引言
Group-IB发现了一个大规模骗局操作,该操作盗用新加坡官员(包括总理黄循财和内政部长尚穆根)的形象,欺骗新加坡公民和居民参与欺诈性投资平台。该骗局活动依赖付费Google广告、旨在隐藏欺诈和恶意活动的中间跳转网站,以及高度逼真的伪造网页。
Group-IB分析显示,受害者最终被引导至一个注册于毛里求斯的外汇投资平台,该平台在一个看似合法的法律实体下运营,并拥有正式的投资许可证。这种结构创造了合规的假象,同时实现了跨境欺诈活动。
该操作的复杂性凸显了犯罪者之间的高度组织性,并表明传统的危险信号已不足以进行检测。调查人员和日常用户现在必须整体评估骗局,综合考虑技术、行为和情境指标以有效识别欺骗。
关键发现
- 28个经过验证的广告客户账户被欺诈者用于运行恶意Google广告活动。
- 这些广告被配置为仅向从新加坡IP地址搜索或浏览的用户显示,广告文案和视觉效果针对新加坡居民定制。
- 52个中间域名被用作跳转器以隐藏最终的欺诈目的地。
- 119个恶意域名冒充合法且信誉良好的主流新闻媒体,以增强骗局的可信度。
经过验证的Google广告
为了吸引潜在受害者,诈骗者创建了许多专门针对新加坡用户和居民的Google广告。虽然Google广告在外观和风格上各不相同,但它们始终向受害者承诺丰厚的投资回报。
图1. 推广针对新加坡人和新加坡居民的投资骗局的几个Google广告的截图。
Google广告出现在广泛的Google服务和平台上,包括Google搜索、YouTube、Gmail、Google地图(包括地图应用)、Google Play以及购物标签内。它们还显示在Google展示广告网络的数百万个网站和移动应用上,以及Google的搜索合作伙伴网站上。
在此骗局活动中,广告分发主要通过注册给居住在保加利亚的个人的经过验证的广告客户账户进行管理,其他账户则与罗马尼亚、拉脱维亚、阿根廷和哈萨克斯坦相关联。
图2. 广告客户资料的截图,其中包含其账户用于骗局活动的Google广告。
值得注意的是,成为经过验证的广告客户需要完成Google的验证流程,包括完成问卷、关联银行卡、提供身份证明、验证电话号码和提交视频自拍。虽然一些经过验证的广告客户账户可能已被入侵,允许使用剩余预算分发恶意广告,但一致的地理模式和没有其他广告的情况表明,欺诈者很可能使用专门为此活动创建的骡子账户。
总共识别出28个恶意广告客户:
| 名称 | 国家 | 广告总数 |
|---|---|---|
| 账户1 | 保加利亚 | 1 |
| 账户2 | 保加利亚 | 8 |
| 账户3 | 保加利亚 | 2 |
| 账户4 | 保加利亚 | 1 |
| 账户5 | 保加利亚 | 2 |
| 账户6 | 保加利亚 | 1 |
| 账户7 | 保加利亚 | 1 |
| 账户8 | 拉脱维亚 | 2 |
| 账户9 | 保加利亚 | 1 |
| 账户10 | 罗马尼亚 | 4 |
| 账户11 | 保加利亚 | 3 |
| 账户12 | 保加利亚 | 9 |
| 账户13 | 保加利亚 | 5 |
| 账户14 | 保加利亚 | 9 |
| 账户15 | 保加利亚 | 10 |
| 账户16 | 保加利亚 | 6 |
| 账户17 | 保加利亚 | 9 |
| 账户18 | 罗马尼亚 | 1 |
| 账户19 | 保加利亚 | 1 |
| 账户20 | 哈萨克斯坦 | 1 |
| 账户21 | 保加利亚 | 4 |
| 账户22 | 保加利亚 | 3 |
| 账户23 | 保加利亚 | 10 |
| 账户24 | 保加利亚 | 6 |
| 账户25 | 保加利亚 | 1 |
| 账户26 | 阿根廷 | 10 |
| 账户27 | 保加利亚 | 2 |
| 账户28 | 拉脱维亚 | 2(总计34) |
跳转着陆页
当用户点击推广骗局的Google广告时,广告会将他们重定向到一个旨在隐藏最终欺诈网站的中间着陆页。这些页面通常包含最少的文本和一个单一的行动号召按钮,最终将访问者转发到骗局网站。这种设计和设置是故意 crafted 以规避Google的检测算法。
