تقرير سلسلة: عمليات احتيال التشفير تتحول من مخططات بونزي إلى قتل الخنازير

المصدر: التجميع

هذا المقال هو الجزء 2 من تقرير Crypto Crime 2024 الذي نشره Chainalysis.تقرير سلسلة: لماذا تستمر الصناديق المسروقة وبرامج الفدية في الزيادة.

ملخص

شبكة CSAM

• زادت تقارير على مواقع CSAM في الصين منذ نهاية عام 2023.

• يشتري معظم حاملي المحفظة الوصول لمدة شهر أو أكثر ، بما في ذلك ما يصل إلى حوالي 20.000 يوم (أي ما يعادل أكثر من 54 عامًا) من الوصول الدائم تقريبًا.

• تمشيا مع نتائجنا السابقة ، يواصل موردو CSAM استخدام آلات الفداء الفوري عند الصرف.

غش

• يقوم المحتالون بتعديل استراتيجياتهم على السلسلة وخارج السلسلة من أجل عمليات الاحتيال الأقصر والأكثر ديناميكية والمربحة.

• إن قتل الخنازير هو إلى حد بعيد أكبر نوع من الاحتيال المولدة في الإيرادات هذا العام.حصلت عصابة الاحتيال في ميانمار التي اكتشفت في السلسلة في عام 2022 لأول مرة على الأقل 101.22 مليون دولار حتى الآن هذا العام.

• يستمر معظم المحتالين في الانتقال من مخططات بونزي واسعة النطاق إلى أنشطة أكثر استهدافًا مثل قتل الخنازير ، والاحتيال على المكاتب المنزلية ، أو عمليات الاحتيال على سرقة الصرف (ملاحظة Baitchain ملاحظة: Drainer هو برامج ضارة مصممة لتوضيح بشكل غير قانوني. يستأجره مطوروها ، مما يعني أنه يمكن لأي شخص الدفع لاستخدام الأداة الضارة.) أو التسمم معالجة.

ضمان Huione

• لقد لاحظنا زيادة في استخدام السوق الصينية وشبكات غسل الأموال.ضمان Huione هو أحد هذه الأسواق ، يرتبط بمجموعة Huione Contraction ، التي تربط المشترين والبائعين الذين نادراً ما يخفي الطبيعة غير القانونية لمعاملاتهم.

• قامت ضمانات Huione بمعالجة أكثر من 49 مليار دولار في معاملات العملة المشفرة منذ عام 2021 ، والتي تجاوزت المبالغ التي تم الإبلاغ عنها مسبقًا.

• تشمل اتصالات Huione على السلسلة قتل الخنازير وغيرها من عمليات الاحتيال ، والخزانات التي تم الإبلاغ عنها كأموال مسروقة ، والتبادل الروسي المعتمد من OFAC ، ومتاجر الاحتيال ، و CSAM ، ومواقع القمار الصينية والكازينوهات ، وما إلى ذلك ، إلخ.

في الجزء الأول من تحديث الجريمة في منتصف العام ، نناقش الاتجاهات المتعلقة بـ Ransomware والأموال المسروقة.في حين انخفض إجمالي النشاط غير القانوني على السلسلة بنسبة 20 ٪ تقريبًا حتى الآن هذا العام (YTD) ، فقد تضاعفت تدفقات الأموال المسروقة تقريبًا ، مع توقع أن تكون مدفوعات الفدية السنوية هي أعلى مبلغ في عام واحد على الإطلاق.

في النصف الثاني من التحديث لدينا ، سننظر في الأنشطة على السلسلة المتعلقة بتوزيع واستهلاك مواد الاعتداء الجنسي على الأطفال (CSAM) ، بما في ذلك تحليل المدفوعات على السلسلة التي يتلقاها بائعان CSAM ، وتشير هذه المبالغ إلى ما.

