مبادلات رمزنگاری جعلی شکار

ساخت وبلاگ

آخرین مطالب

امکانات وب

مبادلات رمزنگاری جعلی شکار

با ظهور میلیونرهای رمزنگاری که فیدهای رسانه های اجتماعی و پذیرش جهانی ارزهای رمزنگاری شده را نشان می دهند ، شکل جدیدی از کلاهبرداری حاکم است - مبادلات جعلی رمزنگاری جعلی - سرمایه گذاران جدیدی را که به دنبال بخشی از برنده ها هستند ، فریب می دهد.

News about Fake Cryptocurrency Exchanges

در زیر چند نمونه از رایج ترین راه هایی که سرمایه گذاران پول خود را به کلاهبرداران از دست می دهند آورده شده است.

  • قصابی خوک: به چگونگی "چاق شدن" قبل از قصابی یا ذبح اشاره می کند.
  • عاشقانه: مردم در رسانه های اجتماعی ملاقات می کنند ، سود خود را به دیگران نشان می دهند و سپس آنها را متقاعد می کنند که "سرمایه گذاری کنند".
  • فرش کشش: یک استارتاپ یا تأثیرگذار یک نشانه رمزنگاری را ترویج می کند ، سرمایه گذاری عمومی را درخواست می کند ، سپس با پول نقد از بین می رود یا به روزرسانی پروژه را متوقف می کند.
  • پمپ و زباله: با استفاده از اظهارات گمراه کننده و ارائه نادرست تقاضای سرمایه گذار ، ارزش سکه را به طور مصنوعی باد می کند.

ما یک روند فعلی را مشاهده کرده ایم که شامل ترکیب هر چهار تکنیک است ، بنابراین چگونه کار می کند؟

مرحله 1

این معمولاً با کلاهبرداری عاشقانه شروع می شود: شخصی از طریق رسانه های اجتماعی با یک هدف تماس می گیرد و وانمود می کند که به دنبال شخص دیگری هستند ، اما آنها مکالمه ای برقرار می کنند که اغلب منجر به یک رابطه آنلاین می شود. کلاهبردار برای ایجاد اعتماد به هدف خود زمان می برد. در طی این فرآیند ، کلاهبردار همچنین زندگی مجلل خود را نشان می دهد و ذکر می کند که این همه به لطف "سرمایه گذاری های رمزنگاری" است.

پس از ایجاد اعتماد ، کلاهبردار قربانی خود را با "مبادله رمزنگاری جعلی" معرفی می کند که در آن هدف آنها در مورد نحوه ایجاد یک حساب و انتقال پول برای سرمایه گذاری هدایت می شود. کلاهبردار این کار را انجام می دهد تا بتواند اعتماد و کنترل کاذب ایجاد کند.

مرحله 2

در اینجا جایی است که کلاهبرداری قصابی خوک شروع می شود ، اگرچه همه قربانیان این "مبادلات جعلی" مرحله 1 را طی نمی کنند ، زیرا برخی از افراد با جستجوی آنلاین سایت ها را پیدا می کنند و به ثبت نام و انتقال وجوه به حساب خودشان می پردازند.

این صرافی های جعلی معمولاً دارای داشبورد هستند که قربانیان به تدریج افزایش سود "جعلی" نسبت به سرمایه گذاری های خود نشان می دهند ، که بیشتر قربانیان را ترغیب می کند تا همچنان به اضافه کردن بودجه بیشتر و بیشتر به سبد خود بپردازند.

مرحله 3

فرش کشیده می شود. در این مرحله ، سایت های جعلی بدون اثری خاموش می شوند و قربانیان را با دست خالی رها می کنند. غالباً ، یک تلاش نهایی برای اخاذی پول حتی بیشتر از سرمایه گذاران در حال حاضر اخاذی انجام می شود. کلاهبرداران به محض اینکه یک سپرده اضافی برای "مالیات بدهی" انجام شود ، می توانند وجوه و سود قربانی را بپردازند.

متأسفانه ، قربانی غالباً رعایت می شود و سازمان با تمام پول قربانی خود تعطیل و ناپدید می شود.

پیدا کردن دامنه های پشت سیستم عامل های سرمایه گذاری جعلی cryptocurrency

من تحقیقات خود را با استفاده از Reddit به عنوان ابزاری برای جمعیتی برای یافتن سایت های کلاهبرداری احتمالی که به عنوان مبادلات رمزنگاری مشروع ظاهر می شوند ، شروع کردم. برای این تحقیق ، من روی ادغام های رایگان تمرکز خواهم کرد تا هرکسی بتواند از آن پیروی کند.

