杀猪骗局的兴起

结论18关于赛富时20目录联系我们20引言4背景 3与骗子打交道 14猪吹捧骗局之兴起3欺诈影响9研究结果7网站起源与组成 7建议19诈骗推广 12执行摘要 猪屠宰诈骗的崛起 2 5 背景猪屠宰骗局的出现最终，受害者被说服投资一个看似合法的企业，后来才意识到他们的钱被偷了。这个骗局现在是全球性的，通常由东南亚的团体运作。根据FBI的数据，与加密货币相关的骗局，包括猪屠宰骗局，12023年报告亏损高达56亿美元，比往年急剧增加。2https://archive.md/20240923175547/https://www.americanbanker.com/news/house-lawmakers-pitch-proposals-to-ad dress-pig-butchering-scams在全球化范围内，归因于养猪屠宰和类似的方案被保守估计约为每年640亿美元。该骗局涉及犯罪分子通过社交媒体、直接消息应用程序和约会应用程序与目标接触，有时长达数月，以建立信任感和熟悉感。1https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3CryptocurrencyReport.pdf图1：美国联邦调查局报告突出显示，与加密货币投资欺诈相关的投诉数量和财务损失显著增加，反映过去几年中一种不断增长的趋势。近年来，“杀猪盘”（又称“杀猪盘 shāzhūpán”）诈骗迅速崛起成为重大全球威胁，主要针对个人实施虚假投资计划。这种诈骗形式最初源于中国，现已演变为全球现象，受害者被诱导相信他们正在进行有利可图的投资，通常涉及加密货币。“杀猪盘”的名称源于诈骗者在赢得受害者信任后“养肥”他们，然后夺取其资金，使受害者遭受重大损失。 猪屠宰骗局的高发2 引言虽然大多数养猪屠宰骗局与讲中文的黑客集团有关，但我们的调查表明，这种特定的骗局似乎主要与来自非洲的黑客有关，表明此类活动的全球扩张和多元化。图2：猪宰诈骗中典型网站布局的屏幕截图。模板易于复制、利用聊天机器人进行社会工程学攻击，以及承诺高额投资回报的结合，使得这种骗局能高度有效地针对世界各地的各种受害者。诈骗网站通常会展示一个看起来专业的首页，承诺高额回报，一个编造的“关于我们”部分来建立信誉，以及一个“投资”页面推广快速利润，通常通过加密货币。其他页面，例如统计、注册、登录和加密货币价格，进一步增强了合法性幻觉。这些网站的一个关键特点是聊天机器人，用于引导受害者前往WhatsApp或Telegram等即时通讯平台，以便与诈骗者进行更私人的互动。为了展示投资诈骗的危害，我们专注于根据其网站结构分析并探索与这些诈骗相关的域名。这些欺诈网站通常遵循一个相似的模板，旨在欺骗潜在的受害者，让他们以为他们是在与一个合法的投资平台进行交易。 猪屠宰骗局之兴起 4图3：通过网站的聊天机器人与诈骗者互动揭示了他们将受害者引导至Telegram。 背景执行摘要人工智能的兴起简化了令人信服的欺诈平台的创建，使得更多攻击者能够加入并扩大这些运营。这份报告调查了\"杀猪盘 shāzhūpán\"诈骗（也称为\"猪拱盘\"）的兴起，这是一种通过虚假投资计划（主要涉及加密货币）针对个人进行诈骗的全球性欺诈现象。源自中国，这些骗局已扩展到全球，诈骗者利用社交媒体、约会应用程序和直接消息平台，在一段时间内建立信任，然后欺骗受害者。这些骗局通常使用看起来专业的网站，利用编造的成功故事、高额回报的承诺和伪造的文件来制造合法的假象，诱骗无辜的受害者。 猪屠宰诈骗的崛起 5 发现建议小心社交媒体上冒充成功人士的个人资料，并向当局举报可疑平台或个人资料。我们发现了包含上传图片、个人身份文件和交易确认的目录，这些目录可能被用于勒索或作为个人数据出售。我们的调查揭露了六个欺诈网站上的不良安全做法，允许访问敏感内部文件，包括“.env”配置文件、数据库凭证和日志，这些与Laravel框架相关联。