Így épül fel egy profi BitCoin Loophole kampány

2020. augusztus 10-én szélesebb körű nyilvánosságot kapott az eddigi legnagyobb hazai BitCoin Loophole kampány, amikor több hazai médium is felhívta a figyelmet, hogy a 24.hu internetes újság arculatával megjelenő oldal Csányi Sándor nevével visszaélve próbálja meg kicsalni az extra nyereségre vágyók pénzét. Az Alverad Technology Focus által készített tanulmány célja, hogy nyilvános forrású információgyűjtés (OSINT) segítségével megállapítsa a kampány esetleges előzményeit és nemzetközi kapcsolatait, működési metódusait, terjedési sémáit, valamint összefüggést találjon az álhírek (fake news) és a különféle, kriptovalutákat és kereskedési platformokat felhasználó internetes csalások és átverések (scam) között. Cikkünkben a fenti tanulmányból közlünk részleteket.

MI AZ A BITCOIN LOOPHOLE?

A Bitcoin Loophole egy jól ismert, a Bitcoin kereskedelmére épülő átverés/csalás (scam), amely 2018-ban vált ismertebbé, és amelyre már több fraud-monitoring és csalás-elleni szervezet is felhívta a figyelmet. A Bitcloin Loophole magát irreálisan magas hozamokat ígérő, mesterséges intelligenciával-támogatott kereskedési rendszernek állítja be, amely a valóságban csak arra szolgál, hogy a befektető pénzét kicsalja.

Nemzetközi szinten több kormányzati intézmény is figyelmeztet a csalásra, például az angol pénzügyi felügyelet (FCA) 2018. júniusában tette közzé a Bitcoin Loophole-al kapcsolatos jelzését, a szingapúri pénzügyi felügyelet (MAS) pedig 2019. júliusában jelentett meg egy értesítést, mert a szingapúri felügyelet elnökének (és korábbi miniszterelnöknek) nevét használták fel a szolgáltatás reklámozására.

A Magyar Nemzeti Bank oldalán elérhető olyan kereső, amely a társfelügyeletektől érkező figyelmeztetéseket tartalmazza. A keresőben a Bitcoin Loophole neve még nem szerepel, azonban megtalálható több olyan szolgáltatással kapcsolatos nemzetközi figyelmeztetés, amelyek közvetlenül is kapcsolatba hozhatók a Bitcoin Loophole-al (például Bitcoin Revolution, Bitcoin Era, Bitcoin Evolution).

A CSÁNYI-KAMPÁNY

A Csányi Sándor nevét felhasználó Bitcoin Loophole scam hazai megjelenésével kapcsolatban a legkorábbi információ 2020. augusztus 7-ről származik, egy Index.hu fórumban bukkant fel a https://newsline.to/sandor-csanyi-reveals-wealth-secret-hu/ link. A Bitcoin Loophole szélesebb körben 2020. augusztus 10-én vált ismertebbé, amikor több hazai befektetési és híroldalon megjelent, hogy Csányi Sándor nevével reklámoznak Bitcoin-alapú kereskedési és befektetési lehetőségeket.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A különféle híroldalak és szakportálok is kiemelték, hogy a scam a 24.hu internetes hírportál arculatát felhasználva „szinte tökéletes magyarsággal, profi módon” lett kidolgozva. A tartalomtól (hiteltelen és hihetetlen nyereségű ajánlat) eltekintve a nyelvezetből feltételezhető, hogy nem egyszerűen csak fordító programmal készült, bár a bevezetőben szereplő „áhítatlankodnak” kifejezés, valamint néhány megfogalmazás, például „A történelemben még soha nem volt ilyen csodálatos lehetőségünk, amit a hétköznapi emberek könnyen kihasználhatnak, hogy óriási vagyont halmozzanak, ilyen rövid idő alatt.” árulkodhatnak arról, hogy megtévesztő és csalási szándékú oldalt lát az olvasó.

