Schweineschlachter nutzen ChatGPT – Pig butchers use ChatGPT

Sophos hat heute neue Erkenntnisse über CryptoRom-Betrügereien veröffentlicht. Hierbei handelt es sich um eine Untergruppe der so genannten „pig butchering“ (Schweineschlachten, chinesisch shā zhū pán) Betrugsmaschen, die darauf abzielen, Nutzer von Dating-Apps dazu zu bringen, in gefälschte Kryptowährungs-Fonds zu investieren.

Der heute veröffentlichte Bericht „Sha Zhu Pan Scam Uses ChatGPT to Target iPhone and Android Users„ beschreibt die Einzelheiten neuen Vorgehens. Seit Mai hat Sophos X-Ops hierfür beobachtet, wie die Betrüger ihre Techniken verfeinern, indem sie ein KI-Chat-Tool wie beispielsweise ChatGPT in ihre Werkzeugsammlung aufnehmen. Auch die kriminellen Einschüchterungstaktiken sind erweitert worden: den Opfern wird mitgeteilt, dass ihre Kryptokonten gehackt wurden und nun noch mehr Geld benötigt wird. Zusätzlich hat Sophos X-Ops entdeckt, dass die Betrüger sieben neue gefälschte Kryptowährungs-Investitions-Apps in den offiziellen Apple App Store und in Google Play Store eingeschleust haben, was die Zahl der potenziellen Opfer abermals erhöht.

Im Jahr 2022 verursachte Anlagebetrug die höchsten Verluste unter allen von der Öffentlichkeit an das Internet Crime Complaint Center (IC3) des FBI gemeldeten Betrugsfällen und belief sich auf insgesamt 3,31 Milliarden US-Dollar. Betrügereien im Zusammenhang mit Kryptowährungen, einschließlich des sogenannten „pig butchering“, machten den Großteil dieser Betrugsfälle aus und führten zu einem Anstieg von 183 % gegenüber 2021 auf 2,57 Milliarden US-Dollar an gemeldeten Verlusten im letzten Jahr.

Sophos X-Ops erfuhr erstmals von CryptoRom-Betrügern, die das KI-Chat-Tool, höchstwahrscheinlich ChatGPT einsetzen, als ein betroffenes Opfer sich an das Team wandte. Nachdem der Betrüger den Kontakt zum Opfer über die App „Tandem“ aufgenommen hatte – eine App die Sprachlernende mit Muttersprachlern verbindet, die auch als Dating-App genutzt wird – überzeugte er das Opfer, das Gespräch auf WhatsApp fortzusetzen. Das Opfer wurde misstrauisch, als es eine ausführliche Nachricht erhielt, die offensichtlich teilweise von einem KI-Chat-Tool mit einem großen Sprachmodell (LLM) geschrieben wurde.

ChatGPT für den romantischen Chat in fremden Sprachen

„Seit OpenAI die Veröffentlichung von ChatGPT angekündigt hat, gab es breite Spekulationen, dass Cyberkriminelle das Programm für ihre eigenen bösartigen Aktivitäten nutzen könnten. Wir können jetzt sagen, dass dies zumindest im Fall von ‚pig butchering‘ Betrügereien tatsächlich geschieht. Eine der Hauptherausforderungen für Betrüger bei CryptoRom-Betrügereien besteht darin, überzeugende und anhaltende romantische Gespräche mit ihren Zielpersonen zu führen. Diese Gespräche werden hauptsächlich von ‚Keyboardern‘ geführt, die vornehmlich in Asien ansässig sind und eine Sprachbarriere haben. Die Verwendung von einem Tool wie ChatGPT kann eine effizientere und effektivere Methode sein, um diese Gespräche aufrechtzuerhalten und die Betrügereien weniger arbeitsintensiv und authentischer zu gestalten. Es ermöglicht den ‚Keyboardern‘ auch, gleichzeitig mit mehreren Opfern zu interagieren“, sagt Sean Gallagher, Principal Threat Researcher bei Sophos.

Erfundene Hacks auf Krypokonten

Sophos X-Ops hat zudem eine neue Betrugstaktik der Betrüger entdeckt, bei der zusätzliches Geld erpresst wird. Traditionell werden Opfer von CryptoRom-Betrügereien, wenn sie versuchen, ihre „Gewinne“ einzufordern, von den Betrügern informiert, dass sie 20 % Steuern auf ihre Gelder zahlen müssen, bevor die Auszahlungen vorgenommen werden können. Kürzlich enthüllte ein Opfer jedoch, dass die Betrüger nach Zahlung der „Steuern“ für die Auszahlung des Geldes nunmehr behaupteten, dass die Gelder „gehackt“ worden seien und dass für eine Ausschüttung eine weitere Einzahlung von 20 % der Summe notwendig sei.

Mit derselben Technik wie zu Beginn des Jahres: Sieben neue Fake Apps in den offiziellen Stores

Bei weiteren Untersuchungen entdeckte Sophos X-Ops sieben gefälschte Kryptowährungs-Investitions-Apps im offiziellen Google Play Store und Apple App Store. Diese Apps haben scheinbar harmlose Beschreibungen in den App-Stores (zum Beispiel behauptet BerryX, dass es etwas mit Lesen zu tun habe). Sobald die Benutzer die App jedoch öffnen, werden sie mit einer gefälschten Krypto-Trading-Oberfläche konfrontiert.

Um den Überprüfungsprozess im Apple App Store zu umgehen, verwenden die App-Entwickler dieselbe Technik, über die Sophos erstmals im Februar 2023 berichtet hat. Sie reichen die App zur Genehmigung unter Verwendung von legitimen, alltäglichen Webinhalten ein. Sobald die App genehmigt und veröffentlicht wurde, ändern sie den Server, auf dem die App gehostet wird, mit Code für die betrügerische Oberfläche.