所有中间页面都是使用Convertri.com构建的,这是一个用于构建高转化率着陆页、销售漏斗和网站的合法在线平台。诈骗者利用Convertri的基础设施,包括其snowplow.convertri.com分析端点,来托管这些轻量级跳转页面并收集基本的访问者统计数据,同时掩盖其真实意图。
图3. 中间着陆页的两个截图,其中显示了简短的声明和行动号召按钮。
规避政府和执法机构的检测
跳转后,受害者被带到推广即时时代投资平台的假新闻页面,该页面具有新加坡政治人物的捏造背书和图像。该平台的多个变体在线存在,似乎由几个不同的骗局团体运营。然而,Group-IB自己的分析发现这些变体与此特定骗局活动之间没有明确联系。
为了规避政府机构、执法部门和网络安全公司的检测,诈骗者采用了一系列规避技术,并仅向可能的受害者显示骗局内容。不符合攻击者定位标准的访问者会看到一个良性的"安全"占位页面,而不是欺诈材料。
图4. 一系列四个"安全着陆页"的截图,针对不符合诈骗者目标标准的访问者,作为规避政府和执法机构检测的一种方式。
在调查过程中,Group-IB识别了诈骗者使用的以下规避技术:
- IP范围过滤:页面仅允许来自解析为新加坡的IP地址的访问,并明确阻止已知的VPN和数据中心范围,确保骗局仅显示给其预期的本地受害者。
- 无头浏览器和开发者工具检测:网站检测自动化或工具化的浏览环境,并在存在此类工具时隐藏内容。
- URL/参数门控:仅当用户通过特定URL到达时才显示骗局内容,例如:
https://razudai.com/?campaignid=23048344702&creative=775205906157&gad_campaignid=23048344702&gad_source=1&gbraid=0AAAABBiO08-yHkIR2F8fDeVyrKVLoUdX6&gclid=CjwKCAjwlt7GBhAvEiwAKal0ckgQsBYVHv3peSPyghHHDwuXqaa9M9l1cMDi2_NT4XIbn3auETI4ohoC0jEQAvD_BwE&keyword&network=AL56F14D1V6-2-bh%C2%B6m1%3DrlepCLfx_Z8bEM-nu8RB%C2%B6m2%3D17591882703&placement&targetid=umz1r7366tgeph76yt9g&wbraid=Cj8KCQjwlt7GBhDnARIuAGZjSzMqETcuw2Wyx2xCAY72oun2AOBfSNYqUW-RRUKjmKklrPW__wU0YUp2IxoCkSUT
关键参数是targetid={ID},而其他查询参数是附带的。完整参数列表如下:
| URL参数 | 可能用途 |
|---|---|
| campaignid | 此参数可能标识特定的广告活动。它有助于跟踪哪个活动产生了流量。 |
| creative | 这可能跟踪用户在活动中点击的创意或特定广告资产。 |
| gad_campaignid | 这看起来与campaignid相似,可能是Google广告活动标识符,用于在Google系统内保持跟踪一致性。 |
| gad_source | 可能表示Google生态系统或跟踪系统内广告点击的来源。 |
| gbraid | 这些参数被Google广告用于跟踪不同平台(如网页和应用)上的转化和归因。它们帮助Google将点击与后续操作连接起来。“gbraid"通常与Google广告转化跟踪相关(通常用于移动应用转化),而"wbraid"用于通过Google进行网页转化跟踪。 |
| wbraid | |
| gclid | Google点击标识符,当有人点击Google广告时自动附加到URL的跟踪参数。它有助于跟踪点击并将其与用户行为和转化数据链接。 |
| keyword | 此参数通常会捕获触发广告的关键字。此处为空,但通常会携带该信息。 |
| network | 未知。 |
| placement | 可能用于捕获广告的展示位置(如网站或应用)。 |
| targetid | 可能标识广告的特定目标受众或目标细分。唯一被网站检查以显示骗局内容的参数。 |
通过捏造新闻媒体和政府人物图像建立可信度
