สัมภาษณ์ผู้ส่งสแปมการลงทุน Crypto Scam – Krebs on Security

โซเชียลเน็ตเวิร์กกำลังต่อสู้กับบัญชีบอทที่ไม่น่าเชื่อถือซึ่งส่งข้อความโดยตรงไปยังผู้ใช้ที่ส่งเสริมแพลตฟอร์มการลงทุนสกุลเงินดิจิทัลหลอกลวง สิ่งต่อไปนี้คือการสัมภาษณ์แฮ็กเกอร์ชาวรัสเซียที่รับผิดชอบแคมเปญสแปมคริปโตเชิงรุกหลายชุด มาสโตดอน ชุมชนหยุดการลงทะเบียนใหม่ชั่วคราว แฮ็กเกอร์กล่าวว่าซอฟต์แวร์สแปมของพวกเขาถูกใช้งานแบบส่วนตัวจนถึงช่วงสองสามสัปดาห์ที่แล้ว เมื่อเปิดตัวเป็นรหัสโอเพ่นซอร์ส

มองซิเออร์ชาปุต เป็นโปรแกรมเมอร์อิสระที่ทำงานเกี่ยวกับการปรับปรุงและปรับขนาดโครงสร้างพื้นฐานของโครงการ Mastodon ให้ทันสมัย ​​รวมถึง joinmastodon.org, มาสโตดอนออนไลน์และ มาสโตดอน.โซเชียล. Chaput กล่าวว่าเมื่อวันที่ 4 พฤษภาคม 2023 มีคนปล่อยสแปมทอร์เรนต์ที่กำหนดเป้าหมายผู้ใช้ในชุมชน Mastodon เหล่านี้ผ่าน “การกล่าวถึงส่วนตัว” ซึ่งเป็นการส่งข้อความโดยตรงบนแพลตฟอร์ม

ข้อความดังกล่าวระบุว่าผู้รับได้รับเครดิตการลงทุนจากแพลตฟอร์มการซื้อขายสกุลเงินดิจิทัลที่เรียกว่า มูนเอ็กซ์เทรด[.]คอม. Chaput กล่าวว่านักส่งสแปมใช้ที่อยู่อินเทอร์เน็ตมากกว่า 1,500 ที่อยู่จากผู้ให้บริการ 400 รายในการลงทะเบียนบัญชีใหม่ จากนั้นตามบัญชียอดนิยมบน Mastodon และส่งการกล่าวถึงเป็นการส่วนตัวไปยังผู้ติดตามบัญชีเหล่านั้น

ตั้งแต่นั้นเป็นต้นมา ผู้ส่งสแปมรายเดียวกันนี้ได้ใช้วิธีนี้เพื่อโฆษณาโดเมนที่มีธีมเกี่ยวกับการลงทุนคริปโตที่แตกต่างกันมากกว่า 100 โดเมน Chaput กล่าวว่าเมื่อสัปดาห์ที่แล้วปริมาณบัญชีบอทที่ลงทะเบียนสำหรับแคมเปญสแปมคริปโตเริ่มท่วมท้นเซิร์ฟเวอร์ที่จัดการการสมัครใหม่ที่ Mastodon.social

“จู่ๆ เราก็เปลี่ยนจากการลงทะเบียนสามครั้งต่อนาทีเป็น 900 ครั้งต่อนาที” Chaput กล่าว “ไม่มีสิ่งใดในซอฟต์แวร์ Mastodon ที่จะตรวจจับกิจกรรมนั้น และโปรโตคอลไม่ได้ออกแบบมาเพื่อจัดการกับสิ่งนี้”

หนึ่งในข้อความหลอกลวงการลงทุน crypto ที่โปรโมตในแคมเปญสแปมบน Mastodon ในเดือนนี้

Chaput กล่าวว่าเขาต้องการจะจัดการชั่วคราวกับคลื่นสแปม เขาปิดการลงทะเบียนบัญชีใหม่บน mastodon.social และ mastondon.online หลังจากนั้นไม่นาน เซิร์ฟเวอร์เดียวกันเหล่านั้นก็ถูกโจมตีโดยปฏิเสธการให้บริการ (DDoS) แบบกระจายอย่างต่อเนื่อง

เผอิญใครอยู่เบื้องหลัง DDoS โดนแน่ ไม่ โดยใช้เครื่องมือ DDoS แบบชี้แล้วคลิก เช่น บริการ booter หรือ stresser

