Bitcoin sextortions: Hoe en waarom zijn er zoveel slachtoffers gevallen

Sextractie is een vrij nieuw woord. Net als ’selfies‘ en ‚memes‘ is sextortion een toevoeging aan de Engelse taal vanwege de groei van de technologie. Maar in tegenstelling tot een zelfportret van een ‚duckface‘ of een slecht geprononceerd woord dat picturale humor uitbeeldt, is sextortie veel snoodaardser, en niet in het minst grappig.

Bij seksuele afpersing gaat het om het achterhouden van gevoelige informatie van tientallen mensen in compromitterende posities, waarbij gedreigd wordt deze informatie openbaar te maken als er geen losgeld wordt betaald. Terwijl de modus operandi van het misdrijf traditioneel is, is de wijze van betaling dat niet. Criminelen in het sextortion racket geven de voorkeur aan één vorm van betaling en slechts één vorm van betaling – Bitcoin.

Veranderen van richting

Geclassificeerd onder ‚Chantage‘ oplichting, vanwege het gebruikte medium, een rapport van Chainalysis, geclassificeerd als de zesde meest krachtige cryptocurrency scam, gebaseerd op de gemiddelde grootte van de overdracht, achter frauduleuze muntaanbiedingen, phishing-oplichting en ponzi-regelingen.

Het rapport benadrukte verder dat sextortion in de cryptocurrency wereld een „laag slagingspercentage“ had, gezien het lage aantal succesvolle betalingen aan het hoge aantal verzonden oplichterijen.

Onderzoekers van Cornell die bijna een jaar lang sextortion-campagnes bestudeerden, concludeerden dat „één enkele entiteit“ de „meerderheid van de sextortion-campagnes“ controleert, die maar liefst 1,3 miljoen dollar aan gestolen Bitcoin opleverde. Hun conclusie luidde de alarmbellen voor de hele cryptocrisisgemeenschap,

„We concluderen dat sextortion spamming een lucratieve zaak is en spammers zullen waarschijnlijk doorgaan met het versturen van bulk e-mails die proberen geld af te persen door middel van cryptocurrencies.“

Verder stelt het Chainalysis rapport, kijkend naar de sextortion oplichting vanuit het perspectief van ’spam campagnes‘, dat sextortion „een van de meest winstgevende is,“ gezien de lage infrastructurele kosten voor de uitbetalings mogelijkheid.

Dieper dan het lijkt

Van september 2019 tot januari 2020 heeft Sophos, een softwarebeveiligingsbedrijf, een rapport opgesteld waarin gedetailleerd wordt beschreven hoe criminelen spamberichten gebruiken in deze sextortion-campagnes en hoe miljoenen slachtoffers worden getreuzeld.

Timing

Terwijl sextractie kan worden gecategoriseerd als spams, varieert de proportie ervan. In het rapport staat dat voor de gehele studieperiode slechts 4,23 procent van alle spam e-mails kan worden toegeschreven aan sextortion, maar op bepaalde dagen is dit percentage gestegen tot 20 procent. Het sextortion e-mailverkeer nam toe in de herfst en bereikte een piek in de wintermaanden. Tussen 24 en 26 december was er een geïsoleerde piek, waarbij in het rapport staat dat de oplichters „de voorkeur geven aan het versturen van hun berichten [sextortion e-mails] wanneer hun doelwitten misschien niet aan het werk zijn“.

Verspreid

De bron van de e-mails werd verspreid, omdat de oplichters botnets van „gecompromitteerde personal computers“ gebruikten om doelwitten te e-mailen. Verrassend genoeg had Vietnam het hoogste aandeel met 7 procent van de totale routing. Sophos merkte op dat de berichtgeving „geraffineerd“ was.

” Sommige van de berichten toonden een aantal nieuwe methoden die door geavanceerde spammers worden gebruikt om filtersoftware te omzeilen“.

Verberg

Gezien de scattershot aanpak van het doelwit en de verborgen aard van de berichtgeving, hebben de oplichters de e-mails met een paar gaten in de code ondergraven, om ze aan te passen. Om de tekstdetectie te omzeilen, vond het rapport „image-based obfuscation“, wat het opbreken van strings en het gebruik van niet-ASCII karakters, onzichtbare witte rotzooi om „de berichttekst op te breken.

Dood de boodschapper

Messaging is de kern van sextortion oplichterij. In het lichaam van de spam/sextractie e-mail moet de oplichter de slachtoffers misleiden dat video’s of foto’s van hen die zich met ‚privédaden‘ bezighouden, zijn vastgelegd, en zal hij deze delen met de slachtoffers, zonder dat er een bepaalde betaling wordt gedaan. Gezien het feit dat veel gevallen van sextortion „spams“ zijn, zijn de dreigementen hol en bluffen de oplichters.

