סופוס (Sophos), חברת אבטחת המידע והסייבר המובילה וספקית פתרונות אבטחת סייבר כשירות, פרסמה סקירה חדשה בשם Sha Zhu Pan Scam Uses AI Chat Tool to Target iPhone and Android Users, ובה גילויים חדשים על הונאות מסוג CryptoRom, סוג חדש ומתוחכם של הונאת 'פיטום חזירים' (Pig butchering – 'שה זו פאן'), שמטרתן להערים על משתמשי אפליקציות היכרויות להשקיע במטבעות מבוזרים (קריפטוגרפים) דרך אתרי מסחר שנמצאים בשליטת פושעי הסייבר וכך לגנוב את כספם. 

במאי האחרון, הבחין לראשונה צוות Sophos X-Ops כי הונאות ה־CryptoRom הופכות למתוחכמות יותר וכי פושעי הסייבר הוסיפו לארגז הכלים שלהם גם צ'אטבוט מבוסס בינה מלאכותית (AI) כמו ChatGTP לביצוע ההונאות. עברייני הסייבר גם שכללו את שיטות העבודה שלהם ועברו לבצע סחיטה כפולה על ידי כך שהם מספרים לקורבנותיהם שחשבון המטבעות המבוזרים שלהם נפרץ ולכן עליהם לשלם פעם נוספת כדי שיוכלו למשוך את כספם. 

צוות Sophos X-Ops גילה גם כי עברייני הסייבר הצליחו לשתול שבע אפליקציות זדוניות בחנויות האפליקציות App Store ו־Google Play שמגדילות את מספר הקורבנות הפוטנציאלים ומקלות על ביצוע ההונאה. 

בשנת 2022, הונאות משקיעים גרמו להפסדים בסך כולל של 3.31 מיליארד דולר בארצות הברית לבדה, כשהן מובילות על כל סוגי ההונאות שעליהן דיווח הציבור למרכז לתלונות על פשעי אינטרנט (IC3) של ה־FBI האמריקאי. הונאות במטבעות מבוזרים (קריפטוגרפים), ובכלל זה הונאות מסוג 'פיטום חזירים', מרכיבות את חלק הארי של ההונאות, והן גדלו בשיעור של 183% לסך הפסדים של 2.57 מיליארד דולר לעומת שנת 2021.

כאשר אחד מהקורבנות האחרונים פנה אל סופוס, גילה צוות Sophos X-Ops בפעם ראשונה כי מבצעי הונאות

ה־CryptoRom החלו להשתמש בצ'אטבוט מבוסס בינה מלאכותית. ככל הנראה ChatGPT. לאחר שיצרו קשר עם הקורבן דרך אפליקציית לימוד השפה Tandem, המשמשת גם כאפליקציית היכרויות, שכנעו אותו פושעי הסייבר להמשיך את השיחה בוואטסאפ. החשד של קורבן ההונאה התעורר כשקיבל הודעה ארוכה שניכר שנוסחה לפחות בחלקה על ידי צ'אטבוט מבוסס בינה מלאכותית כמו ChatGPT הבנוי על מודלי שפה גדולים (LLM).

"מאז שחברת OpenAI שחררה את ChatGPT, הסברה הרווחת הייתה שזה רק עניין של זמן עד שפושעי הסייבר ירתמו את הכלי החדש לביצוע הונאות. זאת הפעם הראשונה שיש בידינו ראיות מוצקות לכך שזה אכן קורה כבר בשטח, לפחות בתחום ההונאות מסוג 'פיטום חזירים'. אחד האתגרים הגדולים של הונאות CryptoRom הוא הצורך לקיים שיחות משכנעות בעלות אופי רומנטי עם הקורבנות לאורך זמן. השיחות האלו נוהלו על ידי keyboarders, בדרך כלל מאסיה, כשלא אחת מחסום השפה עורר חשדות והסגיר את התרמית. שימוש בצ'אטבוט כמו ChatGTP מקטין את מאמץ ההונאה, מסייע לעבריינים לרכוש את אמונם של הקורבנות ביתר קלות ומאפשר לנהל שיחות עם כמה קורבנות במקביל", מסביר שון גלאגר, חוקר איומים ראשי בסופוס. 

