深入杀猪盘:一场与加密货币诈骗犯的博弈
引言
今年冬天的一个灰色早晨,一个陌生人在 Telegram 上联系我,问我是否有兴趣做一份兼职远程工作。对方自称 Arabella,声称这份工作每天支付 150-310 美元,更棒的是,这份工作不需要经验,他们会免费培训我!(见图 1)。Arabella 的消息包含一张带有 “Corner Office Consultants” 标志和域名 cornerofficeconsultants[.]com 的图片(见图 2)。
图 1. Arabella 的 Telegram 个人资料
图 2. Arabella 的初始消息
这家公司和域名是合法的。但我确信 Arabella 是一个日益庞大的诈骗行业的一部分,这一切都是个骗局。作为一名威胁研究人员,我了解这些诈骗的概念,但 Arabella 给了我一个亲身体验受害者经历的机会。
我抓住这个机会,告诉她我很乐意为 Corner Office Consultants 工作。在接下来的几天里,我与几个不同的账户互动,有些似乎是人类,有些似乎是人工智能。我执行了无意义的任务,并被要求向诈骗者的钱包支付各种金额的加密货币。我尝试诈骗诈骗者但失败了,然后又试了一次。当然,我一路记录了所有内容。这篇博客是我冒险经历的详细记录,包括曲折和转折。
培训阶段
接受工作邀请后不久,一个名为 Maria 的不同 “员工”(图 3)联系了我。她告诉我,她从 Arabella 那里得到了我的联系方式,并提供了以下工作描述:“Marble Media 提供了一个工作平台,用户可以在上面点击并提交应用程序,帮助它们在应用商店中获得更好的排名和评分,通过这个过程,我们可以赚取佣金和工资。” Marble Media 也是一家真实的公司,但 Maria 给我的域名 marblemediaseo[.]cc 是一个与营销公司无关的仿冒域名。
图 3. Maria 的 Telegram 个人资料
Maria 给了我仿冒域名上的培训账户凭据,然后让我注册自己的账户。为了防止不必要的用户注册,她提供了一个邀请码,我必须在账户创建过程中输入。账户会跟踪我的余额和利润。余额用于下订单,利润是我从工作中赚取的金额。
我开始培训,并迅速熟练了我的新工作,这涉及无休止地反复点击相同的两个按钮:“Starting” 和 “Submit”(见图 4 和图 5)。我被要求完成 40 个所谓的 “订单” 作为我的 “培训” 任务,但他们的网站有点慢,所以我每次点击之间必须等待几秒钟才能工作。这很快变得非常单调;但是,嘿,轻松赚钱!
图 4. 诈骗任务网站的截图,突出显示 “Starting” 按钮
图 5. 完成其中一个订单的截图,突出显示 “Submit” 按钮
在我为诈骗者工作期间,有很多文本交流。我怀疑他们在聊天消息中混合使用了 AI/大型语言模型(LLM)和人工交互。他们的一些回复几乎是即时的,而且有些冗长,而其他回复即使消息较短,也需要更长的时间。在我看来,一些回复可能是自动化的,但不清楚是否在某些情况下有某种流程将交互转交给人类。
还有其他危险信号。我收到的一个订单是针对应用程序 “Apollo for Reddit” 的,该应用程序于 2023 年 6 月关闭,远在这次交互发生之前一年多。似乎他们用于此域名的模板或数据相当过时。
起初并不清楚,但我实际上需要支付金钱才能工作赚钱!在尝试完成剩下的 40 个订单时,我遇到了一个障碍:一条错误消息显示 “账户可用余额不足”,并指出培训账户的余额为 (–)$616(图 6)。此时,由于负余额,我无法完成更多订单,因此我发消息给 Maria 询问下一步该怎么做。
图 6. 网站截图显示 “账户可用余额不足”