A Csányi Sándor nevét felhasználó Bitcoin Loophole álhírnek és scam-nek létezik korábbi változata is, amely nem a newsline.to oldalon jelent meg, hanem az olkt.net oldalon. A OLKT verzió és a híroldalak által felkapott newsline.to verzió között nyelvezeti és szövegezési szempontból eltérés nincs, a legszembetűnőbb különbség az „áhítatlankodnak” kifejezés hiánya a címsorban, tehát feltételezhetően ugyanannak a kampánynak a részei. Ezt erősíti meg, hogy az OLKT verzióban a linkek a https://newsline.to/sandor-csanyi-reveals-wealth-secret-hu címre mutatnak (ez az URL nem elérhető, azonban ugyanerről a szerverről jelenleg is elérhető a megfelelő ajánlóval a https://newsline.to/hu-sandor-csanyi-loophole URL.

Az OLKT oldalon, illetve https://newsline.to/hu-sandor-csanyi-loophole oldalon megjelenő tartalom közötti kapcsolat a felhasznált képi elemek vizsgálatával is megerősíthető. Bár az OLKT tartalom esetében csak egyetlen kép került kiemelésre, míg a newsline.to sokkal több képet tartalmaz, közös pontként határozható meg a Csányi Sándort ábrázoló fotó. A képek csak hasonlóak, azonban mindkét fájlnévben szerepel az „andrewf” karaktersor, amely hasonlóság nem véletlenszerű (feltehetőleg egy, az Andrew Forrest nevével visszaélő kampány sablonjának másolata).

A Csányi Sándor nevét felhasználó OLKT tartalom a „hitelességet” erősítve a Ma reggel műsorvezetőjére, Ábrahám Violára hivatkozik, ezért a Google-ban az OLKT oldalát megadva és a „műsorvezetője” kulcsszóval kiegészítve egy 2020. július 9-i tartalom is megjelenik, amely Karácsony Gergely nevét használja fel a Bitcoin Era scam reklámozására. A Karácsony Gergely nevét felhasználó Bitcoin Era scam ugyanakkor nyelvezetében sokkal primitívebb, mint a Csányi Sándor nevével operáló Bitcoin Loophole, ezért feltehetőleg egy korai változatról van szó, amely esetében egyértelműnek tűnik, hogy egy külföldi személy nyelvi fordítóval készítette a tartalmat.

SCAMEK SABLONBÓL

A kampányok vizsgálatakor korábban feltételezésre került, hogy valamilyen sablonrendszert használnak az álhírrel operáló landing oldalak tartalmainak megjelenítésére. A Csányi Sándor nevével visszaélő Bitcoin Loophole oldal részletesebb vizsgálatával ez a feltételezés igazolható. Az oldal forrásának vizsgálatakor tapasztalható, hogy az oldal kódja nehezen olvasható és értelmezhető. Első ránézésre hiányoznak belőle a szöveges tartalmak, és azok a képi elemekre történő hivatkozások (például a side3.jpg), amelyekkel az oldal böngészésekor találkozhatunk. Az oldal kódja meglehetősen modern, nem hagyományos HTML szerkesztővel készítették, hanem a Webpack4 nevű, webes alkalmazások frontend felületinek fejlesztéséhez is használt eszközzel.

A Burp eszköz segítségével és webkiszolgálóval történő kommunikáció elemzésével a kód értelmezése és a JavasScript állományok „dekódolása” nélkül is hasznos információhoz lehetett jutni. Így többek közt megállapítható, hogy az oldal valóban sablonra épül, a Webpack4-alapú, JavaScript kódok töltik be, aktualizálják és jelenítik meg a sablon állományban található tartalmat.

A nyilvános forrású információgyűjtés eszközeit és módszereit felhasználva egyértelműen megállapítható, hogy mind a nyelvi elemek, mind pedig az oldalak készítéséhez használt modern technológiák alapján a https://newsline.to/sandor-csanyi-reveals-wealth-secret-hu és a https://newsline.to/hu-sandor-csanyi-loophole oldalak ugyanannak a kampánynak a részei, tartalmukban, technológiájukban megegyeznek és feltehetőleg ugyanaz a személy helyezte el és működtette az oldalakat.