我们的受控接触揭露了骗子的策略，包括冒充行业人物，使用不一致的掩护故事，以及显示对声称来源的了解有限。对高回报投资承诺应持怀疑态度，核实平台合法性，并避免分享敏感个人信息。诈骗者通过模仿“成功”和“有吸引力”的个人，在社交媒体上推广他们的计划，尤其是在Facebook上，诱骗受害者参与虚假投资机会。他们使用虚构的成功故事和励志帖子来制造虚假的盈利错觉，通常包含逐步存入资金的说明。影响范围跨越27个国家，涉及多个大洲，受害者来自不同背景，没有特定的群体特征。我们的调查发现超过1000个域名使用类似的欺诈模板，指向与非洲威胁行为者集团有关的大规模诈骗。尽管威胁行为者使用相对简单的方法欺骗受害者，但这些诈骗仍然造成了重大经济损失，估计每年损失达数十万甚至数百万美元。 猪屠夫骗局的崛起 6 图4：首次识别的YouTube教学视频，展示了这些网站模板，2022年9月网站起源与组成发现此外，我们还发现了一个发布免费提供脚本的YouTube视频。4名为“Codexoo”的频道。通过访问描述中的链接，我们能够下载模板脚本。3https://www.youtube.com/watch?v=QmP-XXGBxXg4https://www.youtube.com/watch?v=4UFRb6GPPV4我们已经确定，威胁行为者使用这些网站模板的第一个迹象出现在2022年3月。总计，Cyberint识别出超过1000个使用此网站模板的域名。我们发现的最早YouTube教学视频上传于2022年9月在一个名为\"blex ony\"的频道上。该视频由一名尼日利亚人旁白，提供了逐步设置此类网站的说明。视频的描述包含一个电话号码，+2348088522446，供感兴趣购买此模板的人使用。该频道似乎还销售其他诈骗网站模板，这可能表明涉及一个更大的威胁行为者集团。 猪屠宰骗局之兴起 73 4猪宰骗局之兴起 8图 5：显示 Laravel 默认目录的脚本文件夹截图。我们发现骗子正在使用基于某些文件存在的Laravel框架。脚本文件夹包括\"composer.json\"和其他默认文件，这些文件通常在创建使用Laravel的Web应用程序时自动生成。5图6：“composer.json”文件截图，显示该Web应用程序是使用Laravel构建的。5https://www.geeksforgeeks.org/laravel-directory-structure/ 图9：“storage/app/public/uploads”目录中上传的图片诈骗影响此外，我们找到了存储已上传图像的目录。图7：一个名为“数据库”的公开可访问的内部目录示例。我们的调查积极利用了六个欺诈平台的薄弱安全实践，使我们能够访问这些网站后端存储的内部目录和各种敏感文件，包括.env配置文件、日志文件等。这些类型的文件和目录已知与Laravel框架相关。 猪屠宰骗局的出现 9图 8：一个暴露的敏感内部 .env 配置文件示例，揭示了欺诈平台上的数据库凭证、应用程序密钥和服务器设置。 猪宰骗局之崛起 10图12-13：平台上传的俄语受害者提供的付款收据示例。图10-11：受害者上传到平台的身份证明文件示例。这些平台在注册时要求受害者提交个人身份信息，例如身份证、驾驶执照或护照，这些信息后来可能被用于勒索或作为个人数据出售。我们也发现了与交易确认相关的图片，这些图片揭示了受害者试图将资金转移到这些欺诈计划中的企图。受这六个平台影响的受害者的总估算损失达数千美元。然而，由于Cyberint已识别出超过1,000个使用此特定诈骗模板的域名，受害者损失可能达到数十万甚至数百万美元。 猪屠夫骗局的出现 11图14：突出显示了六家我们调查的欺诈平台影响的国家的地图。突出显示的地区表明这些诈骗活动的全球范围，跨越多个大陆，并影响北美洲、南美洲、欧洲、非洲和亚洲的多样化人群。