Podvody typu Sha zhu pan využívají chatovací nástroje s umělou inteligencí a cílí na uživatele iPhonů i Androidu
Falešné mobilní aplikace „CryptoRom“ pro obchodování s kryptoměnami jsou zneužívány prostřednictvím podvodných romantických chatů generovaných umělou inteligencí a využívají službu ChatGPT k nalákání obětí.
V uplynulých dvou letech jsme zaznamenali řadu různých podvodů zaměřených na uživatele mobilních zařízení obecně označovaných jako „shā zhū pán“ („šá zhū pán“), což v překladu znamená „porcování prasat“. Patří sem i podvody typu „CryptoRom“, které Sophos vyšetřoval již v roce 2020, a to kvůli dvěma shodným charakteristickým rysům. Těmi jsou zaměření na falešné obchodování s kryptoměnami a lákání cílů prostřednictvím předstíraného zájmu o romantických vztah. Tyto sofistikované podvody provozují víceúrovňové organizace s vývojovým týmem zodpovědným za vytváření mobilních a webových aplikací, které jsou dostatečně přesvědčivé, aby oklamaly oběti a utvrdily je v tom, že se jedná o legitimní obchodní platformy.
Zatímco první verze podvodných CryptoRom aplikací se různými způsoby vyhýbaly obchodům s aplikacemi pro dané platformy, v posledním roce jsme zaznamenali rostoucí počet podvodných aplikací, které úspěšně prošly procesem schvalování v obchodě Google Play a Apple App Storu, stejně jako pokračující využívání nezávislých obchodů s aplikacemi. Tyto podvodné aplikace se stále vyhýbají obraným mechanismům vlastníků platforem. Podvodníci také používají nové taktiky, aby z obětí vylákali další peníze i po zaplacení „daně“ – včetně nabourání se do jejich účtů.
Nedávno jsme se také setkali s novým modelem CryptoRom podvodů – použitím generativní umělé inteligence, která pomáhá při interakci s oběťmi.
„Jako jazykový model nemám pocity“
Podvody typu CryptoRom začínají oslovením potenciálního cíle prostřednictvím seznamovacích aplikací nebo jiných sociálních médií, obvykle pod záminkou navázání romantického vztahu. V nedávném případě, na který nás upozornila oběť po přečtení našich předchozích článků o podvodech CryptoRom, podvodníci navázali první kontakt prostřednictvím aplikace Tandem, ve které se uživatelé učí cizí jazyky od rodilých mluvčích.
Osoba nebo osoby, které za podvodem stojí, začnou konverzaci v aplikaci, ve které navázaly s obětí první kontakt. Poté konverzaci přesunou do některé z aplikací pro zasílání zpráv, jako je WhatsApp, Telegram nebo LINE, kde představí myšlenku obchodování s kryptoměnami. Nabízejí, že oběť „naučí“ používat (podvodnou) aplikaci pro obchodování s kryptoměnami a provedou jí instalací aplikace a převedením finančních prostředků. Cílem je samozřejmě odčerpání co nejvíce peněz oběti, takže v závěru ještě obvykle oběti sdělí, že před realizací „zisku“ musí zaplatit „daň“. A to je poslední akce, než oběť opustí.
Jak jsme již dříve zdokumentovali, organizace, které za těmito podvody stojí, mají skupiny živých „operátorů“, jejichž úkolem je provádět většinu interakcí s potenciálními oběťmi. Tito operátoři jsou do podvodné operace zapojeni na nejnižší úrovni a někdy dokonce plní své úkoly z donucení. Aby byli podvodníci v romantické konverzaci přesvědčiví, musí často překonat jazykovou bariéru operátorů, kteří zpravidla komunikují s oběťmi v jiném než ve svém rodném jazyce.
Jedna z obětí CryptoRom podvodu, oslovená prostřednictvím Tandemu, nám poslala snímek obrazovky z WhatsApp chatu s podvodníky, který vykazoval příznak použití ChatGPT, Google Bard nebo podobného nástroje pro generování textu konverzace. Tyto nástroje jsou založeny na generativní umělé inteligenci a využívají velké jazykové modely (LLM) ke generování textového obsahu na základě výzvy uživatele. Na jednom snímku obrazovky podvodník píše: „Děkuji vám za vaše milá slova! Jako jazykový model nemám pocity ani emoce jako lidé.“
Obr. 1. Snímek obrazovky ukazující, že v odpovědích podvodníka na chatu byl použit velký jazykový model založený na umělé inteligenci.
Kombinace tohoto upraveného bloku textu mezi jinak gramaticky neobratným textem byla artefaktem nástroje generativní umělé inteligence používaného podvodníky. Text byl pravděpodobně zkopírován a vložen do konverzace s obětí tak, aby byl gramaticky správnější, měl rozsáhlejší slovní zásobu a více odpovídal očekáváním příjemce na základě místa, ze kterého podvodník údajně pocházel (v tomto případě New York). Použití nástroje generativní umělé inteligence by mohlo nejen zvýšit přesvědčivost konverzací, ale také snížit námahu podvodníků, kteří komunikují s více oběťmi.
V tomto případě, když uživatel uviděl artefakt použití umělé inteligence, pojal podezření a následně nás kontaktoval, abychom nahlásili CryptoRom aplikaci, na kterou ho podvodníci nasměrovali.
