數日前, XREX 一位印度用戶提幣的錢包地址,觸發系統防洗錢機制,提幣被系統阻擋。經團隊深度調查,發現該錢包屬投資詐騙團體,長期以高報酬比特幣投資為餌,自 2017 年底開始連續詐騙,最近一次,就有上千人受害,不法吸金超過 2,000 筆,共約 9,000萬台幣。
XREX 於此揭露此詐騙集團的國籍、惡意工具、程式碼、管理後台、共犯開發商、網域清單、IP清單、錢包清單、資金流向等,並已第一時間通知國際加密貨幣防洗錢組織 CDA。
調查報告總結:
-
受害人數:最近一次,全球超過 1,000 人受害,轉帳 2,079 筆。
-
不法吸金:最近一次,不法吸金 205.4925067 BTC(目前市價約9,000萬台幣)。
-
不法集團:奈及利亞 “Operation N-Fiverr”。
-
作案時間:2017 年至今。
-
共犯開發商:奈及利亞開發商 iPongDev.Tech,主要使用 PHP+Laravel。
-
網站:超過 30 個不同的獨立網站,但都是基於 iPongDev.Tec 套件修改而成。
-
竊取護照、註冊人頭戶:透過要求受害者入金前 KYC,竊取護照與個資,再去其他交易所註冊洗錢用的人頭戶。受害者不但被騙錢,更可能成為洗錢人頭。
-
吸金錢包:自有鏈上錢包與交易所錢包( Remitano、Gemini )混用, XREX 團隊目前調查到 48 組錢包住址,參閱文末附件二。
-
網域與 IP:目前調查到 49 組網域與 13 組 IP,參閱文末附件一與附件三。
提幣觸發防洗錢機制 系統即時攔截
一名 XREX 印度用戶申請提幣,提幣錢包觸發 XREX 使用的 CipherTrace 防洗錢模組,系統成功阻擋,我們也第一時間聯繫用戶,根據用戶提供的網域,立即對此可疑的高風險錢包住址 1BT5vBb9WKudUAX51jiWi3pAawobD3mZwM 展開調查並追蹤金流。
比特幣投資詐騙 高報酬引誘上鉤
此詐騙集團架設比特幣投資平台,引誘受害者註冊會員,平台會給受害者 20 美元獎勵金,再推給受害者不同等級的超高投報方案,最小投資金額從 1,000 美元到 50,000 美元不等。
當受害者獲得一定報酬,申請提幣時,詐騙集團會操作客服系統向受害者宣稱,依據其公司政策,用戶必須再充值獲利的 10% 到 20% ,才會核准用戶的提幣申請。即使再充值,詐騙集團仍會搬出各種理由,要求用戶繼續充值,例如要先支付交易手續費,才能核准提幣等等。
我們發現,即便受害者覺得有異,大多會自我欺騙,繼續投入資金,只求圓個高報酬的大餅夢。連續提幣失敗,受害者終將起疑,此時,客服(詐騙集團)開始拒絕回應,當然也不會處理任何提幣申請。
此 N-Fiverr 詐騙集團,委外開發多個投資詐騙平台,並提供受害者多種投資入金方式,包括比特幣、 以太幣、 Paypal 行動支付、銀行轉帳等。 用戶匯款後,由於網站沒有自動驗證充值機制,用戶必須自己把匯款紀錄拍照上傳。
高報酬、低風險、高額佣金,全都是詐騙集團的手法
N-Fiverr 詐騙集團利用高投報的投資方案,以每天能有 30% 以上投資收益為誘餌,再以介紹人可獲取高額佣金為輔,吸引更多用戶註冊。基本上,不管商品如何包裝,只要是每日 10% 投報率或每月 10% 投報率以上,又號稱低風險、幾個月內就回本,都必須警覺,這都是詐騙集團的話術。
N-Fiverr 成員會分工扮演投資經紀人,經常在社群媒體網站,如 IG 或臉書上發文,內容不外乎是高獲利投資收益截圖、如何快速致富、快速達到財務自由等,並盜取他人照片,以跑車、豪宅與名人合照,營造紙醉金迷的幻想,引人上當。
利用共享虛擬主機 詐騙集團擁有超過30組網站
進一步分析,我們想知道,N-Fiverr 如何操作?吸金多少?又有多少人受害?經過資料的多重比對,我們發現 N-Fiverr 不只經營一個詐騙網站。
N-Fiverr 大部分都把網站放在共享虛擬主機下,我們發現其中在一家使用 Hostinger 的共享虛擬主機,他們在上面就擁有超過 30 個網站,且都使用同一套系統,只是每個網站長相不同,後台機制全都一樣。
透過這些網站的共通性,再借助 Google大神 ( Google Hacking) 來收集資料,我們發現一些受害者之前的通報,其中一個被通報的詐騙網站上,存在目錄列舉漏洞,也讓我們意外發現此詐騙團體研發使用的詐騙網站原始碼。
工具開發商共犯也在奈及利亞
由於詐騙網站功能齊全,我們很好奇,這些網站系統,是詐騙集團自己開發的,還是向某公司購買原始碼?經過我們追查來源,此詐騙集團是向一家奈及利亞接案公司 Ipongdev.tech 購買投資平台原始碼,並委託他們客製化成詐騙網站。
Ipongdev.tech 提供 4 種類型系統,都是使用 PHP + Laravel 開發。在 K 線圖和其他圖表上,則使用 TradingView 和 coinlib.io。
從詐騙網站的後台,可以看到這些受害者的充值紀錄、匯款後的匯款圖片證明、以及提幣申請。有趣的是,所有提幣申請狀態都是「等待處理中」(Pending),根本沒有人成功提款。為什麼?因為這就是一個投資騙局,詐騙集團一定不會讓受害者成功提幣。即使這些受害者發問了好幾百次,詐騙集團就是完全不回應。
受害者個資遭盜用 淪詐騙集團洗錢人頭戶
