A Sophos, líder global em inovação e entrega de cibersegurança como serviço, revelou hoje, por meio da nova etapa da série de relatórios “The Scammers Who Scam Scammers on Cybercrime Forums”, detalhes de como rastreou o provável responsável por trás de mais de 20 mercados falsos criados para enganar outros cibercriminosos. Depois de se depararem com um website que imitava a versão autêntica da página criminosa Genesis, pesquisadores da Sophos descobriram tais mercados falsos que datam de agosto de 2021. Todos os sites fraudulentos pareciam ser administrados por um hacker que usa o identificador “waltcranston”, uma provável referência ao personagem Walter White, da série televisiva “Breaking Bad” – estrelada pelo ator Bryan Cranston.
“Ao investigar essa enorme subeconomia de golpistas que enganam uns aos outros, examinamos cerca de 600 golpes de diversos tipos. De todos os que investigamos, essa operação específica se destacou pelo escopo e complexidade. O autor anuncia os mercados falsos no Reddit e replica não apenas o Genesis, que foi o primeiro site fraudulento que encontramos, mas outros comércios proeminentes ou extintos, como Benumb, UniCC e PoisOn. Embora, em nível técnico, tais sites não sejam tão sofisticados, a operação fraudulenta tem sido altamente bem-sucedida. Inclusive, sete destes sites falsos ainda estão ativos e, até o momento, as carteiras de criptomoedas associadas aos golpes receberam pelo menos 132 mil dólares”, explica Matt Wixey, pesquisador sênior de ameaças da Sophos.
Todos os 20 sites falsos seguiram um esquema semelhante. Criminosos tiveram a chance de ativar uma conta na versão fraudulenta de um mercado da dark web com 100 dólares e esperavam que essa quantia fosse depositada em Bitcoin ou Monero e, assim, receberiam credenciais de ativação. No entanto, como parte do golpe, uma vez que os criminosos pagassem, a conta nunca seria ativada.
Um denominador comum entre os 20 sites falsos foi um link para um site chamado darknet[.]markets – que lista mercados criminosos da dark web para visitantes interessados em vendas de drogas, carding e câmbio de criptomoedas. Esse site acabou levando a Sophos a um fórum criminoso chamado Café Dread – e, consequentemente, ao usuário waltcranston.
“Nossa pesquisa no Café Dread começou pelos mercados citados no darknet[.]markets e encontramos diversas postagens do autor waltcranston sobre comércios na dark web, além de formas de enganar pessoas e recomendar a outros usuários que configurassem sites de phishing. Seu próprio site, que vende metanfetamina, também compartilhava algumas semelhanças com os falsos mercados. Até encontramos postagens de usuários do Café Dread que caíram nos sites fraudulentos e acusações de que waltcranston era o responsável por trás do esquema. Embora não possamos ter 100% de certeza de que aqueles por trás do identificador waltcranston são realmente os culpados, há fortes evidências circunstanciais. Toda a operação e nossa investigação são exemplos de quanta inteligência existe sobre cibercriminosos ocultos nesses golpes contra outros hackers, e como a comunidade de segurança pode aproveitar para ajudar a desenvolver defesas mais fortes”, diz Wixey.
Saiba mais sobre os 20 mercados falsos em “Scammers Scamming Scammers, Part 3”.
Informações adicionais
- A vasta subeconomia da dark web de criminosos fraudando outros criminosos em Scammers Scamming Scammers, Part 1;
- Que tipos de golpes os golpistas estão usando para atingir uns aos outros em Scammers Scamming Scammers, Part 2;
- O cenário de ameaças e as tendências que podem afetar a segurança cibernética no Relatório de Ameaças Sophos 2023;
- Sophos X-Ops e sua pesquisa inovadora sobre ameaças nos blogs Sophos X-Ops;
- Tempos de permanência do invasor e insights sobre táticas, técnicas e procedimentos (TTPs) no Sophos Active Adversary Playbook 2022;
- A prevalência global e o impacto do ransomware no relatório State of Ransomware 2022;
- Ransomware, nome a nome, no Ransomware Threat Intelligence Center.