بعد ذلك ، سننظر في أحدث الاتجاهات في عمليات احتيال العملة المشفرة.تشير الأنشطة الموجودة على السلسلة وخارج السلسلة إلى أن المحتالين يقومون بتعديل استراتيجياتهم ويقومون بإجراء أنشطة أقصر ولكن أكثر ربحية وتجديدًا.سنناقش مجموعة احتيال جديرة بالملاحظة-المجموعة الأعلى أجرًا في عام 2024 حتى الآن-تسليط الضوء علىفي السنوات الأخيرة ، كان هناك اتجاه من مخططات بونزي المصممة بعناية إلى أنشطة أكثر استهدافًا مثل قتل الخنازير.

السبب في أن “ذبح الخنزير القتل” يسمى “ذبح الخنازير القتل” هو أن المجرمين “سوف يسمون” الضحايا من أجل الحصول على أكبر قدر ممكن من الفائدة.يتضمن هذا عادة إقامة علاقة رومانسية مع الضحية عبر الرسائل النصية أو تطبيقات المواعدة حتى يجبروا الضحية على إرسال أموال إلى فرص استثمار مزيفة.من القلق أن عمليات الاحتيال في الطرف الآخر من هذه المحادثات غالبًا ما تكون أشخاصًا تم اختطافهم ، وبيعوا إلى جنوب شرق آسيا وأجبروا على العمل في معسكرات العمل في ساحة كبيرة لقتل الخنازير.

أخيرًا ، دعونا نلقي نظرة على ضمان Huione ، وهو سوق بقيمة 49 مليار دولار تم تعرضه مؤخرًا لتسهيل جرائم الإنترنت ، بما في ذلك CSAM و Big Killing.لنبدأ.

CSAM في الصين يظهر علامات النمو

زادت تقارير عن موردي CSAM الصينيين منذ نهاية العام الماضي.يوضح الرقم التالي نسبة الموردين المقومة في RMB لأنشطة العملة الأخرى في جميع أنشطة CSAM.توفر هذه المواقع أسعار صرف RMB لمدفوعات العملة المشفرة.منذ نهاية عام 2023 ، شكل الموردون الصينيون حصة أكبر من تدفقات CSAM العالمية ، حيث بلغوا ذروتهم حتى الآن في الربع الأول من هذا العام ، وهو ما يمثل 38.8 ٪ من إجمالي التدفقات.

وفقًا لمؤسسة Watch Internet (IWF) ، وهي منظمة مكرسة لحظر الاعتداء الجنسي على الأطفال على الإنترنت ، من الصعب تحديد سبب تطور هذه الشبكات في الصين.وقال متحدث باسم IWF: “نشهد زيادة في التقارير حول مثل هذه المواقع”.”استنادًا إلى القنوات الإبلاغ وحدها ، من الصعب أن نقول بوضوح ما إذا كانت هناك اتجاهات ناشئة أو ما إذا كانت هذه المواقع موجودة لبعض الوقت ولكن لم يتم إبلاغها بالسلطات.” لم يلاحظهم الجمهور ، لكن البنية التحتية على السلسلة لهذه الخدمات جديدة نسبيًا ، مع أقدم المحافظ الصينية التي يعود تاريخها إلى 18 يوليو 2023 ، مع معظم العناوين الأخرى القادمة من نهاية عام 2023.على الأقل من حيث الأبعاد على السلسلة ، تشير الأطر الزمنية لهذه المحافظ إلى أن هذه الخدمات تظهر ، تمثل اتجاهًا حقيقيًا ، وربما أكثر من مجرد نتاج قنوات إعداد تقارير جديدة.

التفتيش على الموردين الصينيين CSAM

بصرف النظر عن الأرقام ، لا يمكننا تحديد الضرر الناجم عن الاعتداء الجنسي على الأطفال في جميع أنحاء العالم.بالنظر إلى إمكاناتها لإعادة التخصيص ، لا يزال بإمكان عمليات الشراء الصغيرة لعشرات الدولارات (كما هو موضح في مخطط التحقيقات المتسلسلة أدناه) أن تؤدي إلى استغلال الأطفال على المدى الطويل.