“นี่เป็น 3 ชั่วโมงที่ไม่หยุดนิ่ง 200,000 ถึง 400,000 คำขอต่อวินาที” Chaput กล่าวถึง DDoS “ตอนแรกพวกเขามุ่งเป้าไปที่เส้นทางเดียว และเมื่อเราบล็อกพวกเขาก็เริ่มสุ่มสิ่งต่างๆ กว่าสามชั่วโมงการโจมตีพัฒนาหลายครั้ง”

Chaput กล่าวว่าคลื่นสแปมได้ลดลงตั้งแต่พวกเขาดัดแปลง mastodon.social ด้วย CAPTCHA ซึ่งเป็นการผสมผสานระหว่างตัวอักษรและตัวเลขที่ยุ่งเหยิงซึ่งออกแบบมาเพื่อขัดขวางเครื่องมือสร้างบัญชีอัตโนมัติ แต่เขากังวลว่าอินสแตนซ์ Mastodon อื่นๆ อาจไม่มีเจ้าหน้าที่เพียงพอและอาจตกเป็นเหยื่อของผู้ส่งสแปมเหล่านี้ได้ง่าย

“เราไม่รู้ว่านี่เป็นฝีมือของคนคนเดียวหรือเปล่า [related to] ซอฟต์แวร์หรือบริการที่ขายให้กับผู้อื่น” Chaput กล่าวกับ KrebsOnSecurity “เราประทับใจมากกับขนาดของมัน — โดยใช้โดเมนหลายร้อยรายการและที่อยู่อีเมล Microsoft นับพันรายการ”

Chaput กล่าวว่าการตรวจสอบบันทึกของพวกเขาระบุว่าบัญชีสแปม Mastodon ที่ลงทะเบียนใหม่จำนวนมากได้รับการลงทะเบียนโดยใช้ข้อมูลรับรอง 0auth เดียวกัน และโดเมนที่ใช้ร่วมกันกับข้อมูลประจำตัวเหล่านั้นคือ อ้าง[.]ป.ว.

ใบเสนอราคาโดยตรง

โดเมน quot[.]pw ได้รับการลงทะเบียนและละทิ้งโดยหลายฝ่ายตั้งแต่ปี 2014 แต่ข้อมูลการลงทะเบียนล่าสุดมีให้ผ่าน โดเมนทูล.คอม แสดงว่าได้ลงทะเบียนในเดือนมีนาคม 2020 กับใครบางคนใน Krasnodar ประเทศรัสเซียด้วยที่อยู่อีเมล edgard011012@gmail.com.

ที่อยู่อีเมลนี้ยังเชื่อมต่อกับบัญชีในฟอรัมอาชญากรรมไซเบอร์ของรัสเซียหลายแห่ง รวมถึง “__เอ็ดแมน__ผู้ซึ่งเคยขาย “บันทึก” ซึ่งเป็นข้อมูลจำนวนมากที่ถูกขโมยจากคอมพิวเตอร์หลายเครื่องที่ติดไวรัส รวมทั้งให้การเข้าถึงอุปกรณ์ Internet of Things (IoT) ที่ถูกแฮ็ก

ในเดือนกันยายน 2561 ผู้ใช้ชื่อ “циpa” (ออกเสียงว่า “ซิป” ในภาษารัสเซีย) ลงทะเบียนในฟอรัมแฮ็กรัสเซีย โลซทีม โดยใช้ที่อยู่ edgard0111012@gmail.com ในเดือนพฤษภาคม 2020 Zip บอกกับสมาชิก Lolzteam อีกคนว่า quot[.]pw เป็นโดเมนของพวกเขา ผู้ใช้รายนั้นโฆษณาบริการที่ชื่อว่า “โครงการโควต” ซึ่งกล่าวว่าพวกเขาสามารถว่าจ้างให้เขียนสคริปต์การเขียนโปรแกรมด้วย Python และ C++

“ฉันสร้างบอท Telegram และขยะอื่นๆ ในราคาถูก” อ่านหัวข้อการขายในเดือนกุมภาพันธ์ 2020 จาก Zipper

Quotpw/Ahick/Edgard/ципа โฆษณาบริการเขียนโค้ดของเขาในการโพสต์ในฟอรัมที่แปลโดย Google