为了赋予骗局可信度,欺诈者还准备了复制合法新闻媒体外观、设计和布局的虚构新闻网站。在Group-IB的调查中,我们发现了两个主要的骗局情景:
- CNA冒充:一个冒充CNA(亚洲新闻台)的欺诈网站,具有总理黄循财背书"即时时代"投资计划的深度伪造视频,并提示访问者提交他们的联系信息以加入该"计划”。另一篇假CNA文章似乎由一位目前驻印度尼西亚的CNA记者撰写。
- Yahoo!新闻冒充:一个假的Yahoo!新闻页面发布了一篇与内政部长尚穆根的捏造采访,暗示该部长的财富来自"即时时代"平台。此页面将用户保留在同一域名上,并将他们重定向到网站的"即时时代"部分,在那里收集联系信息。
两种变体都依赖捏造的可信度,使用冒充的媒体和知名新加坡官员,来收集联系信息以进行积极的后续招揽。
图5.(左上和左下)假新闻网站的截图,显示知名公众人物背书"即时时代"投资计划,文章本身似乎由一位现任CNA记者撰写。(右)假新闻网站还具有一个页面,受害者可以在该页面注册"即时时代"计划。
图6. 由AI创建的新加坡总理黄循财在议会中背书"即时时代"计划的深度伪造视频的截图。
图7. 与内政部长尚穆根的虚构采访截图,暗示该部长的财富来自"即时时代"平台。
图8. 该网站还具有关于用户如何参与"即时时代"计划的说明。
图9. 假媒体网站上的捏造评论。
诈骗者在此阶段的目标是收集受害者的联系信息,随后通过电话或电子邮件与他们沟通。
图10. 旨在收集潜在受害者联系信息的注册页面,同时创造紧迫感。
图11. “即时时代"投资骗局平台假着陆页上的注册页面。
投资平台
无论骗局变体如何,一旦受害者提交他们的个人信息,他们将收到一封包含投资平台登录凭据的电子邮件,该平台没有任何提及"即时时代"计划。在该平台上,用户通常通过电话被积极施压,要求存入大量资金,而任何提取资金的尝试都会遇到 significant 阻力。提款系统性地被延迟或以看似合法的借口拒绝,例如要求身份验证或额外文件,随后以各种 pretext 被拒绝或 followed by 进一步的官僚要求。
除了提款困难外,平台的使用条款暗示了相当高的交易费用,并鼓励持续存款。平台要求最低存款250美元或其等值的其他接受货币才能开立账户。
此外,平台还征收其他费用,例如:
- 银行提款30美元
- 闲置费用从100美元到500美元不等,取决于闲置时间。
图12. 收集联系信息的表格,以及受害者在提供联系信息后会收到的电子邮件。
如果用户不提供有效的电话号码,平台代表将 persistently 尝试将对话转移到电话上。
图13. 平台代表将 persistently 尝试让用户提供有效的电话号码,以便将对话转移到电话上。
图14. 平台上用于添加存款的界面的截图。
我们的调查显示,在过去一个月中,至少有3,808名新加坡用户点击了广告并被重定向到中间站点。根据我们的估计,其中18%(685人)随后被转发到恶意站点并留在那里。欺诈平台本身每月在全球有超过2,000名访问者。
应该指出的是,该平台实际上是一个注册于毛里求斯的外汇经纪商,由毛里求斯金融服务委员会(FSC)许可运营。平台还声称与位于塞浦路斯的母公司有关联,该母公司受塞浦路斯证券交易委员会(CySEC)监管。
毛里求斯不被视为主要国际金融的一级监管管辖区。然而,正式的注册和许可赋予了操作合法性的外观。这种感知的合法性增加了受害者和中介机构信任该平台并忽略其他危险信号的可能性。诈骗者利用这种信任向用户施压要求存款,同时阻碍或防止提款。
尽管有许可,该公司有记录的法律和监管问题历史。塞浦路斯证券交易委员会(CySEC)多次暂停 alleged 母公司的许可证, citing 对合规性和资本充足性的担忧。最近的报告表明,母公司目前处于非活动状态,最新的在线评论可追溯到2021年。他们在英国的授权也于2022年被撤销。
用户报告 further 描述了 aggressive 电话招揽和 persistent 提款困难,有时使提款 effectively 不可能。
图15. 平台负面用户评论的截图。
图16. 平台用户评论的截图,称其为骗局。
