A Sophos, empresa na qual trabalho no Brasil, divulgou recentemente novas informações sobre uma grande operação de pig butchering, na qual golpistas usaram falsos pools de negociação de criptomoedas – conhecidos como pools de liquidez, que são mecanismos com diferentes participantes e ativos para facilitar a negociação e aumentar a liquidez de um determinado mercado ou plataforma – para roubar mais de US$ 1 milhão.
Um relatório, intitulado “Latest evolution of ‘pig butchering’ scam lures victim in fake mining scheme”, detalha a história de uma das vítimas enganadas, chamada Frank – nome fictício utilizado por proteção à privacidade da pessoa. Ele perdeu US$ 22 mil em uma semana após um golpista, que se passou por uma mulher chamada Vivian, entrar em contato com ele pelo aplicativo de relacionamentos MeetMe.
Depois que a equipe do Sophos X-Ops, unidade multioperacional da companhia, investigou a história, foram descobertos 14 domínios associados à operação fraudulenta, bem como dezenas de sites maliciosos quase idênticos que, juntos, renderam a esse grupo de golpistas mais de US$ 1 milhão em três meses.
Os golpes de criptomoedas não, necessariamente, precisam mais de malwares para serem aplicados.
O golpe em questão tira vantagem do universo não regulamentado das finanças descentralizadas (DeFi), que é realizado por meio de aplicativos de negociação de criptomoedas. Esses apps criam pools de liquidez de vários tipos de moedas virtuais que os usuários podem acessar para fazer negociações de uma para outra. Aqueles que participam do pool recebem uma porcentagem de qualquer taxa paga quando uma negociação é feita, criando um retorno atraente para os investidores.
Para fazer parte de um pool, primeiramente, os participantes precisam assinar um contrato online, que dá à outra conta (normalmente dos operadores do pool) permissão para acessar as carteiras dos demais integrantes para facilitar as negociações. Os pools falsos, que os golpistas utilizam cada vez mais para desviar fundos das vítimas, funcionam praticamente da mesma maneira. No entanto, ao contrário dos legítimos, em algum momento os criminosos “puxam o tapete” e desviam o dinheiro para si mesmos.
Quando esses falsos pools de liquidez foram descobertos pela primeira vez, eles eram bastante primitivos e ainda estavam em desenvolvimento. Agora, vemos criminosos pegando esse tipo específico de fraude de criptomoedas e integrando-o perfeitamente ao arsenal de táticas, como tentar atrair vítimas por meio de aplicativos de relacionamento, por exemplo.
Poucos entendem como funciona o comércio legítimo de criptomoedas e, por isso, é muito mais fácil para os golpistas enganarem as pessoas. Existem até kits de ferramentas para esse tipo de golpe, facilitando que diferentes operações de pig butchering adicionem fraudes de criptomoedas aos manuais de ataques. Para se ter uma ideia, no ano passado, a Sophos rastreou mais de 500 sites fraudulentos que tinham esse propósito.
O Caso Frank: app de relacionamento usado para golpe
Frank havia se conectado, por meio do aplicativo de relacionamento MeetMe, com um golpista que se passava por uma mulher alemã chamada Vivian, que supostamente morava em Washington, D.C. Durante semanas, ele conversou com Vivian, que misturou suas promessas românticas com tentativas persistentes de convencê-lo a investir em criptomoedas.
Eventualmente, Frank abriu uma conta Trust Wallet – aplicativo legítimo para converter dólares em criptomoedas – e conectou-se ao link do pool de liquidez recomendado por Vivian. O que ele não esperava era que o site fosse fraudulento e utilizava a marca Allnodes como fachada, que é um fornecedor de plataforma financeira descentralizada.
Entre 31 de maio e 5 de junho, Frank investiu US$ 22 mil no esquema. Três dias depois, os golpistas esvaziaram a carteira digital da vítima que, procurando recuperar seu dinheiro, recorreu a Vivian, que alegou que precisava investir ainda mais no pool para recuperar seus fundos e colher as “recompensas”.
Enquanto esperava que seu banco autorizasse uma transferência financeira para a Coinbase – plataforma legítima para compra, venda, transferência e armazenamento de criptomoedas –, Frank começou a pesquisar o que estava acontecendo e se deparou com um artigo da Sophos sobre mineração de liquidez. Foi neste momento que ele entrou em contato conosco e pediu ajuda a Sean Gallagher, pesquisador da companhia.
Mesmo depois que Gallagher instruiu para Frank bloquear Vivian, o golpista disfarçado o encontrou no Telegram e retomou as tentativas de induzi-lo a “continuar seu investimento”, chegando ao ponto de enviar uma longa e emotiva carta que, muito provavelmente, foi criada por meio de um aplicativo de IA generativo.
O que torna esses ataques particularmente complexos é que eles não exigem a instalação de nenhum malware no dispositivo da vítima. Eles nem sequer envolvem um aplicativo falso, como alguns dos que encontramos em outros esquemas de CryptoRom, por exemplo. Todo o pool de liquidez falso foi executado por meio do app Trust Wallet.
Em determinado momento, Frank até tentou entrar em contato com o suporte do app para recuperar seu dinheiro, mas se conectou com um contato falso do site fraudulento de pool de liquidez. Não há regulamentação desses pools, sejam eles legítimos ou não, nos aplicativos de criptomoedas. Os golpes só têm sucesso por meio de engenharia social – e eles são persistentes. Vivian continuou tentando entrar em contato com Frank por semanas depois que ele a bloqueou no WhatsApp.
A única maneira de se proteger contra esses golpes é estar vigilante, saber que eles existem e como funcionam. É por isso que é importante compartilharmos esta história de Frank. Os usuários precisam ser cautelosos com qualquer desconhecido que entre em contato repentinamente por meio de aplicativos de relacionamento ou redes sociais, especialmente se a “pessoa” quiser levar a conversa para uma plataforma como o WhatsApp e depois discutir investimentos em criptomoedas.