ПРЕВАРА ВЕКА: Како су лажни Google оператери покрали 243 милиона долара у само једном позиву!

Аутор: Д. П.

Мета њиховог напада био је један поверилац компаније Генесис, а кључну улогу у превари играла је Гемини мењачница, популарна платформа за трговину криптовалутама, позната по својој сигурности. Међутим, хакери су искористили лажне позиве и манипулације како би продрли у налог жртве и преусмерили средства на компромитоване новчанике.

Напад је почео 19. августа 2024. године када су нападачи лажно позвали жртву представљајући се као Google подршка, користећи лажиран број. Након што су добили приступ личњачнице, тврдећи да је жртвин налог хакован. Убедили су жртву да ресетује двофакторску аутентификацију (2ФА) и пребаци средства на други новчаник који је заправо био под њиховом контролом.

Као део софистициране преваре, натерали су жртву да користи AnyDesk софтвер за дељење екрана, преко којег су успели да добију приступ приватним кључевима у Битцоин Цоим налозима жртве, убрзо су позвали поново, овај пут представљајући се као подршка Гемини менре новчанику. Само тог дана, нападачи су трансферисали 4064 БТЦ, што је еквивалентно 243 милиона долара.

Истраживач ZachXBT, који је познат по својим напорима у раскринкавању крипто превара, заједно са полицијом и тимом за ИТ безбедност на берзи Бинанце, успео је да идентификује нападаче користећи ОСИНТ (опен-соурце intelligence) технике. Анализом друштвених мрежа и дигиталних трагова, откривено је да су нападачи користили више мењачница како би пребацивали средства између различитих криптовалута, укључујући Битцоин, Литецоин, Ethereum и Монеро, користећи крипто миксере као што су eXch и Thorswap за прање новца. Wiz-ov пријатељ Аакаасх (познат као Light/Dark) помогао је у прању средстава, користећи ове миксере.

Један кључни тренутак у истрази десио се када је Box играо улогу представника Гемини мењачнице, који је позвао жртву и убедио је да пребаци средства. Такође, током снимања екрана, Box и Wiz су направили грешке које су омогућиле истражитељима да их повежу са прљавим фондовима. Wiz је током дељења екрана приказао адресу на коју је послао средства за дизајнерску одећу, која је била повезана са великим износима прљавих средстава. Box је несмотрено поново искористио исту депозитну адресу, чиме је повезао опрана средства са украденим. Према наводима истраживача ZachXBT Danny Траума (Данисх) имао је приступ базама података из случајева банкротстава- Иако његова тачна улога није у потпуности разјашњена, познато је да је приступ тим базама вероватно омогућио преварантима да
идентификују жртву — повериоца Генесис-а.

Greavys (Малоне Иам), један од главних нападача, хвалио се својим новостеченим богатством на друштвеним мрежама, редовно трошећи стотине хиљада долара по ноћи у клубовима у Лос Анђелесу и Мајамију, док је девојкама поклањао скупе Биркин торбе.

Ови дигитални трагови су помогли истражитељима да их лоцирају и идентификују. Wiz је открио свој идентитет приликом дељења екрана током трансфера средстава, што је полицији омогућило да га повеже с украденим фондовима.

Да резимирамо, сваки од нападача имао је специфичну и кључну улогу у овој софистицираној превари: Веер Chetal (Wiz) био је задужен за прање новца и приступ жртвиним e-mail и иЦлоуд налозима, док је Јеандиел Serrano (Box), представљајући се као представник мењачнице, убедио жртву да пребаци средства на компромитовани новчаник. Малоне Иам (Greavys) претраживао је e-mailove жртве како би пронашао све релевантне информације и користио украдена средства за финансирање луксузног начина живота. Све три улоге заједно довеле су до успешне преваре вредне 243 милиона долара.

Захваљујући напорима ZachXBT-a и Бинанце сигурносног тима, више од 9 милиона долара је замрзнуто, а преко 500 хиљада долара већ је враћено жртви. Greavys и Box су ухапшени у Мајамију и Лос Анђелесу, а очекује се да ће додатна средства бити заплењена како истрага напредује. Овај случај јасно показује како софистицирани cyber криминал може бити раскринкан уз помоћ ОСИНТ техника и међународне сарадње.

ОСИНТ (опен-соурце intelligence) се показао као моћна техника у откривању оваквих сложених превара, јер омогућава анализу дигиталних трагова које криминалци остављају на интернету. У овом случају, хакери су користили Дисцорд групе где су се снимали и међусобно делили информације. Оваква активност није била само оперативна већ је, због њиховог ега, постала начин да се хвале својим успехом. Снимци су, уз трагове са друштвених мрежа, истражитељима пружили кључне доказе о њиховим улогама и локацијама, што је довело до идентификације и хапшења. 

Малоне Лам (20, надимак Greavys), држављанин Сингапура који живи у Мајамију и Лос Анђелесу, и Јеандиел Serrano (21, надимак Box) из Лос Анђелеса, ухапшени су у среду увече и оптужени за заверу ради крађе и прања преко 230 милиона долара у криптовалутама од жртве из Вашингтона, Д.Ц. Оптужница, која је отпечаћена 19. септембра 2024. године, подигнута је од стране Канцеларије америчког тужиоца за Дистрикт Колумбија, а хапшења су извршили ФБИ и ИРС-Цриминал Инвестигатион (ИРС-ЦИ), уз подршку теренских канцеларија ФБИ-а у Вашингтону, Лос Анђелесу и Мајамију. Трећи члан групе, Веер Chetal (Wiz), није експлицитно поменут у оптужници, што може бити последица различитих фаза истраге, где се додатне оптужнице могу подићи касније, или због сложености доказивања улоге у превари. Обојица су се требали појавити пред судовима у Калифорнији и на Флориди у четвртак, према саопштењу Министарства правде, док истрага и даље траје.