การคลิกปุ่ม “เปิดการแชทใน Telegram” บนหน้าโปรไฟล์ Lolzteam ของ Zipper จะเปิดหน้าต่างแชทด้วยข้อความโต้ตอบแบบทันทีของ Telegram ซึ่งผู้ใช้ Quotpw จะตอบกลับแทบจะในทันที ถามว่าพวกเขาทราบหรือไม่ว่าโดเมนของพวกเขาถูกใช้เพื่อจัดการบอทเน็ตสแปมที่ส่งสแปม Mastodon เข้าใส่อินสแตนซ์ด้วยสแปมคริปโต crypto Quotpw ยืนยันว่าสแปมนั้นขับเคลื่อนโดยซอฟต์แวร์ของพวกเขา

Quotpw กล่าวว่า “มันถูกสร้างมาเพื่อกลุ่มคนที่จำกัด

Quotpw กล่าวต่อไปว่าสแปมบอตเน็ตขับเคลื่อนโดยที่อยู่ IP มากกว่าร้อยที่อยู่ติดตามโดย Chaput และระบบเหล่านี้ส่วนใหญ่เป็นพร็อกซีที่อยู่อาศัย พร็อกซีที่อยู่อาศัยโดยทั่วไปหมายถึงคอมพิวเตอร์หรืออุปกรณ์เคลื่อนที่ที่ใช้ซอฟต์แวร์บางประเภทซึ่งช่วยให้ระบบสามารถใช้เป็นช่องทางผ่านสำหรับการรับส่งข้อมูลทางอินเทอร์เน็ตจากผู้อื่น

บ่อยครั้งที่ซอฟต์แวร์พร็อกซีนี้ถูกติดตั้งอย่างลับๆ เช่น ผ่านบริการ “VPN ฟรี” หรือแอพมือถือ ผู้รับมอบฉันทะที่อยู่อาศัยยังสามารถอ้างถึงครัวเรือนที่ได้รับการปกป้องโดยเราเตอร์ภายในบ้านที่ถูกบุกรุกซึ่งใช้ข้อมูลรับรองเริ่มต้นจากโรงงานหรือเฟิร์มแวร์ที่ล้าสมัย

Quotpw ยืนยันว่าพวกเขามีรายได้มากกว่า $2,000 โดยส่งการกล่าวถึงแบบส่วนตัวประมาณ 100,000 ครั้งไปยังผู้ใช้ในชุมชน Mastodon ต่างๆ ในช่วงไม่กี่สัปดาห์ที่ผ่านมา Quotpw กล่าวว่าอัตราการแปลงของพวกเขาสำหรับสแปมข้อความโดยตรงที่ขับเคลื่อนด้วยบ็อตแบบเดียวกัน ทวิตเตอร์ มักจะสูงกว่ามากและให้ผลกำไรมากกว่า แม้ว่าพวกเขาจะยอมรับว่าการปรับ CAPTCHA ต่อต้านบอตของ Twitter ล่าสุดทำให้รายได้ Twitter ของพวกเขาลดลง

“หุ้นส่วนของฉัน (ฉันเป็นโปรแกรมเมอร์) เสียเวลาและเงินไปชั่วขณะ ArkoseLabs (funcaptcha) แนะนำข้อควรระวังใหม่บน Twitter” Quotpw เขียนในการตอบกลับของ Telegram “ใน Twitter มีสแปมและการหลอกลวงเข้ารหัสลับมากขึ้น”

ถามว่าพวกเขารู้สึกขัดแย้งกันหรือไม่เกี่ยวกับการส่งสแปมผู้คนด้วยคำเชิญให้หลอกลวง cryptocurrency Quotpw กล่าวว่าในบ้านเกิดของพวกเขา “พวกเขาจ่ายเงินสำหรับงานดังกล่าวมากกว่างาน ‘สีขาว’ – หมายถึงงานการเขียนโปรแกรมที่ถูกต้องซึ่งไม่เกี่ยวข้องกับมัลแวร์ บ็อตเน็ต สแปมและการหลอกลวง

“พิจารณาเงินเดือนในรัสเซีย” Quotpw กล่าว “สแปมใด ๆ ที่สร้างเพื่อผลกำไรและนำเงินที่ผิดกฎหมายมาสู่ผู้ส่งอีเมลขยะ”

การเชื่อมต่อเวียนนา

ไม่นานหลังจากลงทะเบียน edgard011012@gmail.com quot[.]pw บันทึกการจดทะเบียน WHOIS สำหรับโดเมนถูกเปลี่ยนอีกครั้งเป็น msr-sergey2015@yandex.ruและไปยังหมายเลขโทรศัพท์ในออสเตรีย: +43.6607003748.

