Impulse Team 長達多年未被發現的大規模虛擬加密貨幣詐騙

趨勢科技發現了一起涉及上千個網站的大規模虛擬加密貨幣詐騙,這起詐騙有眾多犯罪分子涉案,但其實他們都是加盟了 Impulse Team 駭客集團旗下的「Impulse Project」。

主要發現

  • 我們發現了一起涉及上千個網站的大規模虛擬加密貨幣詐騙,這起詐騙有眾多犯罪分子涉案,但其實他們都是加盟了俄羅斯 Impulse Team 駭客集團旗下的「Impulse Project」。
  • 這項詐騙行動至少從 2021 年開始即活躍至今,而且儘管過去也有一些關於該行動的零星報導,但卻沒有整起詐騙的完整分析。
  • 詐騙集團甚至模仿了某個知名反詐騙網站,然後將自己的網站列為可信任網站。

高階主管摘要

多年來,虛擬加密貨幣一直維持著一定的熱潮,不僅吸引財經專業人士的關注,也吸引了不少想趁機發「快」財的民眾。由於虛擬加密貨幣 (如比特幣) 的價值經常大漲大跌,也因此受到一些喜歡在市場上套利的投資人青睞。

然而虛擬加密貨幣技術本身並不容易理解,甚至連已經投入大筆資金在虛擬加密貨幣市場的投資人也是一知半解。這一點讓歹徒看到了機會,因為一知半解的民眾遠比對市場瞭若指掌的專業人士更容上當。我們先前已發表過多篇討論虛擬加密貨幣議題的部落格,希望能喚醒使用者的安全意識,進而避開這類風險。

本文先以一個常見的虛擬加密貨幣詐騙網站作為範例,接著再讓讀者了解這個網站只不過是一大群相關詐騙網站的其中之一。這起詐騙也許是有史以來最大的一樁虛擬加密貨幣詐騙行動,其幕後首腦是俄羅斯的「Impulse Team」駭客集團。

目前我們已經發現了上千個網站都使用類似的詐騙內容,而其背後都是 Impulse Team 旗下的一個加盟計畫,叫做「Impulse Project」。

這起大型詐騙目前已累積數千名受害者,而且遍布全球。其詐騙手法主要是讓受害者以為自己在抽獎活動中贏得了一筆虛擬加密貨幣獎金,但要領取獎金,受害者必須先在他們的網站上開戶並存入一小筆金額。

目前我們已經將所有入侵指標都提供給 CloudFlare,而他們也證實已經收到資料。

原始調查

一開始,我們是在調查一封由某 Twitter 帳號發出的私人訊息,該帳號會吸引人們造訪「varbytrade[.]com」這個網站 (此帳號目前已經關閉)。


圖 1:發送給 Twitter 使用者的私人訊息。

如圖一顯示,詐騙集團提供了一大筆虛擬加密貨幣作為獎金 (高達 0.78632 比特幣,在本文撰稿當時約合 27,763 美元) 來吸引新使用者到他們的平台。

一旦使用者在詐騙集團的平台上開戶,就會被要求存入一小筆金額來啟用帳戶,最低金額是 0.01 比特幣 (當時約合 277 美元)。


圖 2:在網站上啟用帳戶。

雖然這筆帳戶啟用金額還算不小,但與使用者即將獲得的獎金來說只不過是九牛一毛。但不意外的是,受害者在存入了帳戶啟用費後,卻什麼也沒拿到。

經過深入追查之後,我們發現同一名歹徒還註冊了好幾個相似的網域名稱,而且網站內容也全都和「 varbytrade[.]com」一樣:

  • Harbytrade[.]com
  • Jarbytrade[.]com
  • Karbytrade[.]com
  • Narbytrade[.]com
  • Parbytrade[.]com
  • Sarbytrade[.]com

這些網站除了都由同一人註冊之外,註冊日期也都和「 varbytrade[.]com」同一天。唯一的差別在於名稱和標誌有稍微修改了一下,其餘的內容完全相同。


圖 3:各個不同詐騙網站的標誌都很相似。

然而,這六個內容完全相同的詐騙網站只不過是冰山一角,接著讓我們來看看整起詐騙的規模。

滿天星斗的網站


就在我們繼續挖掘之後,我們又發現了好多內容相似的網站,而且全都是同一詐騙手法。儘管這些網站使用的範本也許有些變化,但我們很確定它們全都彼此相關。

最終,我們發現了上千個與這起詐騙相關的網域,其網站的建立期間則介於 2021 年 1 月至 2023 年 5 月。不僅如此,我們還發現了幾個跟虛擬加密貨幣詐騙相關的網域,其幕後的集團從 2016 年便開始活躍至今。