一收到受害者充值,詐騙集團就立刻把錢轉到個人錢包或交易所。有趣的是,我們發現他們也會讓用戶充值到交易所的錢包,如 Remitano 和 Gemini。我們認為,這些交易所的錢包都是人頭戶。
受害者在註冊詐騙平台帳號時,平台會要求 KYC,請受害者提供護照與其他個資,然後 N-Fiverr 集團再利用這些資料到較不嚴格的交易所開人頭戶。取得人頭戶後,再用人頭戶的錢包,做為非法吸金與洗錢用的錢包。因此,受害者不只被 N-Fiverr 集團詐騙,之後還有可能因淪為洗錢人頭戶,被執法單位調查。
此詐騙集團擁有的一個錢包,最早從 2017 年 12 月就有充值紀錄,我們猜測,他們從 2017 年 12 月就開始詐騙,一波一波,一直到現在還在犯案。
經過我們初步統計,此詐騙集團最新一波詐騙,網站總註冊人數超過 1,000 人,共有 2,079 筆充值紀錄,受害人被騙了 205.4925067 顆比特幣(約 9000 萬台幣)。
為了防止更多人受騙,XREX 公開目前所做的調查發現。雖然此次我們客戶提幣,觸發 XREX 防洗錢系統成功擋下,並未受害,我們仍將使用金流追蹤工具,持續鎖定此詐騙集團金流,調查分析其不法行為,防止更多人受害。若有任何新發現,將再次發文。
如您有發現任何加密貨幣相關的詐騙,歡迎與我們分享: secops@xrex.io 、@huangwayne,希望大家一起研究調查,徹底揭露這些詐騙集團,增進加密貨幣防洗錢社群的特徵資料庫。
附件一:Operation N-Fiverr 集團詐騙網域清單
bitcointradex[.]com
24bitchainmining[.]com
216liveoption[.]com
fxltetrade[.]com
cryptoprofitmaking[.]com
tradeoptionfx[.]com
trade[.]fxltetrade[.]com
trade365forex[.]com
forexcryptotrading[.]com
coinfxtrade[.]com
app[.]365coinoptions[.]com
www[.]fxbitcoinhub[.]com
coin24option[.]com
reliabletradeoptions[.]com
hugowayfx[.]com
tradebitcoinclubfx[.]com
bitforex24trading[.]com
fastcoinoption[.]com
365coinoptions[.]com
360liveoption[.]com
authorisedfxb[.]com
362tradesfx[.]com
44optionsfx[.]com
www[.]bit-primer[.]ltd
247paytrade[.]com
24forextradeoption[.]com
362liveoption[.]com
bit247options[.]com
forexoptionslive[.]com
fxbitcointrades[.]com
fxbrokerstm[.]com
fxstockstrades[.]com
stocknforex[.]com
cmcoptions[.]com
fxtradeunique[.]com
fxpaytrade[.]com
swifttrade247[.]com
unitedinvestmentcapital[.]com
tradexpremium[.]com
附件二:Operation N-Fiverr 集團詐騙錢包地址清單
12g2Dv756ayP7mmbXogaAE9EQeyyCUrSVR
152c4AfU5Q5Uh5SxVhjvMr85EBFT6XHzZy
15Kn9mUTzEwUen8zGgziazkPWwwyqTJNwC
15pQ83mfvLzs3E8uL17cZe7nDjfGN6NSKi
17CoLC6LVthEzyQC2oBX3mZxYLNPoz6ii6
18qWgXXttdN7QnrDy6XQhYTCobCwWBXjAw
19on4qXP4t6jf13gEfjgsPidQnvMdARKFh
1AmreEqxqaRowCdfcrqBmpxAvZwoqSaXAS
1AnFwUYT9UvkZZT2FoxTygyuP1PBfoyKW6
1AX2aXX6RWLzH6ZKFRHQXgjG8e3k5HyXpF
1BFPyMohqgdR4L6yibnoJqt3rxBK6xwakQ
1Bi2qvtibUCUSRGkWSRCnngV3hx3a6Fici
1BT5vBb9WKudUAX51jiWi3pAawobD3mZwM
1CdkyVQdh9w9WYMqbeiv9CWUXaoGmbUXEG
1DevmdaCCmuTfDw4FMdQwZzVe5pjTctE9j
1DTHCNVNaq6oGDXQXyPpspQoxDx8kRzdh1
1EfjgV217fDc9Kgt1PehmiV7TzistXEKX
1FjE7xCFNWpkxr6rH1j1GTrh38cUXezCkh
1FkCigBQiBzGZWWhJd9JwVjPFvYiVq6Zau
1FUG8fxsXtDGiFEg3RhfHqHPfMrV1yPNPc
1G7ViACQm5EqC21NYiWcSobGNvsg8Qgm99