Maria 解释说,我需要向账户存款才能继续,但理由是个谜。她说我 “非常幸运”,得到了一个 “高利润订单”,支付正常佣金的十倍(见图 7 below)。为了让我继续工作,她这次会支付余额。多么慷慨!仍然不清楚为什么我必须存入资金,但我继续坚持。
图 7. 向 Maria 询问账户余额不足的问题
图 8. Maria 解释 “幸运订单”
Maria 带我完成了存款流程,并介绍了一个新联系人——Marble Media 的客户支持代理——负责处理金融交易。我反向图片搜索了个人资料图片,发现他们为此账户使用了库存照片(图 9)。
图 9. 客户支持代理的 Telegram 个人资料
Maria 告诉我联系这位客户支持代理,后者给了我以太坊钱包的地址,Maria 将向该地址存款以清除我的路径(图 10)。作为一名威胁研究人员,我很好奇,所以我查了一下钱包,看到它持有超过 18 个以太坊,当时价值超过 70,000 美元(图 11)。
图 10. 客户支持代理发送钱包地址
图 11. 钱包余额的截图
这给了我一个想法,我决定测试一下。我没有给 Maria 客户支持代理提供的地址,而是编辑了聊天截图,放入了我自己的钱包地址,然后发送给 Maria。我希望她会把钱存给我。不幸的是,Maria 没有上当,而是将钱存入了客户支持代理提供的钱包。她怎么知道的?!也许是培训阶段的某种标准钱包。当 Maria 发送带有她存款的交易截图并指示我将其发送给客户支持代理时,我照做了。
此时,我认为他们不会再有兴趣与我合作,因为我公然试图诈骗他们,所以我当天停止了给他们发消息。然而,他们也没有指责我的把戏。
继续互动
睡了一觉后,我设计了一种方法继续推动这次互动。我告诉 Maria,我认为我联系了错误的客户支持代理,实际上是在和一个骗子说话!她回复 “ok”,我完成了我的 40 个任务,结束了我的培训。
接下来,Maria 给了我绿灯,开始在我自己的账户中工作,并在他们的网站上 “存入” 了一些钱到我的账户。她还在我面前吊了一个胡萝卜:在培训期间,账户赚取了 243 美元的利润; presumably,我很快就能赚到那么多(图 12)。
图 12. Maria 告诉我培训账户赚了多少利润
受到激励,我开始在自己的账户中工作。我完成了 40 个任务,并告诉 Maria 我已经完成了。我期待着弄清楚我的账户的支付流程,这时她给我出了一个难题,告诉我实际上有两组任务要完成,在我 “重置” 任务之前,我不能开始第二组任务。这是一个新的转折,所以我问她我应该怎么做?当答案是要向他们发送加密货币时,我并不完全惊讶。具体来说,我需要价值 26 美元的以太坊才能继续(图 13)。
图 13. Maria 告诉我需要发送 26 美元的以太坊才能继续工作
再次,我联系了客户支持代理以获取钱包地址来进行支付,理论上(图 14)。我想看看一切是如何工作的,但我也不打算给他们任何钱。幸运的是,我的一个同事有一个天才的想法:伪造一个显示我的 “交易” 的截图。
图 14. 客户支持代理发送一个新的钱包地址
我在网上搜索了一个加密货币交易截图,并对其进行了编辑,使其看起来像我向他们的钱包发送了大约正确的金额(图 15)。事后看来,有几个差异可以轻易被发现,但令我高兴的是,他们似乎没有验证我声称进行了这笔交易。
图 15. 编辑过的加密货币交易截图
但我还没有脱离困境。客户支持确实有一个问题:他们找不到我的存款,并要求提供交易 ID 以便确认。我的截图中没有包含交易 ID,因此我搜索了他们钱包的历史记录,并幸运地找到了一个。那天早些时候恰好有一笔交易,金额与我声称支付的金额相似。我希望如果我发送那个交易 ID 给他们,他们不会注意到微小的差异(图 16)。
图 16. 向客户支持代理发送交易 ID
在接下来的 12 分钟里,我期待地等待回复。他们会相信吗?我太马虎了吗?