คอนสเตลล่าอินเทลลิเจนซ์บริษัทที่ติดตามข้อมูลที่ถูกละเมิดพบว่าที่อยู่ msr-sergey2015@yandex.ru เชื่อมโยงกับบัญชีที่ไซต์แอพมือถือ aptoide.com (ผู้ใช้: CoolappsforAndroid) และ vimeworld.ru ที่สร้างขึ้นจากที่อยู่อินเทอร์เน็ตต่างๆ ในกรุงเวียนนา ประเทศออสเตรีย

การค้นหาใน สไกป์ บนหมายเลขโทรศัพท์ของออสเตรียแสดงว่าเป็นของ เซอร์เกย์ โปรชูตินสกี้ ซึ่งระบุตำแหน่งของเขาเป็นเวียนนา ประเทศออสเตรีย ผลลัพธ์แรกที่เกิดขึ้นเมื่อมีคนค้นหาชื่อที่ผิดปกติใน Google คือ โปรไฟล์ LinkedIn ของ Sergey Proshutinskiy จากเวียนนา ประเทศออสเตรีย

โพรไฟล์ LinkedIn ของ Proshutinskiy บอกว่าเขาเป็นนักเรียนรุ่นปี 2024 ที่ ที.จี.เอ็มซึ่งเป็นโรงเรียนสอนศาสนาคริสต์ในออสเตรีย ประวัติย่อของเขายังบอกอีกด้วยว่าเขาเป็นผู้ฝึกงานด้านวิทยาศาสตร์ข้อมูลที่ มอนดิ กรุ๊ปผู้ผลิตบรรจุภัณฑ์และกระดาษที่ยั่งยืนของออสเตรีย

นาย Proshutinskiy ไม่ตอบสนองต่อคำร้องขอความคิดเห็น

Quotpw ปฏิเสธว่าไม่ใช่ Sergey และบอกว่า Sergey เป็นเพื่อนที่จดทะเบียนโดเมนให้เป็นของขวัญวันเกิดและโปรดปรานเมื่อปีที่แล้ว

“ตอนแรกฉันซื้อมาในราคา 300 รูเบิล” Quotpw อธิบาย “ ส่วนขยายราคา 1,300 รูเบิล (แพง) รอจนหมดอายุแล้วลืมซื้อ หลังจากนั้นเพื่อน (Sergey) ก็ซื้อ [the] โดเมนและโอนสิทธิ์การเข้าถึงให้ฉัน”

“เขาไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลด้วยซ้ำ” Quotpw พูดถึงเซอร์เกย์ “เพื่อนของฉันไม่ได้อยู่ในสาขานี้ เพื่อนของฉันไม่มีใครมีส่วนร่วมในการหลอกลวงหรือคนผิวดำ [hat] กิจกรรม.”

อาจดูเหมือนไม่น่าเป็นไปได้ที่ใครสักคนจะแก้ปัญหานี้เพื่อสแปมผู้ใช้ Mastodon เป็นเวลาหลายสัปดาห์โดยใช้ทรัพยากรจำนวนมากที่น่าประทับใจ — ทั้งหมดนี้ทำกำไรเพียง $2,000 แต่มีแนวโน้มว่าใครก็ตามที่ใช้งานแพลตฟอร์มหลอกลวง crypto ต่างๆ ที่โฆษณาโดยข้อความสแปมของ Quotpw จะจ่ายอย่างคุ้มค่าสำหรับการลงทุนใด ๆ ที่เกิดจากสแปมของพวกเขา

ให้เป็นไปตาม เอฟบีไอการสูญเสียทางการเงินจากการหลอกลวงการลงทุน cryptocurrency ความสูญเสียเพียงเล็กน้อยสำหรับอาชญากรรมไซเบอร์ประเภทอื่นๆ ทั้งหมดในปี 2565เพิ่มขึ้นจาก 907 ล้านดอลลาร์ในปี 2564 เป็น 2.57 พันล้านดอลลาร์ในปีที่แล้ว