1GTQiEaFSa6NMEffLbswzRD3o6PbYCBeD6
1HHinM5mbSeWNqADq822bYcirRNZmYw4Zp
1JG171jEfdo648Fvu8ekvLGUXUkdicazQC
1JKQnLm9xMN9pWiU9dYAjzhQa5swXk3wy8
1JyrkMsZNAToa94D9bqBR1WiC8g2orhiAW
1LaAgjZXcBJfXv1okEAXm4aCwENpSW1YFm
1LGuVkkUcxbyj5JtRo1TKyGEQV7LvhXnVF
1M5nPTDw8R8xAeXCy1P1ur6vVVRrBy1UcC
1P6noGHxYnouPPPFwE51YNB5qpadjNrMK6
1PnBSSZB2G2h96Mct7c1yQCtYksRJBRah3
1QH5V4n1XTJ4XvoPWTESwaotMgNQyk3Ma4
1RbgPxtnmQcVHdjuayYna5N6NTvbA9Yjd
32V1Jb9V42iXXip7jNYPzTwHAEha5PvxfY
34JzmxCYSFANjH5zdNYnYkc1YtcDzPzXNp
34PMa5tZgY4kMa7RiUTLGMrxkZvG1FkhVQ
35956a1Jwpx3XEaMYthBkWRibmxMoZ3owL
376SCgAAyy3om6c2v5dfZ5etYKwSC94D9C
37C28qoBx1D3ZdwjabgoCg525ZnWqwCRXV
39NiYSU4s73MFpxdHGqB365DYo3dFUFiD2
3BqSuVo11Xnq3k8qa3Kx6rv5im8zqz2dmU
3MvkG4qEz721b38SAk6kadzo99rBMYNDbh
3PjnVyDJqNYgh2kZ5YYzuWvVt3WuTr334a
1JAGYVTLbHYkAxyjfReFT8pjJABVYpnrDn
1N2ZPCeNJAtDRqE58nDNevRqdqV6w4uEgr
17HphcjnWLe3p4yv1bQX6mTqfpbgw8kBT1
1F52dWnX1AUwymHytYMN9XYXnAZgrhKhkA
1PzCz4fRMVUe5o3G8dqY63AG5Knaw2i3gF
13QdgoZ1uq5YMmVr14CHDbb9BDDxpwcK5e
15HhFZat5syJjSfZYefK1eutwYVWYyqy36
1AtgQRK2eDUtHakDApiynMfXrbNyaBjkVH
19dofMuyFRqDzC2HKh4bdUTht1Z6ojcGk5
13tauoqZ6ahtD7QSXkh7HcBr8HHb3v6sL5
16Suicij1cL4zjfftwiZ8PQpioKvjz5Qkb
14yfrcJDMxxFngAi9wfJ3X9Lqp6xEcFdwf
1EHdaQgGDVmXodh7oNdx4w1C4qiU4huVNm
1DKWmbfnhRHAo7XNc9UfsxsjzR98RzQ8cq
3BDPsuHKDFSjJAWGv4vEa72hmyT8knNJ3G
bc1qcpz9uu2mmsz4t8rrc9mswf9p8sprtknvxa33rh
0x0739fab47330C010ac1393E03D4e59691F286c16
0xad818dec93e9556f8c3c79b209733488496bf13c
0x0A8dA2C6Bd97134e73E7dC2f994A47Dcba21D368
0x9952d8a15db20a0e537a29096f5be448a6959e35
附件三:Operation N-Fiverr 集團IP地址清單
IP, Country, ASN
197[.]210[.]64[.]135, Nigeria, AS29465
197[.]210[.]28[.]149, Nigeria, AS29465
197[.]210[.]71[.]85, Nigeria, AS29465
197[.]210[.]54[.]202, Nigeria, AS29465
197[.]210[.]55[.]59, Nigeria, AS29465
197[.]210[.]226[.]133, Nigeria, AS29465
197[.]210[.]84[.]119, Nigeria, AS29465
197[.]210[.]54[.]162, Nigeria, AS29465
105[.]112[.]75[.]23, Nigeria, AS36873
105[.]112[.]97[.]190, Nigeria, AS36873
105[.]112[.]108[.]236, Nigeria, AS36873
105[.]112[.]101[.]160, Nigeria, AS36873
129[.]205[.]124[.]114, Nigeria, AS37148
作者:Sun Huang, Wolf Chan, Wayne Huang, Yoyo Yu @ XREX
更多 XREX 團隊防洗錢報告:XREX 上線七週,偵測到第一件可疑比特幣
熱門新聞
2024-12-10
2024-12-08
2024-12-10
2024-12-10
2024-11-29
2024-12-11
2024-12-10