Ze gebruiken echter een heleboel redeneringen om de doelwitten te doen geloven dat hun systeem gecompromitteerd is. Het eerder genoemde Cornell onderzoek vermeldde 15 „onderscheidende kenmerken“ van sextortion-campagnes.

Hier is een ander beeld van de exacte boodschap die gemaakt is voor een sextortion oplichterij. De oplichter stelt dat ze een „malware“ hebben geplaatst op een porno-website die het slachtoffer heeft bezocht, de webbrowser fungeerde als een „Remote Desktop“, waardoor de oplichter toegang kreeg tot het beeldscherm en de webcam. Verder werd er contactinformatie gestolen om de informatie te lekken naar gevoelige partijen.

Later bedreigt de oplichter het slachtoffer met het lekken van een gesplitst scherm met daarop „porno“, waarbij het doelwit „nare dingen“ doet. Het losgeld van $750 [in dit geval] wordt gepresenteerd met een [bewerkt] Bitcoin-adres.

Let op de algemene taal van de e-mail, zonder vermelding van de naam van het slachtoffer, de bezochte website(s), het specifieke type bekeken inhoud of de datum van de overtreding. Zoals eerder vermeld worden dergelijke berichten naar verschillende nietsvermoedende e-mail-ID’s gestuurd.

Papiersporen

Zodra de berichtgeving is vastgesteld, komt de betaling. De meeste slachtoffers noemen de oplichters bluf en sturen geen losgeld. In het Sophos 5 maanden durende onderzoek ontvingen slechts 328 portemonnee-adressen betalingen, van in totaal 50.000 unieke Bitcoin-portemonnee-adressen in de onderschepte e-mails. Het rapport stelde dat „slechts een half procent [0,65 procent] van elk bericht de ontvangers ervan overtuigde om te betalen“.

De 328 adressen die de betaling ontvingen, genereerden een totaal van 96 Bitcoins, wat neerkomt op $864.000 door de perstijdomrekeningskoers. Echter, slechts 81 procent van de portemonnees ontving betaling binnen de periode van de sextortion-campagne, waarbij het resterende bedrag werd toegeschreven aan eerdere overboekingen en niet aan een deel van de oplichting. Vandaar dat de actieve 261 adressen tijdens de periode 50,98 Bitcoins genereerden, oftewel 459.000 dollar. Elk van de 261 actieve adressen ontving gemiddeld ~1.800 dollar.

Beweging van en tussen deze adressen was gebruikelijk. De oplichters „fietsten“ regelmatig door de portemonnee voor elke campagne, waarbij de gemiddelde levensduur van elk adres 2,6 dagen was voordat ze uit de totale spamcampagne verdwenen. Maar als een adres „succesvol“ was, d.w.z. als het betaald werd, werd de levensduur ervan verlengd tot gemiddeld 15 dagen.

Volg de munt

Vervolgens komt blockchain analytics om bij te houden hoe de Bitcoin werd overgedragen en geliquideerd. Sophos gebruikte hiervoor de specialiteiten van blockchain analytics firma CipherTrace.

Van de 328 actieve adressen waren er 12 „aangesloten“ op online exchanges en andere portemonneeservices. Het rapport voegde eraan toe dat CipherTrace veel van deze uitwisselingen had gecategoriseerd als „hoog risico“ en ze dus „goed geschikt maakte als cryptocurrency laundering points voor criminelen“. In een gesprek met AMBCrypto verklaarde Dave Jevans, de CEO van CipherTrace, dat uitwisselingen „hoog risico“ inhouden als ze „slechte of niet-bestaande Know Your Customer (KYC) procedures“ hebben en vastbesloten zijn om „criminele activiteiten te vergemakkelijken“.

Zodra de gesextorteerde fondsen in deze beurzen werden gedumpt, was het niet meer mogelijk om ze verder op te sporen. Lees het rapport,

„Deze eerder toegeschreven adressen werden niet gebruikt voor het verder traceren van de geldstroom van de campagnes, omdat beurzen vaak fondsen van klanten samenvoegen in hun depositopool, waardoor het onhoudbaar is om specifieke blokkadetransacties verder te traceren“.

