0/10

ترفند جدید سرقت ارزهای دیجیتال با استفاده از اپلیکیشن‌های فیک آیفون

حواستان به کلاهبرداری‌های عاشقانه سه مرحله‌ای باشد

0/10 ۰ ۱۵ فروردین ۱۴۰۱ اخبار فناوری کپی لینک

یکی از روش‌های تأثیرگذار مورد استفاده اپلیکیشن‌های قلابی برای فریب افراد و کشاندن آن‌ها به دام کلاهبرداری و سرقت ارزهای دیجیتال دادن وعده پول‌های هنگفت به کاربران است که افراد عادی از آن بی‌بهره هستند.

در واقع، این همان روشی است که به ترفند پانزی معروف است و برنی مادوف (Bernie Madoff) آمریکایی بسیاری از طعمه‌های مشتاق و البته ساده‌اش را با همین رویکرد به دام کلاهبرداری انداخت. در حال حاضر، این روش توسط بسیاری از کلاهبرداران استفاده می‌شود که دریافت سودهای سرسام‌آوری را، در ازای نصب و استفاده از برخی اپلیکیشن‌های به‌خصوص روی اسمارت‌فون‌هایشان وعده می‌دهند و مدعی هستند که این موهبت تنها به کاربرانشان اختصاص دارد.

چنین شیوه کلاهبرداری در میان اهالی بازار ارزهای دیجیتال به سرقت CryptoRom معروف شده و حدود چند ماهی است که سر و صدای زیادی به پا کرده است. بر اساس توضیحات یکی از محققان موسسه امنیتی سوفوس کلاهبرداری کریپتورام ترفندی سه‌گانه است که کلاهبرداری عشقی، سرقت ارزهای دیجیتال و اپلیکیشن‌های فریبنده گوشی‌های اندرویدی و آیفون را در برمی‌گیرد.

قربانیان این ترفند کلاهبرداری تا کنون حدود ده‌ها هزار دلار ضرر کرده اند. تنها یکی از آدرس‌های بیت‌کوین که توسط حقه‌بازان در سرقت ارزهای دیجیتال استفاده شده حدود ۱.۳ میلیون دلار سود غیرقانونی کسب کرده است که برای دانستن کل مبلغی تا کنون به سرقت رفته می‌توانید این میزان را چندین برابر کنید.

سرقت ارزهای دیجیتال با استفاده اپلیکیشن‌های فیک در ابتدا کاربران کشورهای چین، ژاپن، جنوب شرق آسیا و شبه‌قاره هند را هدف قرار داده بود، اما در حال حاضر قربانیان در غرب اروپا و ایالات متحده موارد مشابهی را گزارش کرده اند.

یکی از افرادی که در این کلاهبرداری متضرر شده است به موسسه سوفوس اعلام کرده که یکی دیگر از دوستانش نیز از اپلیکیشن مشابهی به نام USB global + Binance استفاده می‌کرده است. قربانی مدعی شده که سازندگان اپلیکیشن مدعی تسهیل معاملات کریپتو در بستر اپلیکیشن را وعده داده اند، اما برای برداشت پول از اپلیکیشن خرید عضویت ۶ هزار دلاری درخواست می‌کنند.

سواستفاده احساسی از قربانیان برای ترغیب شدن به نصب اپلیکیشن

طبق گزارش اولیه موسسه سوفوس، بیش‌تر قربانیان در ابتدا توسط اپلیکیشن‌‌های دوست‌یابی نظیر Bumble، Tinder، Facebook و Grinder به دام افتاده اند. همچنین، اخیرا تعدادی از قربانیان پس از شناسایی شدن توسط کلاهبرداران رد شبکه‌های اجتماعی، با استفاده از پیام‌های واتساپی گول خورده اند. گمان می‌رود که افراد کلاه‌بردار اطلاعات تماس سرمایه‌گذاران ارزهای دیجیتال را از طریق پروفایل‌های اجتماعی شخصی یا وب‌سایت‌های پرمخاطره و یا حتی از اطلاعات عمومی دردسترس به دست آورده باشند.