Ještě větší ztráta díky „daním“ a hackingu
V minulých případech, na které jsme byli upozorněni, byly oběti často podezřívavé, když jim bylo řečeno, že musí zaplatit 20% daň z prostředků na svém „účtu“, než si je budou moci vybrat. Dříve jsme ale neměli k dispozici dokumentaci případů, kdy k zaplacení „daně“ skutečně došlo. Další nedávná oběť podvodu CryptoRom, která nám chtěla pomoci zvýšit povědomí o těchto podvodech, se s námi ale podělila o snímky obrazovky, které ukazují, co se stane poté.
Oběť zaplatila 20% daň v naději, že dojde k uvolnění její investice. Po provedení platby však podvodníci tvrdili, že na jejím účtu došlo k „nestandardnímu chování“ a že je třeba provést další 20% vklad k prokázání totožnosti. Podvodníci také uváděli, že byl účet hacknutý a finanční prostředky byly zablokovány.
Zločinci by i pak ale nepochybně vymýšleli další důvody, proč by oběť měla zaplatit více. Podvod končí jedině tak, že oběť přestane komunikovat nebo jí dojdou zdroje, které může využít ve snaze získat své prostředky zpět.
Další CryptoRom aplikace pro iOS a Android
Od naší první zprávy o tomto trendu se v Apple App Storu i v obchodě Google Play objevilo mnoho dalších aplikací typu CryptoRom. Lze říci, že jsme obdrželi více hlášení o těchto podvodech pomocí aplikací z App Storu než od uživatelů Androidu, ale mnoho z nich se zaměřuje na obě platformy.
Většina z těchto aplikací ve svých popisech v obchodě uvádí, že slouží k jiným účelům. Po otevření se však spojí se vzdálenou URL adresou, která načte falešné kryptografické rozhraní CryptoRom a vyzve uživatele k investici. Například aplikace s názvem AIGPA X G-M tvrdí, že poskytuje horké tipy na investice. BerryX, další CryptoRom aplikace, o sobě uvádí, že je zaměřená na čtení (přestože její název je blízký názvu kryptoměny). V popisu aplikace BoneGlobal v App Storu se zase uvádí, že jde o „pomocníka pro zdraví“.
Pokud se podíváme na investiční rozhraní aplikací BerryX a Bone Global, obě mají navzdory rozdílným názvům podobné uživatelské prostředí, což naznačuje, že za vývojem obou těchto aplikací může stát stejná skupina, jak jsme již dříve podrobně popsali. Kromě výše popsaných jsme našli několik dalších CryptoRom aplikací ze stejného vývojářského účtu, včetně „Momclub“, „Metaverse Ranch“ a „CMUS“. Navzdory různým popisům mají všechny tyto nástroje falešná rozhraní pro obchodování s kryptoměnami, která se načítají ze vzdálených webových stránek. Mnohé z těchto aplikací dokonce používaly v App Storu stejný popis – vývojáři podvodných aplikací v podstatě zkopírovali stejnou šablonu pro každou nahranou aplikaci.
Jak obelstít schvalování v obchodech
Dřívější verze těchto podvodů potřebovaly přesvědčit oběť k instalaci škodlivých aplikací z falešných obchodů s aplikacemi – a v případě uživatelů systému iOS bylo nutné provést další kroky k obejití omezení instalace aplikací z cizích zdrojů. Patřilo mezi ně zneužití systému společnosti Apple na distribuci aplikací pro podniky a vývojáře nebo systému distribuce beta-verzí aplikací.
Ale jak jsme však již dříve uvedli, tyto aplikace mohou projít kontrolou společností Apple a Google tím, že po schválení a zveřejnění v obchodech upraví vzdálený obsah související s aplikacemi. Jednoduchou změnou ukazatele ve vzdáleném kódu lze aplikaci přepnout z neškodného rozhraní na podvodné, aniž by ji Apple nebo Google dále kontroloval, pokud není podána stížnost. Vzhledem k tomu, že jsou tyto aplikace dostupné v oficiálních obchodech, nepotřebují už podvodníci žádné sociální inženýrství, kromě toho, aby přiměli oběť kliknout na webový odkaz do obchodu s aplikacemi.
To také znamená, že infrastruktura pro falešné aplikace může být recyklována pro stále nové aplikace. Například zkoumaná aplikace BerryX zpočátku komunikovala se stejnou doménou, o které jsme v únoru informovali jako o doméně spojené s falešnými aplikacemi a kterou Sophos již zablokoval. Přesto stále mohla projít hodnocením, aby sloužila jako rozhraní CryptoRom.
Co dělat, pokud jste se stali terčem útoku
Mnoho obětí mělo problémy vysvětlit princip CryptoRom podvodu policii, protože orgány činné v trestním řízení nemají dostatečné znalosti a zkušenosti s těmito typy podvodů s kryptoměnami.
Pokud se stanete obětí některého z těchto podvodů, můžete podniknout několik kroků:
- Nahlaste podvod na policii.
- Obraťte se na svou banku a zjistěte, zda lze některé transakce, například převody peněz na směnárny, zrušit.
- Pokud jste použili převody kryptoměn prostřednictvím burzy, například Binance, CoinBase nebo Crypto.com, kontaktujte provozovatele burzy a nahlaste adresu peněženky, která byla do podvodu zapojena.
- Rozhodně nevyužívejte služby, které tvrdí, že jsou schopny obnovit ztracenou kryptoměnu; zdokumentovali jsme několik takových služeb, které jsou samy o sobě podvodem.