Tudo começa num website de notícias, onde no dia 14 de janeiro de 2019 foi publicada uma notícia que pretende encorajar as vítimas a investir numa nova estratégia de ganhar dinheiro sem sair de casa.
Quando essa hiperligação é acedida através de um navegador de Internet com um user-agent relativo a um computador, é apresentada a página acima, e o conteúdo apresentado à vítima não passa de uma simples notícia e que não disponibiliza qualquer hiperligação maliciosa.
Por outro lado, se o user-agent do navegador de Internet utilizado for referente a um dispositivo móvel, a landing page entregue pelo servidor é totalmente diferente (como pode ser observado na imagem abaixo utilizando o Mozilla Firefox para simular esse comportamento).
Esta landing page, disponível através do dominio “diverseissue.com“, quando acedida com um user-agent mobile apresenta um conteúdo totalmente diferente do anterior — uma técnica utilizada pelos scamers na tentitiva de dificultar a análise dos analistas.
Como pode ser observado na imagem seguinte, a landing page alvo é carregada de um outro domínio através de uma iframe.
A equipa do SI-LAB foi investigar o scam, e verificou que ao tentar aceder à hiperligação contida na iframe, é automaticamente redirecionada para uma segunda hiperligação contida no website inicial, em:
https://diverseissue.com/landvienvietis/car-bw.html?cep=ZTdn_73ApzlALWxsvfbrZVGm4lEzaHJ8PyWjsl8syRCdSFVixCF5fi6XjbSkOmwH7mz7sw2KXivhpZSCB4xc6XNifm52N1ijPSXKUtA5uWGKrdX2P7_gFVw23m2WaSgnY9zJERVwoTYHuyor1ZE2xH5PNm4aRy53v1B5GgsZrBkqymgmlc6u81VT4zINhD3vntsDmx-WzxhPm3XpGwqOoMPbKrEwkxxXL6yeiI9iuAQ&adset=&adid=&gender=&age=&placement=&interest=&ac=&px=&a1=&b2=
A página maliciosa é apresentada num diretório especialmente criado e denominado “landvienvietis/car-bw.html“.
https://diverseissue.com/landvienvietis/car-bw.html
A landing page é então entregue às vítimas e todas as hiperligações contidas nessa página direcionam para uma página de registo de conta numa plataforma de criptomoedas — como é possível observar através do código fonte da página.
A landing page foi de tal maneira cristalizada pelos scamers que o conteúdo partilhado apresenta poucos erros gramaticais, no entanto, é importante realçar que o nº. de partilhas e comentários destacados no inicio da página é sempre o mesmo valor estático, e a data de publicação da notícia é alterada para a data de acesso da vítima sempre que este acede à página.
Segundo o conteúdo disponibilizado no scam, o utilzador tem que fazer um depósito inicial na plataforma de €250 e o algoritmo de negociação irá funcionar e gerar muitos dinheiro sem sair de casa.
Para encorajar as vítimas a investir nesta fraude, é apresentada também uma referência ao pivot da RTP, João Fernando.
Para demonstrar o poder da plataforma, o Carlos convenceu o João Fernando a depositar 250 € em direto no programa de TV.
Após fazer o seu depósito inicial de 250 €, a plataforma de negociação começou a funcionar comprando em baixa e vendendo em alta. Em 3 minutos, conseguira aumentar os seus fundos iniciais para 483,18 €. Trata-se de um lucro de 233,18 €.
Os scamers escrevem ainda a seguinte mensagem personificando o pivot:
Todas as pessoas no programa, incluindo o pessoal da produção, ficaram de imediato impressionadss com a facilidade de fazer dinheiro. A plataforma trata automaticamente de todo o trabalho de negociação e, devido ao preço da Bitcoin ser bastante volátil, há muitas oportunidades de lucrar.
Segundo os scamers, “João” conseguiu fazer um lucro de € 233.18 após 3 minutos. No entanto, com Carlos o processo demorou muito mais.
Já Carlos Areia, conseguiu um lucro de 70% nas negociações, um resultado liquido de €7.300.59.
Os scamers dizem que há três passos para começar:
1. Inscreva-se Numa Conta Gratuita
2. Deposite o Mínimo de 250 €
3. Use A Plataforma de Negociação de Bitcoin Para Obter Lucros
No final da página, são apresentados comentários falsos que visam encorajar as vítimas também a fazer parte desta fraude.
Todas as hiperligações da landing-page remetem a vítima para a página final de investimento: https://the-cryptorevolt.com.
Ao investigarmos na Internet indicadores sobre essa plataforma de investimento “the-cryptorevolt.com“, facilmente percebemos que é uma fraude.
Deixamos também uma análise terceira como referência aqui.
Aos utilizadores, sugere-se uma maior atenção e sensibilidade para este tipo de fraude, pois tal como em 2018, muitos utilizadores foram afetados por um scam de origem poláca que também foi partilhado e analisado no blog.