من قصد دارم از Subreddit معروف به R/Scams استفاده کنم که یک اتاق یا تخته ای است که توسط افراد برای بحث و گفتگو در مورد کلاهبرداری های مختلف استفاده می شود.

بیایید نگاهی بیندازیم که چگونه این subreddit به نظر می رسد.

r/Scams subreddit

بیایید اکنون چند کلمه کلیدی را به جعبه جستجو اضافه کنیم تا نتایج را محدود کنیم.

r/Scams subreddit with the keywords “scam” “exchange”

همانطور که می بینیم ، نتایج بیشتر مربوط به ذکر سایت های رمزنگاری جعلی است ، اما ما هنوز هم باید همه دامنه ها را استخراج کنیم و آنها را تجزیه و تحلیل کنیم تا موارد مشروع را از بدی جدا کنیم.

خوب ، بیایید از ابتدا شروع کنیم. بیایید تمام پست های مختلف را از Reddit استخراج کنیم و آنها را برای تجزیه و تحلیل به مالتگو وارد کنیم.

من قصد دارم با استفاده از تکنیکی که به عنوان "موتور جستجوگر Dorking" شناخته می شود ، راهی برای بازجویی از یک مرورگر وب برای اطلاعات خاص.

برای تکثیر جستجوی ما در داخل Reddit ، از مرورگر خود می خواهم که نتایج را فقط برای R/Scams Subreddit برگرداند.

سایت: reddit. com/r/scams

Ask browser to retu results only for the r/Scams subreddit

عالی ، اکنون اجازه دهید کلمات کلیدی "کلاهبرداری" را "مبادله" اضافه کنیم تا فقط نتایج را که به آن کلمات اشاره می کنند ، بازیابی کنیم.

Add the the keywords “scam” “exchange”

خارق العاده ، اکنون که می فهمیم چگونه می توانیم پست هایی را که می خواهیم مستقیماً در مرورگر بدست آوریم ، می توانیم از تبدیل های جستجوی Bing در Maltego استفاده کنیم تا به سمت تجزیه و تحلیل حرکت کنیم

من یک موجود جدید عبارت را به نمودار اضافه می کنم ، سایت را وارد کنید: reddit. com/r/scams "کلاهبرداری" "تبادل" و تبدیل به وب سایت [با استفاده از موتور جستجو]. با استفاده از بینگ می توانید اطلاعات بیشتر در مورد dorking در Blogpost Maltego Dorking ما را بخوانید

Add a new Phrase Entity, enter enter site:reddit.com/r/scams “scam” “exchange,” and run the To Website [using Search Engine] Transform

ما می توانیم ببینیم که اجرای این تبدیل فقط یک نهاد وب سایت ایجاد کرده است ، اما این بدان معنی نیست که Maltego نمی تواند تمام صفحات مختلف مرتبط با جستجوی ما را پیدا کند. اگر به زیر پنجره نمای جزئیات در مالتگو نگاه کنیم ، تمام پست های دیگر بازیابی شده و URL های آنها را مشاهده خواهیم کرد.

All the other posts retrieved and their URLs under the Detail View window in Maltego

برای مرحله بعدی ، من با اجرای URL ها [نمایش نتایج موتور جستجو] URL ها را از موجودیت وب سایت استخراج می کنم. مالتگو 135 نهاد URL را برگرداند ، بنابراین بیایید نگاهی گذرا به برخی از آنها بیندازیم.

Run the To URLs [show Search Engine results] Transform

عالی ، ما تقریباً آنجا هستیم. اکنون ، من باید دامنه های ذکر شده در پست ها را استخراج کنم تا بتوانیم آنها را مرور کنیم. ترانسفورماتور TO Regex [که در صفحه وب یافت می شود] می تواند به ما کمک کند تا اطلاعات URL را بر اساس عبارات منظم استخراج کنیم.

عبارات منظم انواع خاصی از رشته های مورد استفاده برای توصیف الگوی جستجو هستند. اگر می خواهید در مورد Regex اطلاعات بیشتری کسب کنید ، این مقاله را بخوانید. می توانید به عبارات منظم مانند کارتهای وحشی روی استروئیدها فکر کنید.

من از رشته زیر برای جستجوی دامنه ها استفاده خواهم کرد:

([a-zA-Z0-9-_]+.)*[a-zA-Z0-9][a-zA-Z0-9-_]+.[a-zA-Z]2,10>

Run The To Regex Matches [Found on web page] Transform

این تبدیل 242 موجود جدید (دایره های بنفش) را بر اساس بیان Regex که ما تعریف کردیم ایجاد کرد. بیایید بخشی از نتایج را بزرگنمایی کنیم تا ببینیم موجودات جدید چگونه هستند.

