Sophos rapport: Oplichters voegen ChatGPT toe aan hun toolset

Sophos, een vooraanstaande mondiale speler op het gebied van cybersecurity as a service, heeft onlangs nieuwe resultaten gepubliceerd over de CryptoRom-zwendel.

Deze zwendel maakt deel uit van het grotere fenomeen van “varkensslachterij” (shā zhū pán)-schema’s, die erop gericht zijn gebruikers van dating-apps te misleiden en hen zover te krijgen dat ze nepinvesteringen doen in cryptocurrency. Het nieuwste rapport van Sophos, getiteld “Sha Zhu Pan Scam gebruikt AI Chat Tool om iPhone- en Android-gebruikers te targeten,” belicht dit fenomeen.

Technieken van fraudeurs zijn verfijnd

Sinds mei heeft Sophos X-Ops waargenomen dat CryptoRom-fraudeurs hun technieken hebben verfijnd, waarbij ze een AI-chattool, zoals ChatGPT, aan hun arsenaal hebben toegevoegd. Bovendien hebben oplichters hun manipulatieve tactieken uitgebreid door hun slachtoffers te misleiden met claims dat hun crypto-accounts waren gecompromitteerd en dat er vooraf extra geld nodig was.

Sophos X-Ops heeft tevens ontdekt dat de oplichters erin slaagden zeven nieuwe nep-cryptocurrency-investeringsapps naar de officiële Apple App Store en Google Play Store te sluizen, waardoor het potentiële aantal slachtoffers werd vergroot.

In 2022 resulteerde investeringsfraude in de grootste verliescijfers van alle frauduleuze praktijken die werden gemeld aan het Internet Crimes Complaint Center (IC3) van de Amerikaanse FBI, met een totaal van maar liefst 3,31 miljard dollar alleen al in de Verenigde Staten. Fraude met cryptocurrency, waaronder het “slachten van varkens,” was verantwoordelijk voor het merendeel van deze frauduleuze activiteiten, met een stijging van 183% ten opzichte van 2021, wat resulteerde in gerapporteerde verliezen van maar liefst 2,57 miljard dollar vorig jaar.

Eerste contact met scammers

Sophos X-Ops kwam voor het eerst in aanraking met oplichters van CryptoRom die gebruikmaakten van de AI-chattool – hoogstwaarschijnlijk ChatGPT – toen een slachtoffer van oplichting contact opnam met het team.

Na initiële communicatie met het slachtoffer via Tandem, een app die wordt gebruikt voor taaluitwisseling en tevens als dating-app, wist de oplichter het slachtoffer over te halen om hun conversatie naar WhatsApp te verplaatsen.

Het slachtoffer werd echter achterdochtig nadat het een uitgebreide bericht had ontvangen dat overduidelijk deels was opgesteld door een AI-chattool met behulp van een groot taalmodel (Large Language Model – LLM). Sean Gallagher, hoofdonderzoeker bedreigingen bij Sophos, zei het volgende:

“Sinds OpenAI de release van ChatGPT aankondigde, is er breed gespeculeerd dat cybercriminelen het programma zouden kunnen gebruiken voor hun eigen kwaadaardige activiteiten. We kunnen nu zeggen dat dit, althans in het geval van zwendel bij het slachten van varkens, inderdaad gebeurt. Eén van de grootste uitdagingen voor fraudeurs met CryptoRom-zwendel is het voeren van overtuigende, langdurige gesprekken van romantische aard met doelwitten; deze gesprekken zijn meestal geschreven door ‘toetsenborden’, die voornamelijk uit Azië komen en een taalbarrière hebben. Het gebruik van zoiets als ChatGPT kan een efficiëntere en effectievere manier zijn om deze gesprekken gaande te houden, waardoor de zwendel minder arbeidsintensief en authentieker wordt. Het stelt keyboardspelers ook in staat om tegelijkertijd met meerdere slachtoffers tegelijk in contact te komen.”

Nieuwe oplichtingstactiek ontdekt

Sophos X-Ops heeft tevens een nieuwe oplichtingstactiek ontdekt die is ontwikkeld om extra geld af te persen. Traditioneel gesproken, wanneer slachtoffers van de CryptoRom-zwendel proberen hun vermeende “winst” op te nemen, worden ze door de fraudeurs geïnformeerd dat ze eerst 20% belasting moeten betalen voordat ze enig geld kunnen ontvangen. Recentelijk heeft een slachtoffer echter onthuld dat nadat ze de “belasting” hadden betaald om geld op te nemen, de oplichters beweerden dat het geld was “gehackt” en dat er nog eens 20% als aanbetaling nodig was voordat ze hun geld konden ontvangen.

Bij verder onderzoek heeft Sophos X-Ops zeven nep-cryptocurrency-investeringsapps ontdekt in de officiële Google Play Store en Apple App Store. Deze apps hebben ogenschijnlijk onschuldige beschrijvingen in de app-winkels (bijvoorbeeld, BerryX beweert leesgerelateerd te zijn). Echter, zodra gebruikers de app openen, worden ze geconfronteerd met een nagemaakte interface voor cryptohandel.

Om de controle van de Apple App Store te omzeilen, maken de app-ontwikkelaars gebruik van dezelfde techniek die Sophos voor het eerst heeft gerapporteerd in februari 2023. Ze dienen de app ter goedkeuring in met behulp van legitieme, alledaagse webinhoud. Zodra de app is goedgekeurd en gepubliceerd, wijzigen ze vervolgens de server die de app host met code voor de frauduleuze interface.

Het opmerkelijke is dat veel van deze zeven nieuwe apps dezelfde sjablonen en beschrijvingen hergebruikten, wat suggereert dat dezelfde één of twee groepen achter de oplichtingspraktijken zitten. Gallagher zei hier als slot het volgende over:

“Voordat ze hun apps in de Apple Store konden krijgen, moesten CryptoRom-fraudeurs een lastige technische oplossing gebruiken om zich op iOS-gebruikers te richten, waardoor hun slachtoffers konden worden gewaarschuwd dat er iets niet klopte. Nu is het voor hen veel gemakkelijker om zich op iPhone-gebruikers te richten, waardoor hun slachtofferpool wordt uitgebreid. Deze apps zijn ook gemakkelijk te recyclen en opnieuw te gebruiken. De BerryX-app lijkt zelfs verband te houden met de nep-apps die we eerder dit jaar ontdekten en blokkeerden. Alhoewel we Google en Apple op de hoogte hebben gebracht van deze nieuwste apps, zullen er waarschijnlijk meer verschijnen. Deze fraudeurs zijn meedogenloos. Tegenwoordig vertellen ze hun slachtoffers dat hun accounts zijn gehackt om meer geld af te persen, maar in de toekomst zullen ze waarschijnlijk nieuwe methoden bedenken voor initiële en dubbele afpersing. De beste verdediging tegen het slachten van varkens is bekendheid met deze campagnes. We moedigen gebruikers die achterdochtig zijn of denken dat ze mogelijk het slachtoffer zijn geworden aan om contact met ons op te nemen.”