Cryptoscam met nep-mining-apparatuur

Hoe nepverkopers bitcoins stelen van kopers van gewilde mining-apparatuur.

De stijgende prijzen van cryptomunten hebben tot een grotere vraag naar mining-apparatuur geleid, maar COVID-19-beperkingen hebben op hun beurt voor een daling in het aanbod gezorgd. Het resultaat hiervan is dat er wereldwijd een tekort aan krachtige videokaarten en cryptomining-apparatuur is met maandenlange wachttijden voor nieuwe leveringen. Cybercriminelen proberen zoals altijd ook een slaatje uit deze crisis te slaan.

Zo hebben fraudeurs bijvoorbeeld cryptomunten van kopers afhandig gemaakt met gebruik van een populaire Google-dienst en een kloon van de website van een fabrikant voor mining-apparatuur.

Hoe de scam in zijn werk gaat

Scammers en spammers hebben lang op Google-diensten vertrouwd (Formulieren, Spreadsheets, Kalender, Foto’s en andere) voor het verzenden van automatische meldingen naar iedereen waarmee de auteur van een bestand (of een kalendernotitie, enz.) het bestand heeft gedeeld of iedereen die erin genoemd wordt. De e-mail is niet afkomstig van de daadwerkelijke auteur maar van Google zelf, dus spamfilters laten deze e-mails normaal gesproken gewoon door.

In dit geval ontvangen potentiële miners van cryptomunten e-mails waarin staat dat ze zijn genoemd in een Google Docs-bestand door een gebruiker met de nickname BitmainTech (de naam van de echte fabrikant van mining-apparatuur). De respectabele naam — @docs[.]google[.]com — in het veld Formulieren helpt ervoor te zorgen dat de ontvanger wat minder op zijn of haar hoede is. De weergegeven gebruikersnaam is wat de verzender wil dat het is, en het echte e-mailadres van de verzender blijft verborgen.

De e-mail luidt als volgt: “BitmainTech heeft u in een document genoemd”

Het lokaas volgt in de vorm van een verkoopaankondiging van de mining-machine Antminer S19j. De scammers doen zich voor als de verkoopafdeling van Bitmain en melden dat de apparatuur beschikbaar is en besteld kan worden, maar dat er wel haast bij is: de voorraad is beperkt en levering gebeurt op basis van wie het eerst komt, het eerst maalt. De tekst staat vol met vertrouwenwekkende feiten en cijfers.

Nep-verkoopteam van Bitmain gebrruikt Google Docs om slachtoffers te informeren over de beschikbaarheid van Antminer S19j

Dezelfde tekst verschijnt in het Google Docs-bestand, maar nu met een actieve link die slachtoffers via een reeks van doorverwijzingen naar bitmain[.]sa[.]com leidt, een kloon van de officiële bitmain[.]com-website (let op het verschil in de adressen). Een WHOIS-check laat zien dat het domein van de nepwebsite in maart 2021 werd geregistreerd.

Voor extra geloofwaardigheid gebruiken de cybercriminelen het HTTPS-protocol. Lezers van dit blog weten al dat HTTPS gegevens tegen onderschepping beschermt als deze van de gebruiker naar website worden verzonden, maar het is geen garantie dat een site bonafide is. Als de uiteindelijke site schadelijk is, betekent het gebruik van een beveiligd protocol alleen maar dat de gegevens op veilige wijze naar de cybercriminelen worden verzonden.

Nep-Bitmain-site met Antminer S19j-advertentie

Op de echte Bitmain-website was de Koop-knop ten tijde van dit schrijven inactief, want de laatste batch van Antminer S19j was alweer vergeven. De site verwacht geen nieuwe leveringen vóór oktober. Maar op de nepsite stopt u de gewilde mining-machine zo in uw winkelwagentje, en dat voor dezelfde prijs als de echte: $ 5017.

Op de nepwebsite kunt u de mining-machine zo aan uw winkelwagentje toevoegen

Om te kunnen afrekenen moet het slachtoffer inloggen of zich registreren. Er zijn twee mogelijke redenen voor het implementeren van deze vereiste: voor extra authenticiteit of voor het bouwen van een database met adressen en wachtwoorden voor het hacken van accounts. Ondanks onze registratie (met gebruik van een e-mailadres voor eenmalig gebruik natuurlijk) ontvingen we nooit een registratiebevestiging.

Nep-Bitmain-authorisatiepagina

Hoe dan ook: het systeem laat de gebruiker inloggen om de bestelling af te ronden. De loginprocedure ziet er vrij overtuigend uit.

De Antminer S19j zit in het winkelwagentje! Of toch niet?

Bij de volgende stap wordt het slachtoffer gevraagd om een bezorgadres op te geven. Het kan zijn dat de scammers deze gegevens ook willen verzamelen om door te verkopen.

Een waarschuwing dat de fabrikant niet naar het vasteland van China kan verzenden op de Engelstalige website

De meeste fabrikanten van mining-apparatuur, waaronder ook Bitmain, zijn in China gevestigd. Het verzenden van zware en dure apparatuur vanaf daar is niet goedkoop, maar de cybercriminelen brengen slechts zo’n vijf dollar in rekening voor de verzending, ongeacht de bestemming en gebruikte dienst (UPS, DHL of FedEx).

Het kiezen van een bezorgdienst. De verzendkosten zijn $ 5,45, ongeacht de bestemming

Vervolgens wordt het slachtoffer verzocht om een betaalmethode te kiezen. Ze moeten cryptomunten gebruiken, maar kunnen kiezen tussen BTC, BCH, ETH of LTC.

Het selecteren van een betaalmethode: Bitcoin, Ethereum, Bitcoin Cash of Litecoin

De laatste en belangrijkste stap is het afronden van de betaling. De cybercriminelen verstrekken cryptowallet-details en waarschuwen dat de transactie binnen twee uur voltooid moet worden, anders wordt de bestelling geannuleerd. Let erop dat de verzendkosten, hoewel die nauwelijks iets voorstellen, niet op de rekening verschijnen.

In de totale prijs ontbreken de verzendkosten

Nadat het slachtoffer afstand heeft gedaan van een aanzienlijk bedrag in cryptomunten, verdwijnt de schijn van legitimiteit als sneeuw voor de zon. Het persoonlijke account van de gebruiker bevat geen bestelgegevens en de knoppen zijn inactief.

De roemloze finale

Zo beschermt u zich tegen scams

Om te voorkomen dat u zelf wordt gedupeerd, moet u waakzaam blijven en niet voor de hype vallen.

  • Blijf op uw hoede en let vooral goed op als iemand u probeert aan te sporen om snel te betalen. In dit geval verschilt het verschijnen van een schaars product dat plots toch te koop is niet zo veel van het ontvangen van nieuws over het winnen van de loterij (wat zeker verdacht is als u niet eens een lotje had gekocht).
  • Controleer de officiële website. Als u een aanbieding ontvangt van een bekend merk, ga dan naar de officiële website en zoek daar naar informatie over deze promotie. Controleer altijd de adresbalk.
  • Gebruik een geavanceerd beveiligingsproduct dat bescherming tegen phishing en online fraude biedt, zoals bijvoorbeeld Kaspersky Internet Security.

Tips