圖 4:從一些詐騙網站的範例可看出它們使用了不同的範本。


這些網站的設計通常會在第一頁擺放較多的內容,好讓訪客覺得網站安全合法。此外,每個網站也仿照其他合法平台有一個專門區域顯示主要加密貨幣的即時行情。


圖 5:即時顯示虛擬加密貨幣行情。

Impulse Project 加盟計畫


我們所發現的這些網站全都隸屬於一個名叫「Impulse Project」的加盟計畫,許多俄羅斯文的網路犯罪論壇上都可以看到它的廣告。


圖 6:Impulse Team 在 2021 年 2 月刊登在俄羅斯文網路犯罪地下論壇上的廣告。廣告上的文字提供了一些詐騙的細節,其中包括一套推薦系統,甚至還有比賽。

要加盟這項計畫,新的加盟者必須與 Impulse Team 聯繫並訂閱其服務。我們無法蒐集到有關費用的資訊,但這類計畫通常需要付費才能加入。而且,每一次的詐騙所得有一定比例必須回饋給幕後集團。

Impulse Team 提供了多張截圖來展示他們的使用介面 (參見圖 7),此外也展示了 Impulse Team 自己使用的管理介面。


圖 7:Impulse Team 給加盟者使用的介面。


圖 8:Impulse Team 自己使用的管理介面。

加盟者必須先註冊好自己的網域之後再提供給 Impulse Team 登錄,這就是為何這些網域名稱會有多種不同註冊方式。加盟者一旦有了自己的網域,就會收到 Impulse Team 提供的腳本來設定 CloudFlare 服務。

每位加盟者的網站都有自己的資料庫,這表示如果受害者在某個網站開了帳戶,同樣的登入憑證也可以用在加盟者的其他網站上,這也再次證明加盟者的營運是各自獨立。

冒牌反詐騙網站:scam-doc


在調查期間,我們還找到了一個有別於其他所有網站的網站。


圖 9:不同網域與註冊者之間的連結。

這是一個仿冒網站真實性查核網站 scamdoc.com 的網站,叫作「scam-doc[.]com」 (多了一個連字號),註冊這個網站的電子郵件也註冊了一些其他虛擬加密貨幣網站。儘管該網站在我們調查時已經關閉,但我們還是經由 archive.org 找到了它先前的內容。

圖 10:冒牌的 scam-doc[.]com 網站 (上) 以及被假冒的合法 scamdoc.com 網站 (下)。



如圖 10 所示,雖然目前已經無法看到網站上的圖片 (因為是歸檔網頁),但詐騙網站確實模仿了正牌網站的一些元素,例如圖片的橫幅文字。更有趣的是,冒牌網站還顯示了各種網站的信任評分,其中有些是正牌網站,有些則是冒牌網站。

雖然我們尚未發現 scam-doc[.]com 詐騙網站的電子郵件或廣告,但我們高度懷疑它曾經被用來吸引無辜使用者到駭客集團的冒牌網站,因為使用者誤以為 scam-doc[.]com 是一個有公信力的反詐騙網站。

順便一提,那些在 scam-doc[.]com上信任評分很高的網站,不單只有虛擬加密貨幣詐騙網站而已,還包括一些賭博網站。我們猜測,有可能是同一駭客集團同時經營了兩種網站,不然就是不同駭客集團彼此共用 scam-doc[.]com 這個網站。

詐騙網站的內容從 2021 年 12 月到 2022 年 7 月之間都從未變動。

社群網路活動


前面看到的是 Twitter 上的詐騙活動,但駭客集團並非只有在 Twitter 上刊登廣告,我們也在一些其他社群網路上看到詐騙網站的短影片和廣告,如:TikTok。

詐騙網站的廣告基本上都是由加盟者自己製作,這也解釋了為何他們會使不同的方式。圖 11 和圖 12 顯示幾個範例廣告。


圖 11:某詐騙網站的 TikTok 廣告。


圖 12:某詐騙網站的短影片廣告。

還有一個 (或多個) 加盟者使用了 Mastodon 社群媒體來打廣告。例如,2023 年 5 月網路資安媒體 Krebs On Security的站長 Brian Krebs就在他的報導中提到,有一名參與 Mastodon 基礎架構研發的自由程式設計師 Renaud Chaput 舉報有某些 Mastodon 伺服器出現了大量的垃圾訊息經由私訊方式幫上百個不同的詐騙網站打廣告。當我們跟 Chaput 聯繫時,他很慷慨地提供了一些資訊給我們,並解釋說他看到數百個電子郵件帳號在短短數分鐘內先是註冊了大量的 Mastodon 帳號,接著便開始發送詐騙訊息。