根据历史WHOIS数据,该平台 earlier 由一个潜在客户生成服务拥有,该服务通过向访问者提供免费和折扣产品来收集消费者联系信息。该网站鼓励访问者在在线表格上完成与旅行相关的调查问题,例如"选择您最喜欢的旅行目的地”。然后他们将收集到的电话号码出售给电话营销公司。
然而,他们未能 clearly 披露,提供他们的信息,消费者将收到第三方的电话营销电话。2009年,联邦贸易委员会(FTC) determined 该服务的做法 contributed to 对使用其潜在客户生成服务的公司 imposed 120万美元的民事处罚。购买消费者数据的公司被发现违反了电话营销销售规则,在没有适当授权的情况下拨打"请勿来电登记处"(DNC)上的消费者电话。
这段历史表明,操作者拥有 established 大规模数据收集和电话营销的专业知识,他们似乎通过 aggressive 电话招揽和对受害者施加 sustained 压力要求存款,在当前的骗局中 repurpose 了这些能力。
结论
Group-IB对即时时代骗局的调查凸显了针对新加坡公民的金融欺诈操作日益复杂和跨境协调。通过结合经过验证的Google广告、假媒体和深度伪造技术,诈骗者构建了一个多层欺骗生态系统,模仿合法的金融服务并利用 apparent 监管合规性来获得受害者的信任。
使用正式注册的投资平台 demonstrates 诈骗者如何利用较弱的管辖区创造真实性的幻觉。他们依赖 aggressive 电话营销、数据收集和官僚阻碍来阻止提款,反映了具有先前潜在客户生成和电话营销计划根源的专业化欺诈基础设施。
此案例 underscore 了一个更广泛的趋势:现代骗局不再容易通过表面的危险标志识别。它们 employ 高级定位、经过验证的广告网络和令人信服的品牌,以绕过传统的安全和用户意识措施。
建议
- 对未经请求的投资机会持怀疑态度。对待任何承诺异常高回报的广告或消息,尤其是那些以公众人物为特色的广告。诈骗者经常使用官员图像以赋予虚假可信度。
- 独立验证信息。不要 solely 依赖广告或着陆页中呈现的信息。始终验证投资平台、新闻媒体和个人声称的合法性。寻找独立评论,但过滤掉过于积极的评论,并注意负面评论,因为积极评论可能是由机器人创建的。检查任何法律问题或许可证暂停的历史,即使他们声称受到监管。
- 超越明显的恶意指标。诈骗者正变得越来越复杂。即使一个平台具有注册和许可,看起来合法,也要整体评估它。寻找其他危险信号,例如拼写错误的域名、缺乏功能的网页、aggressive 招揽策略。
- 对跳转页面保持谨慎。对在到达最终目的地之前通过多个页面重定向您的链接持怀疑态度。诈骗者使用这些来规避检测。
- 保护您的联系信息。在陌生网站上提供您的联系信息,尤其是电话号码时,要谨慎。诈骗者使用此信息进行 aggressive 后续沟通。
常见问题解答
什么是即时时代骗局? 即时时代骗局是一个针对新加坡公民的大规模欺诈性投资计划。它通过付费Google广告、深度伪造视频和冒充知名新加坡政治人物的假冒新闻网站推广一个假投资平台。受害者通过一系列欺骗性着陆页被重定向到一个旨在收集他们个人信息和资金的欺诈性交易网站。
受害者是如何被定位的? 受害者通常通过出现在Google搜索、YouTube、Gmail和地图等平台上的Google广告遇到该骗局。这些广告承诺高回报投资机会,据称得到政府官员的背书。点击广告将用户引导至假新闻文章或采访页面,在那里他们被敦促注册并提供个人详细信息。
受害者提交详细信息后会发生什么? 完成注册表格后,受害者会收到一封包含平台登录凭据的电子邮件,该平台是一个欺诈性外汇投资平台。一旦进入平台,用户通常通过电话被 aggressively 施压要求存款。然后提款在虚假借口下被延迟或拒绝,通常通过 excessive 身份验证要求或其他捏造的管理障碍。
用户应该注意哪些警告信号? 此类骗局的警告信号包括承诺异常高回报且几乎没有或没有风险的投资提议,使用名人或政治背书——尤其是以当地官员为特色——以创造虚假可信度,模仿合法新闻或政府网站的域名,aggressive 电话呼叫 pressure 受害者立即存款,以及尝试提取资金时 persistent 困难或延迟。