最终,客户支持代理回复:“您的任务已重置。” 我重新登录我的账户,看到余额增加了。他们上当了! newly inspired,我完成了当天的第二组任务,以便提取我辛苦赚来的钱。
尽管花时间在网站上四处寻找如何操作,但我无法克服一个看似简单的障碍。提款部分允许用户设置提款金额,但不允许输入钱包地址。无法在该框中键入。见图 17。
图 17. 诈骗网站的提款页面
我被卡住了,并向 Maria 寻求帮助以弄清楚提款流程。图 18 和图 19 显示了对话;剧透警告:进展不顺利。
图 18. Maria 解释工作的假设工资
图 19. Maria 回避我关于如何提取收入的问题
Maria 和我来回交流了大约 20 分钟,但她避免回答我的问题,最终试图用以下消息 redirect 我:“现在我邀请您加入我的工作小组……您可以交流和学习。我稍后会教您如何提取资金。” 不过,我对加入这个工作小组不感兴趣,我专注于获取我的加密货币。沮丧之下,我转向客户支持代理寻求答案,但他们没有回复我。
希望从不同角度与 Maria 沟通能取得进展,我回到她身边, specifically 询问如何在提款屏幕上设置钱包地址。成功!原来我必须进入我的账户设置,并从那里设置提款地址。然后它会自动填充在提款页面中。我设置了地址,提交了提取我赚取的 129 美元的请求,并发消息给客户支持。令我惊讶的是,请求被批准了。我急切地盯着我的钱包应用程序几分钟,最终收到了一条通知:
图 20. 我终于收到了 0.0339 ETH
他们发送给我 0.0339 ETH;谢谢免费加密货币!
第二天和后续
自然,第二天我想再次这样做(当然, minus the hiccups)。我发现这些诈骗者的验证系统存在缺陷,我想继续利用它。感到 highly motivated,我完成了我的任务,计划再次上演同样的特技。
不幸的是,他们给我的计划带来了巨大的麻烦:他们发送了一个不同的钱包地址。一个以前没有使用过的地址。一个与零交易相关的地址。
我假设这次我的计划不可能奏效。他们的验证并不严格,但不需要天才就能看到他们的钱包余额是 0.00 美元。交易历史是这个计划成功的关键。有点失望,我决定忽略他们,稍后再试。
第二天,我醒来收到 Maria 的消息,说她想和我一起吃早餐(图 21)。这与我们之前 strictly business related 的对话不同。感觉她试图走向更典型的、以浪漫为主题的杀猪盘诈骗路线。
图 21. Maria 发送眨眼表情符号,说她想一起吃早餐
她告诉我她真的很喜欢烹饪,并问我在空闲时间喜欢做什么。然而,我没有被分心——有钱要赚。回去工作。
一旦我完成了第一组任务,我需要重置它们才能开始第二组,这包括存入更多资金。再次,他们发送了一个不同的地址,但幸运的是,这次它实际上有交易历史。是时候变得有点艺术了。这次我 significantly improved 我的 Photoshop 工作,使其看起来就像最近向钱包的交易,甚至还在截图中包含了交易 ID(图 22)。
图 22. 客户支持代理确认我的交易并重置我的任务
第一次尝试就成功了!我的任务被重置了,我可以继续当天的工作。这很重要,因为我只有在完成一天的两组任务后才能提款。
我几乎完成第二组任务时,灾难降临了:我遇到了另一个高利润订单。我的账户又出现赤字,我需要再次存款才能完成当天的任务并能够提款。我亏了接近 342 美元,这带来了几个问题。首先,这是一笔 significantly more money,所以我假设他们可能会更仔细地查看交易。其次,没有多少交易会流向他们的钱包,金额如此之大。之前的交易大约是 26 美元和 90 美元。
我决定等待,看看是否有更大的交易碰巧击中这些钱包之一。如果是这样,我可以用我通常的技巧 swoop in,并声称它是我的。在那之前,我 dead in the water。
与此同时,我试图与 Maria 拖延时间,并问她关于这份工作的 VIP 等级(图 23)。只需 1,000 美元,我就可以成为 2 级 VIP。据称,这会增加我的收入,但也会将每组的任务数量从 40 增加到 50,所以实际上对我来说似乎是一个 costly downgrade。