Er werden echter 476 „uitvoertransacties“ geproduceerd, en onder de terugkerende bestemmingen bevonden zich enkele „big-name“ spot- en P2P-beurzen. De hoogste bron van „uitvoertransacties“ was met Binance, met ongeveer 14,76 procent of 70 transacties, gevolgd door LocalBitcoins, met 10 procent of 48 transacties. De resterende transacties werden verdeeld onder CoinPayments, portemonnees binnen de sextortion-campagne en „private non-hosted portemonnees“.

In termen van de 50,98 BTC die [binnen de periode van de oplichting] werd overgeheveld, ging 44 procent of 22,43 BTC naar beurzen, een afzonderlijke 15 procent of 7,64 BTC naar „risicovolle“ beurzen, 11 procent of 5,6 BTC naar privé-portemonnees, 10 procent of 5,09 BTC naar kaartsites, en de rest naar gateways, goksites, Bitcoin-mixers en de Dark Markets.

Bij de meeste van dit soort criminele transacties zijn ruilbeurzen zonder toestemming van de deelnemers. „Beurzen zijn de primaire aan en uit hellingen,“ zei Kim Grauer, hoofd van het onderzoek bij Chainalysis, een onderzoeksfirma voor blokkades. Ze voegde eraan toe dat in 2019 meer dan 2,8 miljard dollar in Bitcoin Evolution werd opgespoord van „criminele entiteiten“ tot uitwisselingen.

Het rapport wees erop dat uitwisselingen niet weten waar het geld vandaan komt en dus „onwetende deelnemers aan deze stortingen“ zijn. In het geval van een hack, waar sprake is van een breuk in de wissel- en klantenportemonnee, van waaruit geld wordt overgeheveld naar de oplichters, worden de portemonnees aan beide kanten, dat wil zeggen de slachtoffers en de oplichters, gemarkeerd. Elke beweging van het geld uit de portemonnee van de oplichters naar de beurzen van derden met het oog op liquidatie wordt opgespoord. In het geval van sextortion is er echter geen sprake van een verplichting of van een gestructureerde tracering, gezien de verdeling van de slachtoffers.

Zodra een uitwisseling op de hoogte is van het verband met sextorsie, kunnen zij tussenbeide komen. Jevans vertelde AMBCrypto dat CipherTraces „uitwisselingen mogelijk maakt om sextortionzaken te markeren als ze met de crimineel in verband worden gebracht“. Echter, er is geen handhaving van hetzelfde totdat de wet komt,

„Er is geen verplichting om iets te doen met sextractie totdat er een juridische klacht is.“

Ten slotte is er de kwestie van de levensduur – hoe lang hebben de fondsen in de adressen gezeten? Terwijl CipherTrace niet het tempo aangaf waarin de fondsen werden geliquideerd, d.w.z. verkocht voor contant geld, onthulden ze wel de „levensduur“ van de portemonnees.

Van de 328 adressen hadden er 13 geen „uitgaande transacties“. Gezien het feit dat de 305 portemonnees een gemiddelde levensduur hadden van 32,28 dagen, vermeldde het rapport „wie er ook achter de portemonnees zat, liet hun cryptocurrencybederf niet lang zitten.“ Door het verwijderen van de 9 portemonnee-uitschieters die 200 dagen lang bestonden, had meer dan 50 procent van de resterende 296 adressen een kortere levensduur van 19,93 dagen. Van deze 296 adressen hadden 143 adressen of slechts twee transacties – één invoer en één uitvoer, wat de levensduur op ongeveer 8 dagen brengt.

Donkere weg vooruit

Buiten de beurzen en de andere manieren van storten van de gesextorteerde fondsen, blijft het volgen mistig. In het Sophos-rapport stond dat 20 van de 328 adressen IP-adressen hadden, maar gekoppeld waren aan VPN’s of TOR-uitgangsknooppunten, waardoor het volgen van de geo-locaties werd verstikt.

De oplichters werken op grote schaal met een hit-or-miss aanpak, waarbij ze een uitzending van dreigende e-mails naar kwetsbare slachtoffers sturen. Velen reageren niet, maar een aanzienlijk deel wel, wat genoeg is voor de oplichters om miljoenen in Bitcoin te genereren. Het overhevelen van Bitcoins is echter niet het einde van de campagne, het is misschien wel het begin ervan. CipherTrace CEO Jevans concludeerde dat de criminelen die zich bezighouden met sextortion waarschijnlijk degenen zijn die op grote schaal oplichten in de cryptocurrency wereld en daarbuiten. Hij zei,

„Sextortionzaken zijn vaak gekoppeld aan dezelfde misdadigers die zich schuldig maken aan losgeld en phishing. Het is vaak dezelfde infrastructuur die wordt gebruikt voor het verzilveren van het geld, maar ook voor het versturen van de e-mails.