{"id":26926,"date":"2021-04-20T14:32:52","date_gmt":"2021-04-20T12:32:52","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=26926"},"modified":"2021-04-20T14:32:52","modified_gmt":"2021-04-20T12:32:52","slug":"cryptoscam-fake-antminer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/cryptoscam-fake-antminer\/26926\/","title":{"rendered":"Cryptoscam met nep-mining-apparatuur"},"content":{"rendered":"

De stijgende prijzen van cryptomunten hebben tot een grotere vraag naar mining-apparatuur geleid, maar COVID-19-beperkingen hebben op hun beurt voor een daling in het aanbod gezorgd. Het resultaat hiervan is dat er wereldwijd een tekort aan krachtige videokaarten en cryptomining-apparatuur is<\/a> met maandenlange wachttijden voor nieuwe leveringen. Cybercriminelen proberen zoals altijd ook een slaatje uit deze crisis te slaan.<\/p>\n

Zo hebben fraudeurs bijvoorbeeld cryptomunten van kopers afhandig gemaakt met gebruik van een populaire Google-dienst en een kloon van de website van een fabrikant voor mining-apparatuur.<\/p>\n

Hoe de scam in zijn werk gaat<\/h2>\n

Scammers en spammers hebben lang op Google-diensten vertrouwd<\/a> (Formulieren, Spreadsheets, Kalender, Foto\u2019s en andere) voor het verzenden van automatische meldingen naar iedereen waarmee de auteur van een bestand (of een kalendernotitie, enz.) het bestand heeft gedeeld of iedereen die erin genoemd wordt. De e-mail is niet afkomstig van de daadwerkelijke auteur maar van Google zelf, dus spamfilters laten deze e-mails normaal gesproken gewoon door.<\/p>\n

In dit geval ontvangen potenti\u00eble miners van cryptomunten e-mails waarin staat dat ze zijn genoemd in een Google Docs-bestand door een gebruiker met de nickname BitmainTech (de naam van de echte fabrikant van mining-apparatuur). De respectabele naam \u2014 @docs[.]google[.]com \u2014 in het veld Formulieren helpt ervoor te zorgen dat de ontvanger wat minder op zijn of haar hoede is. De weergegeven gebruikersnaam is wat de verzender wil dat het is, en het echte e-mailadres van de verzender blijft verborgen.<\/p>\n

\"\"

De e-mail luidt als volgt: \u201cBitmainTech heeft u in een document genoemd\u201d<\/p><\/div>\n

Het lokaas volgt in de vorm van een verkoopaankondiging van de mining-machine Antminer S19j. De scammers doen zich voor als de verkoopafdeling van Bitmain en melden dat de apparatuur beschikbaar is en besteld kan worden, maar dat er wel haast bij is: de voorraad is beperkt en levering gebeurt op basis van wie het eerst komt, het eerst maalt. De tekst staat vol met vertrouwenwekkende feiten en cijfers.<\/p>\n

\"\"

Nep-verkoopteam van Bitmain gebrruikt Google Docs om slachtoffers te informeren over de beschikbaarheid van Antminer S19j<\/p><\/div>\n

Dezelfde tekst verschijnt in het Google Docs-bestand, maar nu met een actieve link die slachtoffers via een reeks van doorverwijzingen naar bitmain[.]sa[.]com leidt, een kloon van de offici\u00eble bitmain[.]com-website (let op het verschil in de adressen). Een WHOIS-check laat zien dat het domein van de nepwebsite in maart 2021 werd geregistreerd<\/a>.<\/p>\n

Voor extra geloofwaardigheid gebruiken de cybercriminelen het HTTPS-protocol. Lezers van dit blog weten al dat HTTPS gegevens tegen onderschepping beschermt als deze van de gebruiker naar website worden verzonden, maar het is geen garantie dat een site bonafide is. Als de uiteindelijke site schadelijk is, betekent het gebruik van een beveiligd protocol alleen maar dat de gegevens op veilige wijze naar de cybercriminelen worden verzonden.<\/p>\n