وقتی که پای اپلیکیشن‌های دوست‌یابی در میان باشد، افراد کلاهبردار با استفاده از اکانت‌های فیک طی روزها و هفته‌ها اعتماد سرمایه‌گذار قربانی را جلب کرده و سپس موضوع یک سرمایه‌گذاری محرمانه در زمینه رمزارز را مطرح می‌کنند که سود هنگفتی را برای قربانی به ارمغان می‌آورد و تنها کافی است که سرمایه‌گذار اپلیکیشن به‌خصوصی را روی موبایلش نصب کند.

بنابراین، اولین توصیه نهادهای امنیتی برای جلوگیری از فریب خوردن این است که به افراد ناشناس در فضای مجازی که مدعی عشق هستند و در عین حال به هیچ عنوان نمی‌توانند به‌صورت حضوری شما را ملاقات کنند، اعتماد نکنید. توصیه بعدی این است که اگر با فرد ناشناسی آشنا شدید که از ترفندهای عجیب و غریب برای کسب سرمایه از ارزهای دیجیتال صحبت می‌کند به‌سرعت فرار کنید!

عجیب‌ترین قسمت ماجرا: سرقت ارزهای دیجیتال در اپلیکیشن‌های فیک iOS

اپلیکیشن‌های مورد استفاده سارقین در بستر اپ‌استور و گوگل پلی برای دانلود وجود ندارند و برای استفاده باید سایدلود شوند. با این حال، آنچه که بیش‌تر موجب بهت و ناباوری محققان حوزه امنیت سایبری شده این است که نصب اپلیکیشن‌های فیک روی اندروید امکان‌پذیر است، اما با توجه به تدابیر امنیتی اپل چنین اتفاقی روی گوشی‌هایی با سیستم‌عامل iOS چگونه ممکن است؟

مگر اپل کاربرانش را از نصب اپلیکیشن‌های خارج از اپ‌استور منع نکرده است؟

باید گفت که با وجود سختگیری‌های اپل در این زمینه، همچنان روش‌هایی برای توسعه‌دهندگان اپلیکیشن و شرکت‌های بزرگ وجود دارد که می‌توانند کاربران اپل را به نصب و استفاده اپلیکیشن‌های فیک ترغیب کنند.

کمپانی‌های بزرگ می‌توانند پروفایل‌های به‌خصوصی را روی دستگاه‌های تلفن همراه کارمندانشان نصب کنند که به آیفون‌ها و آی‌پدها اجازه نصب برخی از برنامه‌های خاص شرکت را ارائه می‌کند. توسعه‌دهندگان می‌توانند دو برنامه همراه به کاربر ارائه کنند که امکان سایدلود کردن برنامه‌های خارج از اپ‌استور را با اهداف آزمایشی فراهم می‌کند. اولین برنامه در مرحله اول توسعه و دومی در مرحله اجرای آزمایشی اپلیکیشن، درست پیش از دریافت مجوز برای انتشار در اپ‌استور روی گوشی کارمندان نصب می‌شود.

مشخص شد که کلاهبردان، به‌خصوص افرادی که در کلاهبرداری‌های مربوط به پرونده CryptoRom دست داشته اند، از روند‌های توسعه اپلیکیشن شرکتی و قابلیت‌های آزمایشی شرکت‌ها برای اهداف سودجویانه سواستفاده می‌کنند. طبق گزارش سوفوس، در حال حاضر این افراد سودجو از اجراهای آزمایشی برنامه‌های اپل برای به دام انداختن هم‌زمان ۱۰ هزار قربانی سواستفاده می‌کنند.

در این موارد، ابتدا از قربانی خواسته می‌شود که یک اپلیکیشن TestFlight واقعی را از اپ‌استور دانلود و نصب کند. وجود اپلیکیشن تست‌فلایت روی گوشی همراه قربانی امکان دانلود و نصب آنچه که یک «اپلیکیشن خرید و فروش ارز دیجیتال» نامیده می‌شود برای کاربر فراهم شود.

اگرچه برنامه‌های دانلود شده فیک و تقلبی هستند اما برای سرمایه‌گذاری که طعمه کلاهبرداران شده واقعی و توسعه‌یافته توسط پلتفرم‌های شناخته‌شده‌ای از جمله کوین‌بیس (CoinBase)، رابین‌هود (RobinHood)، بیت‌فینکس (Bitfinex)، بایننس (Binance) و غیره به‌نظر می‌رسند.

