官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Avenger- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
Sophos 的研究人员发现了一个持续超过一年半且不断扩大和演变的欺诈团伙,利用虚假的移动应用程序来引诱受害者参与投资,精心构建骗局获取受害者的信任。
攻击者正在从华语受众人群转移到更普遍的范围,而不是局限于在亚洲。近期也发现诈骗团伙开始将虚假应用程序发布到 Apple Strore 上,尽力绕过苹果严格的审核机制。
研究人员调查了两个杀猪盘:
基于 MetaTrader 4 应用程序,运营一个虚假的黄金交易市场。诈骗团伙提供了 Windows、Android 与 iOS 版本的应用程序,要求受害者上传大量个人身份信息,再引诱其汇款。
总部位于柬埔寨的诈骗团伙利用 TradingView 运营一个虚假的加密货币交易市场。诈骗团伙提供 Andorid 与 iOS 版本的应用程序,一个月内窃取了超过五十万美元的加密货币。
引你上钩
首先要和诈骗团伙连上线,直接通过 Twitter 联系骗子就可以。可以看到回复骗子之前,已经晾着骗子接近一个月的时间。
Twitter 交流
骗子通过与受害者在 Twitter 上互动,来确定是否是诈骗的合适目标。骗子自称是来自中国香港的 40 岁女性,名为 Chen Zimo。
骗子的主页
研究人员表示自己研究网络安全领域的威胁,也调查诈骗。骗子在确认研究人员不是警察后,快速将话题转向了投资,介绍起黄金交易。
Twitter 交流
研究人员对事情发展的如此神速表示怀疑,骗子的解释也很坦诚。
Twitter 交流
研究人员搁置了对话几天,但骗子仍然在持续发送消息。
Twitter 交流
当研究人员再次聊天时,骗子询问是否使用 WhatsApp。研究人员表示不会使用 WhatsApp,但会使用 Telegram。骗子要了账号,开始转战 Telegram。根据骗子的 Telegram 账户信息,号码来自 VoIP 服务提供商。
Telegram 交流
Telegram 交流
骗子表示,她的叔叔正在教她如何在伦敦现货黄金市场进行短线交易。尽管没有强行推销,但骗子张嘴闭嘴都是黄金交易。
Telegram 交流
研究人员询问了交易平台的情况,骗子给出了一个名称。经过搜索,可以找到模拟合法交易网站的诈骗网站。骗子还在外汇交易讨论网站上发布虚假评论,以宣传该诈骗网站。
Telegram 交流
诈骗网站如下所示:
诈骗网站
根据调查,主机上相关的多个网站几乎完全相同。这些网站都是诈骗网站,但是冒充的合法公司不同。
诈骗网站
诈骗网站
通过诈骗网站下载了应用程序后,研究人员再次表达了对网站的担忧:“为什么服务器部署在香港?为什么没有和实际公司在相同的国家?”
Telegram 交流
骗子开始抱怨研究人员对她并不信任,并且表示这种投资连税都不需要缴纳,税款实际已经包含在交易费用中。而且,她本人的各种交易也从未给中国香港的税务部门缴纳什么税款。
Telegram 交流
根据调查,骗子唯一说的实话就是她本人真的位于中国香港。骗子后续还向研究人员介绍了有关白银交易等虚假信息,研究人员来者不拒表示很感兴趣。
基本架构
应用程序
骗子对研究人员感兴趣大喜过望,要求研究人员从虚假网站下载移动应用程序。应用程序都是看起来合法的 MetaTrader 4 程序,带有开发人员签名,但连接的元数据已经被诈骗团伙篡改。
特别的,对于 iOS 平台需要接受一个企业移动管理配置文件才能进行安装。
iOS 平台安装虚假应用程序
iOS 平台安装虚假应用程序
iOS 平台安装虚假应用程序
研究人员问及为什么必须这样下载应用程序时,骗子表示这是由于被美国制裁。
Telegram 交流
骗子为研究人员发送了详细的安装步骤,一步步都有截图指引。引导受害者在配置中找到正确的服务器名称,是骗子模拟金融机构构建的虚假身份。
配置指引
成功后,系统为用户设置一个余额为 10 万美元的练习账户。并且提供一个市场跟踪显示,由中国香港的另一个服务器提供的数据。
Telegram 交流
渐入佳境
在介绍了各种操作后,骗子主动提出要把研究人员介绍给她的叔叔。骗子称她的叔叔是前高盛分析师,但其实完全是虚构的身份。
Telegram 交流
“叔叔”要求通过诈骗网站注册账户,提供相关信息。
虚假网站
在“叔叔”的引导下,研究人员创立了所谓的“真实”账户,就可以进行真实的交易了。“叔叔”称自己拥有内幕消息,正在为一项大投资做准备。
按下葫芦浮起瓢
诈骗开始于 10 月,研究人员在 11 月收集了相关信息。后续,研究人员与日本国家应急响应中心、苹果、谷歌以及其他相关公司同步了信息。相关机构也对此事进行了跟踪,并且进行了处置和管控。
研究人员对骗子表示无法下载应用程序了,骗子贴心地为其介绍最新的基础设施。处理一批基础设施,诈骗团伙就会立刻启用一批新的基础设施,永无宁日。
给骗子打分
从诈骗的角度,研究人员这个骗局并不高明并且漏洞百出。不仅身份禁不起推敲,甚至有一次“叔叔”开始用中文进行沟通。
柬埔寨诈骗团伙披露的照片
另外一个调查的柬埔寨诈骗团伙则更高级,构建了更复杂的背景故事。骗子会通过各种方法来建立信任关系,不过最终都是为了骗钱。
IOC
all.rcufgmj.cn.w.kunlunea.com
mebukiltd.com
account.mebukiltd.com
mt.mataquotes.com
mebukifx.com
account.mebukifx.com
spreades.com
billionmt4s.com
tickml.com
exness-eur.net
tosal-fx.com
app.homebar1.com
rowe.ydukgb.cn
spreades.com
参考来源
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 532 文章数
- 178 关注者