Sophos-Bericht: Betrüger integrieren ChatGPT in ihr Instrumentarium

Sophos, ein führender globaler Akteur im Bereich Cybersicherheit als Service, hat kürzlich neue Ergebnisse zur CryptoRom-Betrugsmasche veröffentlicht.

Diese Betrugsmasche ist Teil des größeren Phänomens von „Varkensslachterij“-Schemata, die darauf abzielen, Nutzer von Dating-Apps zu täuschen und sie dazu zu bringen, gefälschte Investitionen in Kryptowährungen zu tätigen. Der neueste Bericht von Sophos mit dem Titel „Sha Zhu Pan Scam verwendet AI Chat Tool, um iPhone- und Android-Nutzer ins Visier zu nehmen“, beleuchtet dieses Phänomen.

Betrügerische Techniken wurden verfeinert

Seit Mai hat Sophos X-Ops festgestellt, dass die CryptoRom-Betrüger ihre Techniken verfeinert haben, indem sie ein AI-Chat-Tool wie ChatGPT zu ihrem Arsenal hinzugefügt haben. Darüber hinaus haben die Betrüger ihre manipulativen Taktiken erweitert, indem sie ihre Opfer mit Behauptungen in die Irre geführt haben, dass ihre Krypto-Konten kompromittiert wurden und zusätzliches Geld im Voraus erforderlich sei.

Sophos X-Ops hat außerdem herausgefunden, dass es den Betrügern gelungen ist, sieben neue gefälschte Kryptowährungs-Investitions-Apps in den offiziellen Apple App Store und Google Play Store einzuschleusen, was die potenzielle Anzahl von Opfern erhöht hat.

Im Jahr 2022 führte Anlagebetrug zu den größten Verlusten aller gemeldeten betrügerischen Praktiken beim Internet Crime Complaint Center (IC3) des amerikanischen FBI, mit einem Gesamtbetrag von bis zu 3,31 Milliarden Dollar allein in den Vereinigten Staaten. Betrug mit Kryptowährungen, einschließlich des „Schlachtens von Schweinen“, war für den Großteil dieser betrügerischen Aktivitäten verantwortlich, mit einer Steigerung um 183% gegenüber 2021, was zu gemeldeten Verlusten von bis zu 2,57 Milliarden Dollar im letzten Jahr führte.

Erstkontakt mit Betrügern

Sophos X-Ops kam erstmals mit Betrügern von CryptoRom in Kontakt, die das AI-Chat-Tool – höchstwahrscheinlich ChatGPT – nutzten, als ein Opfer von Betrug sich an das Team wandte.

Nach anfänglicher Kommunikation mit dem Opfer über Tandem, einer App für Sprachaustausch, die auch als Dating-App genutzt wird, überzeugte der Betrüger das Opfer, ihre Unterhaltung auf WhatsApp zu verlagern.

Das Opfer wurde jedoch misstrauisch, nachdem es eine ausführliche Nachricht erhalten hatte, die offensichtlich teilweise von einem AI-Chat-Tool unter Verwendung eines großen Sprachmodells (Large Language Model – LLM) verfasst worden war. Sean Gallagher, Hauptforscher für Bedrohungen bei Sophos, sagte Folgendes:

„Seit OpenAI die Veröffentlichung von ChatGPT angekündigt hat, wurde weitgehend spekuliert, dass Cyberkriminelle das Programm möglicherweise für ihre eigenen bösartigen Aktivitäten nutzen könnten. Wir können nun sagen, dass dies zumindest im Fall von Betrugspraktiken beim Schlachten von Schweinen tatsächlich der Fall ist. Eine der größten Herausforderungen für Betrüger bei der CryptoRom-Betrugsmasche besteht darin, überzeugende und langwierige romantische Gespräche mit Zielpersonen zu führen; diese Gespräche werden normalerweise von ‚Tastatur-Schlägern‘ geführt, die hauptsächlich aus Asien stammen und eine Sprachbarriere haben. Die Verwendung von etwas wie ChatGPT könnte eine effizientere und effektivere Möglichkeit sein, diese Gespräche aufrechtzuerhalten, was den Betrug weniger arbeitsintensiv und authentischer macht. Es ermöglicht Tastatur-Schlägern auch, gleichzeitig mit mehreren Opfern in Kontakt zu treten.“

Neue Betrugstaktik entdeckt

Sophos X-Ops hat auch eine neue Betrugstaktik entdeckt, die entwickelt wurde, um zusätzliches Geld zu erpressen. Traditionell gesehen werden Opfer des CryptoRom-Betrugs, wenn sie ihre vermeintlichen „Gewinne“ abheben wollen, von den Betrügern informiert, dass sie zuerst 20% Steuern zahlen müssen, bevor sie überhaupt Geld erhalten können. Kürzlich hat ein Opfer jedoch enthüllt, dass die Betrüger nachdem sie die „Steuern“ gezahlt hatten, um Geld abzuheben, behaupteten, dass das Geld „gehackt“ worden sei und dass nochmals 20% als Anzahlung erforderlich seien, bevor sie ihr Geld erhalten könnten.

Bei weiteren Untersuchungen hat Sophos X-Ops sieben gefälschte Kryptowährungs-Investitions-Apps im offiziellen Google Play Store und Apple App Store entdeckt. Diese Apps haben scheinbar harmlose Beschreibungen in den App-Stores (zum Beispiel behauptet BerryX, lesebezogen zu sein). Wenn Benutzer die App jedoch öffnen, sehen sie eine nachgeahmte Benutzeroberfläche für den Handel mit Kryptowährungen.

Um die Kontrolle des Apple App Store zu umgehen, nutzen die App-Entwickler die gleiche Technik, über die Sophos erstmals im Februar 2023 berichtet hat. Sie reichen die App zur Genehmigung ein, indem sie legitimen, alltäglichen Webinhalt verwenden. Sobald die App genehmigt und veröffentlicht ist, ändern sie anschließend den Server, der die App hostet, mit Code für die betrügerische Benutzeroberfläche.

Bemerkenswert ist, dass viele dieser sieben neuen Apps die gleichen Vorlagen und Beschreibungen wiederverwendet haben, was darauf hinweist, dass dieselben ein oder zwei Gruppen hinter den Betrugspraktiken stecken. Gallagher äußerte sich abschließend dazu:

„Bevor sie ihre Apps im Apple Store unterbringen konnten, mussten CryptoRom-Betrüger eine knifflige technische Lösung verwenden, um iOS-Nutzer ins Visier zu nehmen und ihre Opfer vor einer verdächtigen Aktivität zu warnen. Jetzt ist es für sie viel einfacher, iPhone-Nutzer anzusprechen, was den Opferpool erweitert. Diese Apps sind auch leicht zu recyceln und wiederzuverwenden. Die BerryX-App scheint sogar mit den gefälschten Apps in Verbindung zu stehen, die wir dieses Jahr bereits entdeckt und blockiert haben. Obwohl wir Google und Apple über diese neuesten Apps informiert haben, werden wahrscheinlich noch mehr auftauchen. Diese Betrüger kennen keine Gnade. Heutzutage sagen sie ihren Opfern, dass ihre Konten gehackt wurden, um mehr Geld zu erpressen, aber in der Zukunft werden sie wahrscheinlich neue Methoden für Anfangs- und Doppel-Erpressung entwickeln. Die beste Verteidigung gegen das Schlachten von Schweinen besteht darin, sich dieser Kampagnen bewusst zu sein. Wir ermutigen Benutzer, die misstrauisch sind oder glauben, Opfer geworden zu sein, sich mit uns in Verbindung zu setzen.“