Подпольный рынок зарабатывает миллионы на вишинг-мошенничестве с криптовалютой: заложники голосов и видео дипфейков.

Подпольный рынок платит 20 тысяч долларов в месяц за `вишинг`-мошенничество с использованием криптовалюты.

Киберпреступники набирают команды профессиональных имитаторов голосов для нацеливания на высокопрофильных криптоэкспертов в США через сложные телефонные социальные инженерные атаки, с операторами, получающими до 20 000 долларов в месяц в так называемых кампаниях `вишинга`.

Новое исследование от GK8, обзор которого был представлен Decrypt, показывает, как злоумышленники перешли от традиционных фишинговых писем к созданию организованных криминальных предприятий, нацеленных на лидеров в области криптовалют с помощью персонализированных голосовых и видеокомпаний.

Атаки используют специально подобранные наборы данных руководителей, имитацию голосов и профессиональную инфраструктуру для эксплуатации людей, которые защищают инфраструктуру хранения и приватные ключи, повышая риск `масштабного кражи криптовалюты`.

В июне исследователи GK8 обнаружили объявления о наборе на закрытых подпольных форумах, где установленные злоумышленники искали опытных `звонков`, чтобы осуществить целенаправленные атаки на старших руководителей ведущих криптовалютных компаний США.

Объявления содержали примерные списки целей, включающие пять криптоэспертов, в том числе старших юристов, инженеров, финансовых контролеров и технических директоров, все с минимальным состоянием около 500 000 долларов.

«Мы подтвердили репутацию злоумышленников на этих форумах, изучив отзывы, заявления, оценки, дату создания аккаунта и репутацию форума», — рассказала Татьяна Беккер, глава исследований в GK8, когда ее спросили, как ее команда подтвердила легитимность этих операций.

«Согласно злоумышленникам, эти данные исходят из свежих компрометаций», — сказала Беккер о наборах данных руководителей, которые стали основой этих кампаний.

Рост `вишинга`

В отличие от традиционных фишинговых писем, Беккер сказала, что современные кампании `вишинга` являются `высокоцеленаправленными и персонализированными`, и сосредоточены на `высокопрофильных криптоэкспертах и профессионалах с привилегированным доступом`.

«Они используют имитацию голосов и видео, контент с использованием дипфейков и тщательно подобранные предлоги на основе подробных наборов данных о жертвах», — добавила она.

Злоумышленники, как сообщается, используются системы голосовой передачи по интернет-протоколу, номера для прямого внутреннего набора и функции SMS для имитации банков, криптосервисов и государственных учреждений.

Записи на форумах показывают компенсацию от 15 долларов за 20-минутный звонок до более 20 000 долларов в месяц для опытных операторов, согласно отчету.

«Мы наблюдаем, что некоторые операторы работают на долгосрочной основе, создавая организованные группы, которые функционируют как профессиональная мошенническая индустрия», — рассказала Беккер Decrypt. «Это бизнес, и злоумышленники относятся к своей работе очень серьезно».

Беккер сказала, что нападающие все чаще используют `голоса и видео с дипфейками` и `АИ-атаки в реальном времени` в своих операциях.

Хотя конкретный случай, который был рассмотрен, был сосредоточен на руководителях США, она сказала, что подобные кампании работают в Германии, Великобритании и Австралии.

Социальная инженерия и криптовалюта

Недавние инциденты указывают на более широкий спектр угроз социальной инженерии, с которыми сталкивается криптоиндустрия.

Северокорейские операторы создали фиктивные компании и использовали дипфейки во время собеседований, чтобы проникнуть в криптовалютные компании, похитив 1,34 миллиарда долларов в 47 инцидентах только в 2024 году.

Джимми Су, главный офицер безопасности Binance, ранее заявил Decrypt, что его биржа ежедневно получает поддельные резюме от подозреваемых северокорейских нападающих, которые теперь используют `изменители голоса во время своих интервью, и видео было дипфейком`.

Основным методом обнаружения, сказал Су, является то, что нападающие `почти всегда имеют медленное интернет-соединение` из-за работы технологий перевода и изменения голоса во время звонков.

Отчет GK8 документирует, как злоумышленники переключают фокус с массовых фишинговых кампаний на `качество вместо количества`.

В течение следующих 12-18 месяцев Беккер предостерегла, что атаки станут более сложными, так как `различать между подделками и реальностью станет все труднее`, и сказала, что криптоорганизациям необходимо защищаться от `индивидуально настроенных атак социальной инженерии, которые эксплуатируют человеческие уязвимости`.

Она рекомендовала руководителям `предполагать, что их личная информация уже была раскрыта`, и убедиться, что `высокопрофильные транзакции не должны подтверждаться одним человеком`.

Беккер подчеркнула, что `социальная инженерия процветает на человеческих ошибках`, и компаниям нужны `конкретные протоколы и обучение по тактикам голосовой и видео социальной инженерии`.

«С учетом резкого роста высоко персонализированных мошенничеств, компаниям нужно принять, что даже самые доверенные сотрудники могут быть обмануты», — сказала она. «Разделите роли и приватные ключи, чтобы ни один человек не имел полного права подписи».

Отчет GK8 показывает, что злоумышленники уточняют детальные критерии набора для звонков, включая предпочтения в акцентах, выбор пола, языковые возможности и доступность по временным зонам, чтобы соответствовать конкретным профилям целей и максимизировать участие жертв в часы peak.