图 23. Maria 解释 VIP 等级
大约一小时后,我 catch a big break:有一笔大额交易流向他们的一个钱包。它甚至比我希望的还要大——大约 1,600 美元。这将让我 “go big”。对于 1,600 美元,我既可以覆盖我的负余额,又可以获得升级。我发消息给 Maria,告诉她我想升级到下一个 VIP 等级。
我 photoshopped 了另一笔交易,并将其发送给客户支持。她给我一些 pushback,询问交易 ID(两次),即使我已经像上次一样将其包含在屏幕截图中(图 24)。感觉有些事情出了问题,让我既沮丧又担心这可能是我实验的结束。
图 24. 客户支持对我的交易有些问题
我的技巧第一次奏效了。第二次也奏效了。但第三次没有奏效。他们说这笔钱已经经过审核,并在半小时前存入了另一个用户的账户(图 25)。该死,被 busted。
图 25. 客户支持发现 “我的” 交易不是我的
他们甚至厚颜无耻地说查看钱包的交易历史是 “meaningless”!好吧,笑话在他们身上,因为当我拿到 129 美元时,它并不是 meaningless。
尽管如此,在这一点上,我 grasping at straws,所以我进行了最后一次 Hail Mary。我向 Maria 抱怨客户支持代理没有验证我的存款,并声称有其他人对我实施了我的技巧。我告诉她我是进行交易的真实 person,一个冒名顶替者声称它是他们自己的(图 26)。
图 26. 告诉 Maria 有人 else claimed my transaction as their own
令我失望的是,Maria 不相信我,并停止了回复。
到第二天,我已经接受了我不会从这个实验中得到更多钱,所以我想至少抛出最后一个问题, off chance 我可能至少得到一些信息或见解。我感谢 Maria 的以太坊,并问她关于诈骗的事。不幸的是,她似乎被冒犯了,并开始用中文辱骂我。
不久之后,Maria 和客户支持团队都删除了我们的对话。Arabella 没有对我们短暂的对话做同样的事,但她的账户已被删除。
更严肃的说明
我确实研究了诈骗域名 marblemediaseo[.]cc,并发现了其他相关域名。marblemediaworks[.]cc 极有可能被同一行为者使用,因为它共享网站上的相同内容,类似的主机 TTP,例如高风险 TLD “.cc”,并且两者都似乎是 “marblemedia” 的仿冒变体。此外,我发现了 dozens of other domains,似乎使用相同的 “kit”,因为网站上的内容非常相似。然而,由于主机和注册信息的差异,我怀疑有多个行为者,可能是使用模板的 affiliates,在操作这些域名。
加密货币诈骗继续是坏行为者偷钱的 lucrative 方法。2024 年,据报道,消费者因加密货币诈骗损失了估计 93 亿美元。这篇博客是我们关于全球运营诈骗团伙的发现的一系列持续报告的一部分。敬请期待!
活动指标
相关指标列表可在我们的 GitHub 存储库中找到。
| 指标 | 描述 |
|---|---|
| marblemediaworks[.]cc | 由 featured scam actor 控制的域名 |
| marblemediaseo[.]cc | |
| ukseo[.]click | 可能使用相同 kit/template 的域名 |
| seoclick-works[.]click | |
| profiletree-seo[.]click | |
| dreamseo[.]cc | |
| dialektaseo[.]click | |
| seoclick-tasks[.]cc | |
| seoclick-works[.]cc | |
| creatorseoireland[.]cc | |
| creatorseo-apps[.]cc | |
| appradaseo[.]cc | |
| sdmgrowthseo[.]cc | |
| seoclick-tasks[.]click | |
| hawksearchseos[.]cc |