בתוך כך, חשף צוות Sophos X-Ops שיטה חדשה שמטרתה לגנוב מהקורבנות סכום כסף גדול עוד יותר. בשיטת ההונאה המסורתית, כשביקשו הקורבנות של הונאת CryptoRom למשוך את כספי "הרווחים" שצברו, נאמר להם כי קודם כל עליהם לשלם מס רווחי הון בשיעור 20%. מסיפורו של קורבן ההונאה האחרונה אנחנו למדים כי לאחר העברת המקדמה עבור מס רווחי ההון, המציאו העבריינים סיפור לפיו החשבון של הקורבן נפרץ ולכן עליו להעביר מקדמה נוספת בשיעור 20% לפני שיוכל למשוך את כספו.  

העמקת החקירה הובילה את צוות Sophos X-Ops אל שבע אפליקציות זדוניות למסחר במטבעות מבוזרים שהצליחו פושעי הסייבר לשתול בחנויות האפליקציות App Store ו־Google Play. במבט ראשון, שום דבר באפליקציות האלו לא מעורר חשד או מסגיר את תכליתן האמיתית (כך למשל מוצגת אפליקציית BerryX כאפליקציית קריאה בחנות האפליקציות של האייפון). אך ברגע שהמשתמשים פותחים אותה, מוצג להם ממשק של פלטפורמת מסחר במטבעות מבוזרים שנמצאת בשליטת עברייני הסייבר. 

כדי להערים על תהליך הבדיקה ומנגנוני הפיקוח של חנות האפליקציות App Store של אפל, משתמשים מפתחי האפליקציה בשיטה דומה לזאת שחשפה סופוס לראשונה בפברואר 2023. כדי לא לעורר חשד, הגישו פושעי הסייבר את האפליקציה לאישור כשהיא מפנה לאתר לגיטימי עם תוכן מתאים לתיאור האפליקציה, ומיד עם אישורה ופרסומה בחנות האפליקציות שינו את הקוד כך שיציג את ממשק פלטפורמת המסחר הזדונית. 

קיים דמיון רב בין שבע האפליקציות האלו. רובן מתבססות על אותן תבניות ומשתמשות בתיאורים דומים, מה שמעלה חשד כי מאחוריהן עומדות קבוצה אחת או שתיים לביצוע הונאות מסוג 'פיטום חזירים'. 

"לפני שמצאו דרך לשתול את האפליקציות הזדוניות בחנות האפליקציות App Store, נאלצו מבצעי הונאות

ה־CryptoRom להשתמש בשיטות מסורבלות כדי לטרגט משתמשי iOS, מה שהיה עלול לעורר את חשדם של הקורבנות. עתה, כשהאפליקציות זמינות בחנות האפליקציות הרשמית, הקורבנות פחות חשדניים וקל יותר להונות אותם. יתרון נוסף הוא שמאוד קל לחזור ולהשתמש באותן באפליקציות עם שינויים קלים בלבד, כך שלא נדרש מאמץ פיתוח מיוחד. לשם המחשה, נדמה שיש קשר בין אפליקציית BerryX לאפליקציות הזדוניות שחשפנו מוקדם יותר השנה ומאז הוסרו מחנויות האפליקציות. אפל וגוגל יסירו גם את האפליקציות הזדוניות החדשות, אבל עד שזה יקרה סביר להניח שכבר יצוצו אפליקציות חדשות להחליפן. עברייני הסייבר לא נחים לרגע. היום הם מספרים לקורבנות שהחשבון שלהם נפרץ כדי לסחוט מהם עוד כסף, אבל בעתיד סביר להניח שהשיטות ימשיכו להשתכלל. הדרך הטובה ביותר להתגונן מפני הונאות מסוג 'פיטום חזירים' היא העלאת מודעות לסוג ההונאה הזה. במקרה של ספק, אם התעורר בך חשד או אם נפלת קורבן להונאה, נשמח לשמוע ממך, ללמוד על המקרה ולטכס עצה," מסכם גלאגר. 

מידע נוסף על השיטות החדשות שבהם משתמשים עברייני סייבר לביצוע הונאות מסוג CryptoRom אפשר למצוא בסקירה Sha Zhu Pan Scam Uses AI Chat Tool to Target iPhone and Android Users' באתר Sophos.com.