Az átirányításokat vizsgálva az is kiderül, hogy a csalók nem csak Csányi Sándor nevével éltek vissza, lényegében ugyanerre a sablonra építve Mészáros Lőrinc és Soros György neve is megjelenik az álhíroldalakon. 

TERJEDÉS, REKLÁMOK

A korábbi kampányok, például a Karácsony Gergely nevében visszaélő Bitcoin Era és Bitcoin Revolution esetében is tapasztalható volt, hogy az aktorok a tartalmakat a Google hirdetési felületein népszerűsítik. Bár csaló hirdetések lejelentésével ezek a reklámok viszonylag gyorsan lekapcsolhatók (a Google többnyire ilyenkor a hirdetői fiókot is letiltja), az ilyen hirdetések megjelenhetnek egyébként olyan megbízható oldalakon is, amelyek a Google AdSense szolgáltatását beépítik oldalaikba.

A Facebook 2019 óta küzd a különféle kriptovaluta-csalásokkal operáló hirdetésekkel, például 2019-ben nagy port kavart az Abu-Dhabi koronaherceg nevével visszaélő Bitcoin Loophole kampány, amely a Facebook hirdetési platformját használta a terjedésre. A kampány meglehetősen sikeresnek volt mondható, rengeteg befektető adott meg személyes adatokat, illetve utalt pénzt a kampány mögött álló ukrán és argentin csalóknak.

VÉDEKEZÉS

A fentebb ismertetett Bitcoin Loophole, illetve a bemutatott kampány csak egy, a különféle kriptovalutás csalások közül. Akár sok száz vagy több ezer hasonló, a kriptovaluták népszerűségét kihasználó csalás létezik, amelyek felderítéséhez rengeteg erőforrásra van szükség.

A csalók láthatóan fejlett, jól működő rendszereket használnak, amelyek összehangoltan és automatizáltan működnek. A sablonrendszer és az affiliate azonosítók használata feltételezi, hogy egy partnerprogram-jellegű hálózat áll a Bitcoin Loophole (és a hasonló kampányok) mögött, ahol a „partnerprogram” résztvevői a működtetőtő infrastruktúráját (sablonok, templatek, átirányítók és központi oldal) használják, és nekik csak az álhírtartalmak gyártása (amelyhez a sablonrendszer rendelkezésre áll), és a reklámok kihelyezése a feladatuk, amelyért cserébe részesülnek a bitcoinloophole.bestoffers.to oldalra vezetett látogatóktól kicsalt összegekből.

Felmerül a kérdés, hogyan lehet védekezni az álhírekkel ötvözött és csalási szándékkal létrehozott oldalakkal szemben? Jelenleg nem létezik olyan technológia, amely képes lenne az ilyen tartalmakat kiszűrni. Ha csak az álhíreket vizsgáljuk, megjelentek már a mesterséges intelligencia felhasználására tett törekvések, azonban az ilyen megoldások még gyermekcipőben járnak, a közeljövőben nem jelentenek biztos védelmet.

A hír- és tényellenőrző szolgáltatások (fact checker) ma még az emberi erőforrásokra támaszkodnak, de maguk sem tökéletesek, nehezen zárják ki azokat az emberi tényezőket, amelyekkel a mesterséges intelligenciáknak nem kell megküzdenie (például a tényszerűséget erodáló érzelmeket és szubjektivitást).

A leginkább működőképes megoldásnak a felhasználók (internethasználók) biztonságtudatosságának fejlesztése látszik. Az értő olvasás mellett a felhasználónak tisztában kell lennie a rá leselkedő veszélyekkel, és át kell látnia a „fantasztikusan jó ajánlatok” manipulatív kommunikációján.