Forex-Broker-Identitätstäuschungskampagne
Ein einzelner Bedrohungsakteur betrieb 12 Identitätstäuschungskanäle gegen einen regulierten Forex-Broker mit durchschnittlich 47 neuen Opfern pro Woche vor dem Eingriff.
Bedrohungslandschaft
Ein einzelner Bedrohungsakteur hatte 12 Telegram-Kanäle eingerichtet, die einen regulierten EU-Forex-Broker imitierten. Jeder Kanal verwendete offizielle Markenwerte, die von der Website des Brokers gescrapt wurden, und zeigte gefälschte 'Kontomanager', die gehebelte Trading-Signale anboten. Die Opfer wurden über einen Telegram-Bot geleitet, der Wallet-Einzahlungen für 'Margin-Anforderungen' verlangte. Der Akteur verwendete Einweg-SIM-Karten und auf Fragment gekaufte Telegram-Konten und rotierte die Kanäle alle 72 Stunden, um der automatisierten Erkennung zu entgehen.
Einsatzzeitplan
Tag 1
Netzwerkentdeckung
Benutzervarianten-Scanning (Levenshtein-Distanz) zur Entdeckung aller 12 aktiven Clone-Kanäle. Markierung von 3 historischen Kanälen, die gelöscht worden waren.
Tag 2-4
Zuordnung & Nachverfolgung
On-Chain-Nachverfolgung von Einzahlungs-Wallet-Adressen. Identifizierung von 2 verbundenen TON-Wallets mit Transaktionshistorie, die mit bekannten Betrugsclustern verknüpft ist. Entdeckung einer öffentlichen Telegram-Gruppe, in der der Akteur Kanalmitglieder rekrutierte.
Tag 5-7
Takedown & Störung
Paralleler Takedown über alle 12 Kanäle hinweg gestartet. Wallet-Adressen an Blockchain-Analyseplattformen zur Sperrliste übermittelt. Rekrutierungsoperationen durch Gruppeninfiltration gestört.
Tag 8-10
Überwachung
Die Nach-Takedown-Überwachung entdeckte innerhalb von 48 Stunden 2 weitere vom selben Akteur erstellte Kanäle. Beide wurden innerhalb von 6 Stunden nach ihrer Erstellung neutralisiert.
Eingesetzte Taktiken
Ergebnisse
Zurück zu den Fallstudien