مرحله نهایی: سرقت ارزهای دیجیتال

در پایان نصب اپلیکیشن قلابی از قربانی خواسته می‌شود تا بیت‌کوین یا دیگر ارزهای دیجیتال مد نظرش را از طریق یک معامله کاملاً قانونی خریداری کرده و سپس از طریق اپلیکیشن بیت‌کوین‌ها را به حساب کلاهبرداران منتقل کند.

در واقع، در ابتدای فرایند سرقت سرمایه‌گذار سود خوبی کسب می‌کند. حتی می‌تواند بخشی از سرمایه و سودش را از حساب برداشت کرده و یا حتی نقد کند.

پس از این مرحله، سارقان سود و پول قابل توجه‌تری را به قربانی وعده می‌دهند. حتی ممکن است به او مقداری پول قرض کنند تا به تهسیل فرایند دزدی سرعت ببخشد. اما در مرحله دوم خرید رمزارز و سرمایه‌گذاری، فرد قربانی دیگر رنگی از پولش را نخواهد دید.

البته نباید تصور کنید که سرمایه‌گذاری سودآور نبوده است؛ بلکه سود از حاصل از سرمایه و همچنین سرمایه اولیه قابل برداشت نخواهد بود. افرادی که سعی در برداشت پول از حسابشان دارند موظف به پرداخت چیزی حدود ۲۰ درصد مالیات از سودشان خواهند شد تا بتوانند فرایند برداشت از حساب را کامل کنند. همچنین، تهدیدی از سوی کلاهبرداران وجود دارد که اگر مالیات مشخص شده پرداخت نشود، شخص سرمایه‌‌گذار تمام سرمایه‌اش را از دست خواهد داد. هرچند، حتی در صورت پرداخت مبلغ مالیات نیز فرد دیگر به سرمایه و سودش دسترسی نخواهد داشت.

وعده دروغین کمک به قربانیان: نمایشی که کلاهبرداری دیگری را رقم می‌زند

کلاهبرداری CryptoRom آنقدر سریع قربانی گرفت که به‌تازگی دسیسه دیگری با وعده دروغین کمک به سرمایه‌گذاران متضرر برای بازیابی سرمایه‌شان ظهور کرده است.

با سواستفاده از ناامیدی قربانیان، برخی خدمات جعلی بازیابی ارزهای دیجیتال سرقت‌شده شکل گرفته اند که البته منحصرا قربانیان کلاهبرداری CryptoRom را هدف قرار می‌دهند.

با این همه، افراد قربانی باید بدانند که تنها راه‌حل پیش رویشان گزارش کردن سرقت ارزهای دیجیتال به پلیس است. هرچند که در این رابطه حتی از دست پلیس نیز کاری ساخته نیست، چرا که معاملات انجام شده برای خرید و فروش رمزارزها قابل بازگردانی نیستند و از آنجایی زنجیره معاملات کریپتو مانند معاملات بیت‌کوین ماهیتی شفاف دارند، کمک‌های قانونی محدودی در این زمینه وجود خواهد داشت. همچنین، به‌دلیل ماهیت ارزهای دیجیتال و البته دخیل بودن معاملات برون‌مرزی در این بازار در بهترین حالت، پیگیری قانونی برای بازگردانی سرمایه از دست‌رفته از طریق اعمال قانون و دیگر کانال‌های قانونی تقریبا غیرممکن است.

پس راه حل نهایی چیست؟

بهترین درمان پیشگیری است! بنابراین اکیدا توصیه می‌شود که با افراد ناشناس و غیرقابل اعتماد معامله کریپتو انجام ندهید.

بدیهی است که کلاهبرداران رمزارزی که از ترفند CryptoRom برای سرقت ارزهای دیجیتال استفاده می‌کنند، سرمایه‌گذاران طعمه‌شان را متقاعد می‌کنند که از پلتفرم‌هایی از قبیل بایننس، بیتفینکس، کوین‌بیس و دیگر پلتفرم‌های قانونی استفاده می‌کنند. اما باید فرد بسیار خوش‌بین و اهل ریسکی باشید که باور کنید این پلتفرم‌های شناخته‌شده فضاهای محرمانه‌ای دارند که تنها برخی افراد خاص می‌توانند دارایی‌هایشان را در آنجا برای کسب سود بیش‌تر معامله کنند.