Zoom into a section of results

ما می توانیم برخی از دامنه های مشروع را که با افراد مشکوک مخلوط شده اند ، و همچنین دامنه هایی که در چندین پست ذکر شده است ، ببینیم.

Legitimate domains mixed with the suspicious ones

ما می توانیم از نماها و چیدمان ها استفاده کنیم تا بفهمیم کدام نتایج بیشترین ذکر شده است. بیایید با پیوندها (ورودی) و چیدمان ارگانیک ، اندازه توپ را تغییر دهیم.

Change the view to Ball Size by Links (Incoming) and the layout to Organic

ما می توانیم درست در وسط ببینیم که 4 نهاد بسیار برجسته تر از سایرین هستند:

اینها همه حوزه های قانونی هستند: از اترسان و blockchain به ترتیب برای ردیابی معاملات اتریوم و بیت کوین استفاده می شود. Bitcoinabuse از آدرس های بیت کوین که به دلایل مختلف گزارش شده است ، پیروی می کند و Reddit از آنجا که منبع ما است به همه پست ها متصل می شود.

همانطور که قبلاً نیز اشاره کردیم ، دامنه های قانونی با گزارش های مختلف مخلوط شده اند ، بنابراین ما از ScamAdviser برای کمک به ما در تمایز بین سایت های قانونی و کلاهبرداری استفاده خواهیم کرد.

اما ابتدا باید عبارت موجودات را به دامنه ها تبدیل کنم. بیایید تمام موجودات عبارت را انتخاب کنیم و دامنه های [درون خصوصیات] را اجرا کنیم. این امر به ما امکان می دهد تا از ScamAdviser برای کسب اطلاعات در مورد نمرات ریسک مرتبط با دامنه ها استفاده کنیم.

Select all the Phrase Entities and run the To Domains [within Properties] Transform

این زیر مجموعه ای از نتایج است ، اما می بینید که چگونه Maltego نام دامنه را از موجودات عبارت استخراج کرد. همچنین به ما کمک کرد تا نسخه های ایجاد شده توسط هجی های مختلف مورد استفاده برای برخی از حوزه ها را در پست های Reddit حذف کنیم. در زیر چند نمونه عالی آورده شده است.

Maltego extracted the domain names from the Phrase Entities

اکنون که همه موجودات دامنه را در نمودار داریم ، می توانیم دامنه Annotate (Scan Live) [ScamAdviser] را تغییر دهیم تا آخرین جزئیات را از ScamAdviser ، مانند عنوان وب سایت ، توضیحات ، اطلاعات گواهی SSL و نمرات خطر دریافت کنیم. به هر دامنه اختصاص داده شده است.

Run the Annotate Domain (Live Scan) [Scamadviser] Transform

ScamAdviser همچنین یک پوشش کوچک به دامنه ها با رنگی اضافه می کند که نمره آن را منعکس می کند (قرمز = کم/بد ، زرد = متوسط/مشکوک ، سبز = بالا/خوب).

A small Overlay is added to the Domains with a color that reflects its score

بیایید در حال حاضر روی آنهایی که کمترین امتیاز را دارند تمرکز کنیم. ما می توانیم مواردی را با روکش قرمز انتخاب کنیم و آنها را برای مرحله بعدی به نمودار جدید منتقل کنیم.

همانطور که در ابتدای این مقاله ذکر شد ، وب سایت های مورد استفاده برای این کلاهبرداری ها تمایل به طول عمر کوتاه دارند. من تعجب نخواهم کرد اگر بخش قابل توجهی از این موارد قبلاً به دامنه و وب سایت های دیگری منتقل شده باشد. یک روش آسان برای بررسی اینکه آیا هنوز هم هر یک از این دامنه ها در حال ارائه هر محتوا هستند ، با جستجوی وب سایت های مرتبط با آنها است. بیایید تمام دامنه ها را انتخاب کرده و به وب سایت تبدیل کنیم [سریع جستجو].

Run To Website [Quick lookup] Transform

در این حالت ، می توانیم ببینیم که بیشتر دامنه ها وب سایت های مرتبط با آنها را برمی گردانند. من می خواهم بدانم که این سایت ها در کجا واقع شده اند ، و کدام ارائه دهندگان خدمات معمولاً توسط این کلاهبرداران برای میزبانی وب سایت های خود استفاده می شوند.

بیایید تمام موجودات وب سایت را انتخاب کنیم و تبدیل به آدرس IP [DNS] را اجرا کنیم تا IP ها به وب سایت ها متصل شویم ، و ما برای دریافت اطلاعات در مورد ISP و مکان از این IP ها ، چند تغییر را اجرا خواهیم کرد.