这些6个诈骗网站的影响是全球性的，影响了27个国家的广泛范围，包括：阿尔及利亚、阿根廷、巴西、加拿大、哥伦比亚、迪拜、厄瓜多尔、埃及、伊朗、约旦、毛里塔尼亚、墨西哥、摩洛哥、尼加拉瓜、菲律宾、俄罗斯、南非、西班牙、苏丹、苏里南、塔吉克斯坦、土耳其、阿拉伯联合酋长国、英国、美国、乌兹别克斯坦和也门。根据图像，受害者来自不同的背景，没有特定的性别、年龄或其他人口统计特征使其成为“理想”的目标。 诈骗推广图 15：一个积极推广诈骗的“有魅力女性”的 Facebook 个人资料。我们的调查发现，诈骗活动主要通过社交媒体推广，其中脸书是关键平台。诈骗者常常冒充“有魅力”和“成功”的男女，诱骗潜在受害者投资虚假的外汇计划。这种策略最早由中国威胁行为者在2016年开始养猪宰猪时使用，其中爱情诈骗是主要诱骗受害者的方法。诈骗者建立虚假关系以获取信任，然后再介绍虚假投资，这与今天在社交媒体上冒充有魅力、成功人士的方法类似。6https://www.facebook.com/profile.php?id=61556731795226 - 该链接在印刷时已被 Facebook 取消7https://www.facebook.com/profile.php?id=61556299145340 - 打印时链接有效，但可能被删除 猪屠宰骗局的出现 127图16：一个成功且迷人的男性Facebook个人资料，正在积极推广诈骗。6 推广内容示例1. 编造的成功故事：2.激励性帖子：励志名言与指向欺诈网站的链接相配，迎合用户对财务成功的渴望。8https://www.facebook.com/russopl/posts/pfbid02JmrNg8MZXhi2bvsb2zxENDsub3SihUmqR7yURTt3beNTUF6hKNiJ46F wmunrx4s5l - link taken down by Facebook at time of print9https://www.facebook.com/russopl/posts/pfbid09MNDTfqh5Trym4FQAoiG5Amp2jnpv996csFjnvCzgJUCBGc8H2CxAXQ33t JEaTfsl - link taken down by Facebook at time of print10https://www.facebook.com/100082268303158/videos/1196223238104890 - link live at time of print, but likely to be taken down图19：威胁行为者使用像这样的带有奢侈品汽车的动力性帖子，诱骗受害者投资欺诈性平台10图17：一个推广加密投资的人造成功故事，敦促读者索取详情。9骗子会发帖炫耀财务成功和投资轻松，常常分享伪造的成功故事，并提供一步步的存钱说明。一些例子包括：祝贺个人从欺诈平台获得巨大“利润”的帖子。让受害者认为交易很容易且有利可图。 猪屠宰骗局崛起13图18：虚构的6.4万美元比特币盈利故事，宣传加密货币作为轻松获取财富的机会。8 1. 掩饰行业人物：图 20：威胁行为者使用了拉里·科林的身份来提高他们的可信度。我们主动控制的接触揭示了这种诈骗的几个关键特征：与诈骗者打交道图21-22：拉里官方资料发出警告，关于冒名顶替诈骗。拉里·科林的原社交媒体账号已发布关于冒充和诈骗的警告。诈骗者利用了拉里·科林的身份，在他们Telegram账号上使用了他的头像和姓名。他们使用拉里的身份——一位在加密货币行业著名的人物，来自菲律宾，可能有助于增加他们诈骗的可信度。11https://www.instagram.com/stories/highlights/17895469544801907/ 猪屠夫骗局的出现 1411 2. 不一致的封面故事图 23：攻击者伪装成另一个人，削弱了他们的掩护故事的信誉。当进一步沟通发生时，骗子们随后声称自己是菲律宾证券交易所的总裁兼首席执行官拉蒙·S·蒙松，而不是拉里。1212https://