這起大型詐騙行動之前已經被檢舉過多次,但檢舉的規模都比較小。因為有關詐騙的討論通常只會出現在虛擬加密貨幣網站或詐騙網站,人們只能提供他們所看到的部分資訊,所以一次最多只會檢舉幾十個網站,這樣一來,大多數人還是沒辦法將它們與整起詐騙行動的其他網站做連結。

還有一些使用者和網站針對這些詐騙做了不錯的查核工作,例如 Fake Website Buster  (假網站剋星),還有 bitcointalk.org 上的一則討論也揭發了將近 180 個這起詐騙的網站。但這只占所有網站的一小部分而已,而且,每星期都會有新的詐騙網站被產生,根據我們手上的證據,截至本文撰稿為止已有上千個網站被產生。

受害者的財務損失

我們設法進入了一個 Impulse Project 用來作為日誌的 Telegram 公開頻道,每當有受害者支付了帳戶啟用費,機器人就會自動新增一筆記錄到這個頻道上。


圖 13:用來記錄虛擬加密貨幣付款的 Telegram 頻道。

此頻道建立於 2022 年 10 月,但卻是從 2022 年 12 月 24 日開始才出現虛擬加密貨幣交易記錄。

從 2022 年 12 月 24 日至 2023 年 3 月 8 日的這段期間,所有的交易加起來大約已經累積超過 5 百萬美元的泰達幣 (USDT [Tether])。

不過我們發現有些金額是來自一些一次性交易,因此我們懷疑 Impulse Team 有操縱機器人將數據灌水的嫌疑,有可能是為了吸引更多人加盟,所以利用這個頻道來讓加盟者相信他們可以在短期內賺到很多錢。

有一名我們無法確認的 Bitcoinabuse 使用者曾留言提到有某個 Bitcoin 錢包隸屬於 Jarbytrade 網站所有:


圖 14:使用者留言提到某個 Bitcoin 錢包有來自 Jarybtrade 網站的錢幣匯入。

這個錢包大約收到了 50 萬美元的比特幣 (本文撰稿當時的行情)。只不過我們無法確認這個錢包是否真的與 Jarbytrade 這個詐騙網站有關。

結論

本文的目的是希望披露 Impulse Team 駭客集團旗下的 Impulse Project詐騙計畫背後的龐大基礎架構。該集團提供了網站代管與基礎架構來讓加盟者輕鬆經營自己的詐騙網站,這樣一來,加盟者只需專注在其他經營層面,例如製作和投放廣告。

這對 Impulse Team 和加盟者雙方都有利,前者可收取一定比例的分潤或直接收取加盟金,後者則可擁有從事詐騙行動所需的資源。

建議

對於網路廣告,使用者應隨時保持戒心 (尤其是透過私訊或社群媒體直接收到的廣告訊息),同時也應抱持高度的懷疑 (太好康的東西通常是騙人的),這樣使用者就能盡量避開本文所描述的詐騙。除此之外,對於陌生的網站或網路平台,也應養成查核的習慣。當然,最好是只用那些信譽良好的知名平台。

其他良好習慣還有:

  • 對產品或服務多做點功課。使用者在購買之前應該善盡義務多做一些功課,仔細研究一下廣告中的產品或服務,並查看其他客戶的評論、評分或意見,這都有助於判斷產品的真偽。


  • 避免點選可疑連結。使用者應小心那些會將使用者帶到不明網站的廣告。請將滑鼠移到連結上方停留一下來查看實際的網址,這有助於判斷連結是否指向合法網站。


  • 小心網路釣魚。詐騙廣告會試圖誘騙使用者提供個人資訊或登入憑證,使用者應避免經由網路廣告或可疑連結分享自己的敏感個人資訊。


  • 對於「低風險、高報酬」的投資機會務必保持懷疑。如果某個投資機會好得讓人難以置信,那很可能是騙人的。在您將自己的錢投進去之前,務必徹底做好功課和查核動作。


  • 小心新興手法。隨時吸收最新資訊來了解詐騙集團的最新手法 (例如使用聊天群組),還有學習如何分辨假冒的平台。了解詐騙如何運作可有助於提高辨識能力,避免自己成為受害者。

在面對網路廣告時,最重要的就是保持警戒並運用常識判斷,假使覺得哪裡不太對勁或心生懷疑,那麼還是寧可小心一點,直接忽略廣告。

一如往常,趨勢科技將持續追蹤並披露這類網路犯罪活動來確保客戶安全。

入侵指標資料


如需本文中提到的入侵指標,請參閱 此處

原文出處:Impulse Team’s Massive Years-Long Mostly-Undetected Cryptocurrency Scam 作者:Cedric Pernet 與 Joseph C Chen