[资安人文章分享] Sophos 发现加密交易诈骗向受害者索求数千美元的假「利润税」以解锁帐户

Sophos 发布对 CryptoRom 国际性加密货币交易诈骗的最新见解，该骗局透过热门交友 App (例如 Bumble 和 Tinder) 锁定 iPhone 和 Android 的使用者。这份最新研究《CryptoRom 诈骗分子继续锁定易受攻击的 iPhone/Android 使用者》，内容取材自其他受害者在看过 Sophos 对 CryptoRom 的前一份报告后，联系并提供给 Sophos 的第一手故事和信息。

在这份最新的研究中，Sophos 指出当受害者试图从假交易诈骗中撤回投资时，帐户就会被冻结并索求高达数十万美元的假「利润税」以取回帐户。 据 Sophos 分析，CryptoRom 诈骗越来越有组织，复杂性亦越来越高，目标遍及世界各地。

赎金变高

在与 Sophos 分享的一个案例中，受害者被索求 62 万 5 千美元，以取回投资在交友平台网友推荐的假加密交易中的 100 万美元。该网友声称自己也投资了一些钱，使他们的共同股份达到 400 万美元。此外，诈骗者宣称他们的投资获利高达 313 万美元，如果受害者想从帐户取回资金，就需要缴交 20% 的利润税，即 62 万 5 千美元。事实上，共同投资和获利都是假的，交友网站上的网友也是骗局的一部分。

Sophos 资深威胁研究员 Jagadeesh Chandraiah 表示：「CryptoRom 诈骗是以交友为幌子的金融诈骗，几乎在每个阶段都使用了社交工程手法。诈骗者会用合法交友网站上的假个人资料吸引目标，然后试图说服目标安装和投资假的加密货币交易 App。这些 App 通常是以桌面书签 (web clip) 的形式安装，与合法且受信任的 App 非常相似。

「据此骗局的受害者在我们前一份报告发表之后联系我们，表示当他们试图取回资金或关闭帐户时才知道会被索求 20% 的利润税。诈骗分子还会贷款给无力缴纳税款的受害者，甚至还有假网站承诺帮助人们在被骗时追回资金。简而言之，无论绝望的受害者试图以什么方式拿回他们的钱，骗子都好整以暇等著他们。受害者告诉我们，他们已经因为这个骗局失去了一生的积蓄或退休金。」

Sophos 的研究还发现了部分 CryptoRom 诈骗分子直接利用 WhatsApp 和简讯接近目标的案例，有可能是使用了窃取来的信息。

新攻击手法

Sophos 的研究还详细介绍了 CryptoRom 的最新手法。例如，Sophos 发现诈骗者会滥用 Apple 的 TestFlight 功能，该功能可以对少数人提供待测试的新 iOS 应用程式，并使用较宽松的 Apple 审查程序。在 2021 年期间，Sophos 研究人员观察到 CryptoRom 亦同样地滥用了 iOS Super Signature 和 Apple 的 Enterprise Program。

Sophos 研究人员还发现，诈骗者使用的所有 CryptoRom 网站的后端结构和内容都非常相似，只有品牌名称、图标和 URL 不同。Sophos 认为，这种做法可以让诈骗者在一个诈骗网站被发现并关闭时快速改变用来诈骗的网站。

保持安全，一个业界整体的问题

Chandraiah 继续表示，「令人深感担忧的是，人们继续落入这些犯罪诈骗中，尤其是因为使用了外国交易和不受监管的加密货​​币市场，这意味著法律无法保护受害者投资的资金。这是整个业界的问题，不会消失。我们需要一整套的回应，包括获得加密货币交易的可追溯性、警告使用者小心诈骗，以及能快速侦测和删除导致此类诈骗的假桌面书签。」

Sophos 已发表过一份 CryptoRom 和其他 加密交易和金融诈骗 的研究。Sophos 还发布了其他消费者和家庭使用者面临的其他网路威胁的报告，包括骗钱软体 (fleeceware)，也就是使用者会被收取过高费用的行动应用程式服务。

原文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9768