Viele dieser sieben neuen Apps verwenden identische Vorlagen und Beschreibungen, was darauf hindeutet, dass dieselben ein oder zwei Betrügerringe die Masche entwickelt haben.

Appell an Nutzer: Seien Sie misstrauisch

„Bevor die CryptoRom-Betrüger in der Lage waren, ihre Apps in den Apple Store zu bringen, mussten sie eine umständliche technische Lösung verwenden, um iOS-Benutzer anzugreifen, was ihre Opfer aufmerksam machen könnte. Jetzt ist es für sie viel einfacher, iPhone-Benutzer ins Visier zu nehmen, was ihre Opfergruppe erweitert. Diese Apps sind auch einfach zu recyceln und wiederzuverwenden. Tatsächlich scheint die BerryX-App in Verbindung mit den gefälschten Apps zu stehen, die wir zu Beginn dieses Jahres entdeckt und blockiert haben. Obwohl wir Google und Apple über diese neuesten Apps informiert haben, ist es wahrscheinlich, dass weitere auftauchen werden. Diese Betrüger sind rücksichtslos. Heute behaupten sie gegenüber den Opfern, dass ihre Konten gehackt wurden, um mehr Geld zu erpressen, aber in Zukunft werden sie wahrscheinlich neue Methoden der Erpressung entwickeln. Die beste Verteidigung gegen ‚pig butchering‘ ist das Bewusstsein für diese Betrugskampagnen. Wir ermutigen Benutzer, die misstrauisch sind oder glauben, Opfer geworden zu sein, uns zu kontaktieren“, sagte Gallagher.

The report, „Sha Zhu Pan Scam Uses ChatGPT to Target iPhone and Android Users,“ released today, details new schemes. Since May, Sophos X-Ops has been monitoring for this as the scammers refine their techniques by adding an AI chat tool, such as ChatGPT, to their tool collection. Criminal intimidation tactics have also expanded, with victims being told that their crypto accounts have been hacked and that even more money is now needed. Additionally, Sophos X-Ops has discovered that the scammers have infiltrated seven new fake cryptocurrency investment apps into the official Apple App Store and Google Play Store, again increasing the number of potential victims.

In 2022, investment scams caused the highest losses among all scams reported by the public to the FBI’s Internet Crime Complaint Center (IC3), totaling $3.31 billion. Cryptocurrency-related scams, including so-called „pig butchering,“ accounted for the majority of these frauds and led to a 183% increase over 2021 to $2.57 billion in reported losses last year.

Sophos X-Ops first learned of CryptoRom scammers using the AI chat tool, most likely ChatGPT, when an affected victim contacted the team. After making contact with the victim via the app „Tandem“ – an app that connects language learners with native speakers, which is also used as a dating app – the scammer convinced the victim to continue the conversation on WhatsApp. The victim became suspicious when she received a lengthy message that appeared to be partially written by an AI chat tool with a large language model (LLM).

ChatGPT for romantic chat in foreign languages.

„Since OpenAI announced the release of ChatGPT, there has been widespread speculation that cybercriminals could use it for their own malicious activities. We can now say that this is indeed happening, at least in the case of ‚pig butchering‘ scams. One of the main challenges for fraudsters in CryptoRom scams is to have convincing and persistent romantic conversations with their targets. These conversations are mainly conducted by ‚keyboarders‘ who are primarily based in Asia and have a language barrier. Using a tool like ChatGPT can be a more efficient and effective way to keep these conversations going and make the scams less labor intensive and more authentic. It also allows the ‚keyboarder‘ to interact with multiple victims at the same time,“ said Sean Gallagher, principal threat researcher at Sophos.

Invented hacks on crypto accounts

Sophos X-Ops has also discovered a new scam tactic used by fraudsters to extort additional money. Traditionally, when victims of CryptoRom scams try to claim their „winnings,“ they are informed by the scammers that they must pay 20% tax on their funds before withdrawals can be made. Recently, however, one victim revealed that after paying the „taxes“ to withdraw the money, the scammers now claimed that the funds had been „hacked“ and that another deposit of 20% of the sum was needed to make a distribution.

Using the same technique as earlier this year: seven new fake apps in official stores

Upon further investigation, Sophos X-Ops discovered seven fake cryptocurrency investment apps in the official Google Play Store and Apple App Store. These apps have seemingly innocuous descriptions in the app stores (for example, BerryX claims it has something to do with reading). However, once users open the app, they are confronted with a fake crypto trading interface.

To bypass the Apple App Store review process, app developers use the same technique first reported by Sophos in February 2023. They submit the app for approval using legitimate, everyday web content. Once the app is approved and published, they modify the server hosting the app with code for the fraudulent interface.

Many of these seven new apps use identical templates and descriptions, suggesting that the same one or two scam rings developed the scam.

Appeal to users: be suspicious

„Before the CryptoRom scammers were able to get their apps into the Apple Store, they had to use a cumbersome technical solution to target iOS users, which could get their victims‘ attention. Now, it is much easier for them to target iPhone users, which expands their victim group. These apps are also easy to recycle and reuse. In fact, the BerryX app seems to be related to the fake apps we discovered and blocked earlier this year. Although we have notified Google and Apple about these latest apps, it is likely that more will pop up. These scammers are ruthless. Today, they claim to victims that their accounts were hacked to extort more money, but in the future, they will probably develop new methods of extortion. The best defense against ‚pig butchering‘ is awareness of these scam campaigns. We encourage users who are suspicious or believe they have been victimized to contact us,“ Gallagher said.