу та відео, контент глибоких підробок і ретельно підібрані обставини на основі детальних наборів даних про жертв», — сказала вона.

За повідомленням, злочинці застосовують системи Voice over Internet Protocol, прямі внутрішні номери і SMS-здатності для імітації банків, крипто-сервісів та державних органів.

Пости на форумах свідчать про компенсацію від $15 за 20-хвилинний дзвінок до понад $20,000 на місяць для досвідчених оперативників, згідно з звітом.

«Ми спостерігаємо, що деякі оператори працюють на довгостроковій основі, формуючи організовані групи, які функціонують як професійна індустрія шахрайства», — сказала Беккер у коментарі для Decrypt. «Це бізнес, і злочинці сприймають свою роботу дуже серйозно».

Беккер зазначила, що зловмисники дедалі більше використовують «голоси та відео з глибокими підробками» та «атаки в реальному часі з використанням штучного інтелекту» у своїх операціях.

Хоча конкретний розгляд випадку був зосереджений на керівниках США, за її словами, подібні кампанії функціонують у Німеччині, Великій Британії та Австралії.Соціальна інженерія та крипто

Останні інциденти вказують на більш широкий спектр загроз соціальної інженерії, з якими стикається криптоіндустрія.

Оперативники з Північної Кореї створили фіктивні компанії та використовували глибокі підробки під час співбесід, щоб проникнути в крипто фірми, зловмисники вкрали $1.34 мільярди у 47 інцидентах лише у 2024 році.

Джиммі Су, головний офіцер безпеки Binance, раніше говорив Decrypt, що його біржа щоденно отримує фальшиві резюме від підозрюваних північнокорейських нападників, які тепер використовують «змінювачі голосу під час своїх інтерв’ю, а відео було глибокою підробкою».

Основним методом виявлення, за його словами, є те, що зловмисники «майже завжди мають повільне з’єднання з Інтернетом» через технології перекладу та зміни голосу, що працюють під час викликів.

Звіт GK8 документує, як злочинці змінюють свій фокус з масових фішинг-кампаній на «якість замість кількості» націлюючись на цілі.

Протягом наступних 12-18 місяців Беккер попередила, що атаки стануть більш складними, оскільки «відрізнити фальшиве від реального стане все важче» і зазначила, що криптоорганізації повинні захищатися від «кастомізованих атак соціальної інженерії, які експлуатують людські вразливості».

Вона рекомендувала керівникам «вважати, що їх особиста інформація вже була розкрита» і впевнитися, що «високоцінні транзакції не слід підтверджувати однією особою».

Беккер підкреслила, що «соціальна інженерія процвітає на людських помилках», і компанії потребують «специфічних протоколів та навчання щодо тактики соціальної інженерії голосу та відео».

«З підвищенням персоналізованих шахрайств компанії повинні усвідомити, що навіть найбільш надійні співробітники можуть бути обмануті», — сказала вона. «Розділіть ролі та приватні ключі, щоб жодна особа не мала повної підписної влади».

Звіт GK8 виявляє, що злочинці вказують детальні критерії набору для виконавців, включаючи уподобання акценту, вибір статі, мовну спроможність і доступність у різних часових зонах, щоб узгодити специфічні профілі цілей та максимізувати залучення жертв у пікові години.