Nieuwe investeringszwendel maakt gebruik van AI en advertenties op sociale media om slachtoffers wereldwijd te targeten

Onderzoekers op het gebied van cyberbeveiliging vestigen de aandacht op een nieuw soort investeringszwendel die gebruik maakt van een combinatie van malvertising op sociale media, berichten van het bedrijf en door kunstmatige intelligentie (AI) aangedreven videogetuigenissen met beroemde persoonlijkheden, wat uiteindelijk leidt tot financieel verlies en gegevensverlies.

“Het belangrijkste doel van de fraudeurs is om slachtoffers naar phishing-websites en formulieren te leiden die hun persoonlijke gegevens verzamelen”, aldus ESET in zijn H2 2024 Threat Report, gedeeld met The Hacker News.

Het Slowaakse cybersecuritybedrijf volgt de dreiging onder de naam Nomanieen woordspeling op de uitdrukking ‘geen geld’. Volgens het rapport groeide de zwendel tussen de eerste helft en de tweede helft van 2024 met meer dan 335%, waarbij tussen mei en november 2024 gemiddeld meer dan 100 nieuwe URL’s dagelijks werden gedetecteerd.

De aanvallen vinden plaats via frauduleuze advertenties op sociale-mediaplatforms, waarbij ze zich in verschillende gevallen richten op mensen die eerder zijn opgelicht door gebruik te maken van Europol- en INTERPOL-gerelateerde lokmiddelen om contact met hen op te nemen voor hulp of om hun gestolen geld terug te krijgen door op een link te klikken.

Deze advertenties worden gepubliceerd vanuit een mix van valse en gestolen legitieme profielen die verband houden met kleine bedrijven, overheidsinstanties en micro-influencers met tienduizenden volgers. Andere distributiekanalen zijn onder meer het delen van deze berichten op Messenger en Threads, maar ook het delen van bedrieglijk positieve recensies op Google.

“Een andere grote groep accounts die regelmatig Nomani-advertenties verspreiden, zijn nieuw gemaakte profielen met gemakkelijk te vergeten namen, een handvol volgers en heel weinig berichten”, aldus ESET.

Er is vastgesteld dat de websites waarnaar deze links verwijzen, om hun contactgegevens vragen en lokale nieuwsmedia visueel imiteren; misbruik maken van logo’s en branding van specifieke organisaties; of beweren reclame te maken voor oplossingen voor cryptocurrency-beheer met steeds veranderende namen zoals Quantum Bumex, Immediate Mator of Bitcoin Trader.

In de volgende stap gebruiken cybercriminelen de gegevens die zijn verzameld via de phishing-domeinen om de slachtoffers rechtstreeks te bellen en hen te manipuleren om hun geld te investeren in niet-bestaande beleggingsproducten die ten onrechte fenomenale winsten opleveren. In sommige gevallen worden slachtoffers ertoe verleid leningen af ​​te sluiten of apps voor externe toegang op hun apparaten te installeren.

“Wanneer deze ‘slachtoffer-investeerders’ om uitbetaling van de beloofde winst vragen, dwingen de oplichters hen om extra kosten te betalen en om verdere persoonlijke informatie te verstrekken, zoals identiteits- en creditcardgegevens”, aldus ESET. “Uiteindelijk nemen de fraudeurs zowel het geld als de gegevens af en verdwijnen ze – na de typische varkensslachterij.”

Er zijn aanwijzingen dat Nomani het werk is van Russischsprekende dreigingsactoren, gezien de aanwezigheid van commentaar op de broncode in het Cyrillisch en het gebruik van Yandex-tools voor het volgen van bezoekers.

Net als bij grote oplichtingsoperaties als Telekopye wordt vermoed dat er verschillende groepen zijn die verantwoordelijk zijn voor het beheer van elk aspect van de aanvalsketen: diefstal, creatie en misbruik van meta-accounts en advertenties, het opbouwen van de phishing-infrastructuur en het runnen van de callcenters.

“Door het gebruik van social engineering-technieken en het opbouwen van vertrouwen bij de slachtoffers, zijn oplichters vaak zelfs de autorisatiemechanismen en verificatietelefoontjes te slim af die de banken gebruiken om fraude te voorkomen”, aldus ESET.

De ontwikkeling komt nadat de Zuid-Koreaanse wetshandhavingsinstanties zeiden dat ze een grootschalig fraudenetwerk hebben uitgeschakeld dat bijna 6,3 miljoen dollar van slachtoffers heeft opgelicht met nep-online handelsplatforms als onderdeel van een operatie genaamd MIDAS. Meer dan twintig servers die door de fraudering werden gebruikt, zijn in beslag genomen en 32 mensen die bij het plan betrokken waren, zijn gearresteerd.

Naast het lokken van slachtoffers met sms en telefoontjes, werden gebruikers van de illegale thuishandelsysteem (HTS)-programma’s verleid om hun geld te investeren door YouTube-video’s te bekijken en zich aan te sluiten bij KakaoTalk-chatrooms.

“Het programma communiceert met de servers van echte beursvennootschappen om realtime informatie over de aandelenkoersen te verkrijgen, en gebruikt openbaar beschikbare kaartbibliotheken om visuele representaties te creëren”, zei het Financial Security Institute (K-FSI) in een presentatie gegeven in de Black Hat Europaconferentie vorige week.

“Er worden echter geen daadwerkelijke aandelentransacties uitgevoerd. In plaats daarvan wordt de kernfunctie van het programma, een schermopnamefunctie, gebruikt om de schermen van gebruikers te bespioneren, ongeautoriseerde informatie te verzamelen en te weigeren geld terug te geven.”

Thijs Van der Does