财富幻觉：投资诈骗平台的工程化现实

本文详细分析了在线投资诈骗活动，包括欺诈性加密货币、外汇和交易平台，同时基于Group-IB技术调查方法为调查人员提供技术调查指南。文章概述了使用的社交工程策略和受害者操纵模型，描述了这些骗局背后的欺诈者结构，并重点介绍了Group-IB高科技调查分析师识别的基础设施关键指标，可供网络安全专业人员用于检测和破坏活动。

关键发现

• 越南通过在线平台进行的投资诈骗正在迅速增加
• 威胁行为者团体经常使用虚假公司、骡子账户甚至从地下市场购买的窃取身份文件来接收和转移受害者资金
• 共享后端指标（如API调用、SSL证书）在诈骗网站中很常见
• 投资诈骗中使用聊天机器人筛选目标和引导存款或取款的趋势日益增长
• 诈骗平台通常包含用于伪造虚假对话的聊天模拟器和管理面板

受害者操纵流程

初始接触

诈骗者通过社交媒体平台或消息应用首次接触，冒充成功的投资者或金融专家。

建立信任

如果受害者犹豫或表现出较低的初始信任度，诈骗者会引入额外的"诱饵"，如虚假的共同投资者、朋友或支持人员。

存款获利

一旦建立足够的信任，诈骗者会呈现高回报的投资机会，说服受害者进行初始存款。

虚假利润，真实损失

平台显示伪造的利润，说服受害者其投资正在增长。

消失与转移

当受害者尝试提取全部余额或表达任何怀疑时，诈骗者突然切断所有通信。

虚假交易平台背后的机制

组织结构

• 主谋：监督整个欺诈生态系统
• 目标情报：获取泄露或窃取的个人信息
• 推广者：在社交媒体上创建有说服力的角色
• 支付处理者：建立和管理用于收集受害者资金的银行账户或数字钱包
• 后端操作员：构建和维护诈骗中使用的基础设施

技术基础设施与工具包重用

诈骗入口点

初始页面通常呈现登录或注册屏幕，需要通过邀请或推荐码才能进入。

域间潜在后端共享

分析相关域之间的网络流量可以识别潜在的后端连接。捕获HTTP请求并检查一个域是否调用托管在另一个Web资源上的功能或资源。

SSL证书重用

当多个不同的诈骗域或API端点共享相同的证书时，这作为共享基础设施管理的强指标。

暴露的管理面板作为基础设施指标

分析师可以应用以下方法识别管理面板：

• 目录和文件发现
• 利用公共来源
• 指纹识别技术
• 端口扫描
• 源代码审查

基于聊天的交互式引导

在最近的活动中，初始界面不直接呈现注册表单，而是加载类似于实时支持系统的聊天窗口。

技术分析

流量分析显示对外部聊天机器人基础设施的重复请求。捕获这些观察结果很重要，因为它们提供了对平台技术设置的见解。

支付指令交付

当受害者选择"充值"功能时，平台通常将他们重定向到聊天机器人窗口而不是显示支付指令。

诈骗活动中的辅助基础设施组件

子域名枚举

子域名可能揭示暴露管理面板、聊天模拟器或API的后端功能。

基础设施透视

同一活动中的域通常共享相同的IP或托管范围。

聊天模拟功能

在基础设施中发现了具体的聊天生成工具示例：在最近活动中观察到的聊天模拟面板。

结论与建议

投资诈骗活动利用虚假交易平台日益结构化和跨国化。这些计划由基于角色的欺诈网络运营，具有专门分析受害者、部署基础设施和洗钱的独立单位。

对于研究人员和分析师，建议应用受害者操纵流程和多参与者欺诈网络模型作为分析框架，跟踪重复的基础设施模式以聚类相关域，并监控辅助组件的兴起。

对于执法机构，建议采用受害者操纵流程模型识别诈骗者使用的阶段性策略，利用多参与者欺诈网络模型了解欺诈团体如何划分角色和职责。