\"\"

Nep-Bitmain-site met Antminer S19j-advertentie<\/p><\/div>\n

Op de echte Bitmain-website was de Koop-knop ten tijde van dit schrijven inactief, want de laatste batch van Antminer S19j was alweer vergeven. De site verwacht geen nieuwe leveringen v\u00f3\u00f3r oktober. Maar op de nepsite stopt u de gewilde mining-machine zo in uw winkelwagentje, en dat voor dezelfde prijs als de echte: $ 5017.<\/p>\n

\"\"

Op de nepwebsite kunt u de mining-machine zo aan uw winkelwagentje toevoegen<\/p><\/div>\n

Om te kunnen afrekenen moet het slachtoffer inloggen of zich registreren. Er zijn twee mogelijke redenen voor het implementeren van deze vereiste: voor extra authenticiteit of voor het bouwen van een database met adressen en wachtwoorden voor het hacken van accounts. Ondanks onze registratie (met gebruik van een e-mailadres voor eenmalig gebruik natuurlijk) ontvingen we nooit een registratiebevestiging.<\/p>\n

\"\"

Nep-Bitmain-authorisatiepagina<\/p><\/div>\n

Hoe dan ook: het systeem laat de gebruiker inloggen om de bestelling af te ronden. De loginprocedure ziet er vrij overtuigend uit.<\/p>\n

\"\"

De Antminer S19j zit in het winkelwagentje! Of toch niet?<\/p><\/div>\n

Bij de volgende stap wordt het slachtoffer gevraagd om een bezorgadres op te geven. Het kan zijn dat de scammers deze gegevens ook willen verzamelen om door te verkopen.<\/p>\n

\"\"

Een waarschuwing dat de fabrikant niet naar het vasteland van China kan verzenden op de Engelstalige website<\/p><\/div>\n

De meeste fabrikanten van mining-apparatuur, waaronder ook Bitmain, zijn in China gevestigd. Het verzenden van zware en dure apparatuur vanaf daar is niet goedkoop, maar de cybercriminelen brengen slechts zo\u2019n vijf dollar in rekening voor de verzending, ongeacht de bestemming en gebruikte dienst (UPS, DHL of FedEx).<\/p>\n

\"\"

Het kiezen van een bezorgdienst. De verzendkosten zijn $ 5,45, ongeacht de bestemming<\/p><\/div>\n

Vervolgens wordt het slachtoffer verzocht om een betaalmethode te kiezen. Ze moeten cryptomunten gebruiken, maar kunnen kiezen tussen BTC, BCH, ETH of LTC.<\/p>\n

\"\"

Het selecteren van een betaalmethode: Bitcoin, Ethereum, Bitcoin Cash of Litecoin<\/p><\/div>\n

De laatste en belangrijkste stap is het afronden van de betaling. De cybercriminelen verstrekken cryptowallet-details en waarschuwen dat de transactie binnen twee uur voltooid moet worden, anders wordt de bestelling geannuleerd. Let erop dat de verzendkosten, hoewel die nauwelijks iets voorstellen, niet op de rekening verschijnen.<\/p>\n

\"\"

In de totale prijs ontbreken de verzendkosten<\/p><\/div>\n

Nadat het slachtoffer afstand heeft gedaan van een aanzienlijk bedrag in cryptomunten, verdwijnt de schijn van legitimiteit als sneeuw voor de zon. Het persoonlijke account van de gebruiker bevat geen bestelgegevens en de knoppen zijn inactief.<\/p>\n

\"\"

De roemloze finale<\/p><\/div>\n

Zo beschermt u zich tegen scams<\/h2>\n

Om te voorkomen dat u zelf wordt gedupeerd, moet u waakzaam blijven en niet voor de hype vallen.<\/p>\n