Select all the website Entities and run the To IP Address [DNS] Transform

و اکنون ، اجازه دهید آدرس های IP را انتخاب کنیم و به ISP [MostiPDB] و به کشور [MostipipDB] تبدیل کنیم.

Select the IP Addresses and run the To ISP [AbuseIPDB] and To Country [AbuseIPDB] Transforms

بیشتر سایت ها توسط Cloudflare محافظت می شوند و از ایالات متحده مستقر هستند. برخی از وب سایت ها از ISP های منحصر به فرد تر مانند OVH و Digital Ocean سرو می شوند.

بیایید ببینیم که آیا می توانیم وب سایت های دیگری را که با برنامه های فعلی مرتبط است پیدا کنیم یا خیر. همانطور که قبلاً نیز اشاره کردم ، سرانجام برخی از این سایت ها توسط کلاهبرداران خاموش می شوند ، اما معمولاً دامنه/وب سایت جدیدی برای قربانی بعدی آماده هستند.

بیایید وب سایت ها را به یک نمودار جدید برسانیم و به روابط [BuiltWith] تبدیل کنیم. این پرس و جو برای اطلاعاتی مانند آدرس های IP و کدهای ردیابی مورد استفاده در این سایت ها پرس و جو می شود.

Take the websites to a new graph and run the To Relationships [BuiltWith] Transform

ما می توانیم نتایج بسیاری از این وب سایت ها را ببینیم ، اما ما در این مرحله به کدهای ردیابی علاقه مندیم. سرپرستان وب از این کدها برای ردیابی بازدید کنندگان سایت خود و ردیابی فعالیت های آنها در صفحات مختلف استفاده می کنند. اغلب اوقات ، این مدیران از این کدها در وب سایت های دیگر استفاده می کنند که به لطف کدهای ردیابی می توانند به آنها پیوند دهند.

بیایید نتایج "IP" را حذف کنیم تا بتوانیم تبدیل های بعدی را فقط در کدهای ردیابی اجرا کنیم.

Remove the “ip” results

اکنون که ما فقط کدهای ردیابی را داریم ، اجازه دهید موجودات BuiltWith را انتخاب کنیم و به وب سایت های [builtWith] تبدیل کنیم.

Select the BuiltWith Entities and run the To Websites [BuiltWith] Transform

تبدیل نتایج مانی را برمی گرداند. اگر از نزدیک نگاه کنیم ، خواهیم دید که برخی از این سایت ها دارای تنوع نام از وب سایت اصلی هستند ، برخی از آنها نام های کاملاً متفاوتی دارند اما آرم های آنها (مورد علاقه) تأیید می کنند که این موارد احتمالاً برای همان اهداف اصلی استفاده می شوند ،و برخی دیگر چیزی شبیه به وب سایت اصلی ندارند ، به احتمال زیاد به این دلیل که کلاهبرداران کلاهبرداری خود را متنوع می کردند.

آنچه ما در طول تحقیقات خود توانستیم پیدا کنیم

  • 135 پست Reddit که هر دو کلاهبرداری و مبادله را ذکر می کنند.
  • 181 دامنه استخراج شده از پست ها.
  • 102 وب سایت متصل به 29 حوزه پرخطر.
  • 81 دامنه متوسط تا پرخطر مطابق با ScamAdviser.
  • 16 کد ردیابی منحصر به فرد (Google Analytics ، Alexa ، Facebook و غیره)
  • Cloudflare و Namecheap از این زیر مجموعه از کلاهبرداران استفاده می شوند.
  • زیرساخت های ایالات متحده توسط این گروه ها به شدت مورد استفاده قرار می گیرد.

Maltego در یافتن ، استخراج ، تجزیه و تجزیه و تحلیل داده های Reddit اساسی بود و به کاهش نویز ارائه شده توسط مثبت کاذب (دامنه های مشروع) کمک می کرد در حالی که ارتباطات بین دامنه های پرخطر و زیرساخت های مرتبط با آنها را ایجاد می کند (وب سایت ها ، آدرس های IP ، آدرس های IP ،ارائه دهندگان خدمات اینترنتی).

The results of the investigation

فراموش نکنید که ما را در توییتر و LinkedIn دنبال کنید و در خبرنامه ایمیل ما ثبت نام کنید تا در آخرین اخبار ، آموزش ها و رویدادها به روز شوید.

استراتژی ترید...
ما را در سایت استراتژی ترید دنبال می کنید

برچسب : نویسنده : مرجان شیرمحمدی بازدید : 28 تاريخ : پنجشنبه 9 شهريور 1402 ساعت: 22:05

آرشیو مطالب

پيوندهای روزانه

لینک دوستان

خبرنامه