تتضمن الشبكة الموضحة أعلاه اثنين من الموردين المشتبه في CSAM لبيع مواد في RMB.تشير عمليات النقل من المحافظ الشخصية إلى الموردين إلى نوع الوصول إلى مشتري CSAM الذي يشتريه مقارنة بمعدلات الاشتراك على موقع CSAM Pondor.كما ذكرنا ، يمكن للمشترين الحصول على مواد CSAM ليوم واحد من هؤلاء الموردين مقابل 5 دولارات فقط.يمكنهم أيضًا شراء وصول دائم تقريبًا مقابل 41 دولارًا فقط (حوالي 20،000 يوم ، أو أكثر من 54 عامًا).في هذا المثال ، يشتري معظم حاملي المحفظة الوصول لمدة شهر أو أكثر.أما بالنسبة لبائعي CSAM ، فقد استخدموا آلات الفداء الفوري عند صرفهم ، وهو ما يتوافق مع تقاريرنا في وقت سابق من هذا العام.

تتبنى المحتالون استراتيجيات على السلسلة والخارجية ؛

مع وجود مليارات من التدفقات بالدولار ، استمرت عمليات الاحتيال المتعلقة بالعملة المشفرة في الزيادة في عام 2024 ، مما يجعلها واحدة من أكبر مجالات النشاط غير القانوني حتى الآن هذا العام.تتمثل الميزة الأكثر بروزًا في وضع عملية الاحتيال لهذا العام على التطور السريع لأقدام المحتالين على الأقدام على السلسلة-محافظ وعناوين محفوظة تستخدم لجمع المدفوعات من ضحايا الاحتيال-والأدوات خارج السلسلة التي يستخدمونها للتلاعب بالضحايا ، مثل أسماء النطاقات والاجتماعية حسابات الوسائط.يكشف هذا النشاط كيف يتكيف المحتالون مع كل من السلسلة وخارج السلسلة من أجل عمليات احتيال أقصر وأكثر تدميراً.لتجنب اكتشافها وتدميرها ، ستجدد العديد من هذه الإجراءات أو تحافظ على العديد من الأنشطة الأصغر في وقت واحد للحفاظ على تشغيل مجموعات الاحتيال المنظمة الأكبر.

ميزة بارزة في وضع الاحتيال في عام 2024 هي ذلكمقدار تدفقات الاحتيال الكلي حتى الآن هذا العام تدفق إلى محافظ نشطة هذا العام ، مما يشير إلى زيادة في عمليات الاحتيال الجديدة.يوضح الرقم التالي الحصة الإجمالية لإيرادات الاحتيال التي ظهرت لأول مرة في السنة التي استلمت فيها عملية الاحتيال من قبل العملة المشفرة.تجدر الإشارة إلى ذلك43 ٪ من تدفقات عملية الاحتيال هذا العام تدفقت إلى محافظ نشطة هذا العام.هذا الاتجاه مهم لأنه في أعلى عام ، 2022 ، ذهب 29.9 ٪ فقط من إجمالي التدفقات حتى الآن هذا العام إلى محافظ نشطة في ذلك العام.

كما هو مبين في الشكل أدناه ، تم اختصار متوسط ​​عمر أنشطة الاحتيال بشكل كبير ، مما يعكس هذا الاتجاه بشكل جيد.نرسم هذا الاتجاه عن طريق حساب عدد الأيام بين نشاط الاحتيال الأول والأخير الذي تم ملاحظته على السلسلة.انخفض متوسط ​​عدد الأيام النشطة لأنشطة الاحتيال بشكل كبير من 2020 إلى 2024 ، مع بدء 271 يومًا في عام 2020 و 42 يومًا في عام 2024.يتوافق هذا الاتجاه الكلي مع استمرار التحول المتمثل في المحتالين من مخططات بونزي المخطط لها بعناية إلى أنشطة أكثر استهدافًا مثل عناوين تسمم الخنازير أو التسمم.جزء من السبب هو أن إنفاذ القانون يتم تعزيزه ، وأن المصدرين stablecoin لديهم عناوين احتيالية مدرجة في القائمة السوداء.

على الرغم من أن المحتالين يميلون إلى استخدام عناوين جديدة على السلسلة ، إلا أن حوالي 57 ٪ من تدفقات رأس مال عملية الاحتيال حتى الآن في عام 2024 لا تزال تتدفق إلى محافظ كانت نشطة قبل عام 2024.تدمج واحدة من أكبر محافظ واحد من حملة عملية الاحتيال النشطة هذا العام الأموال من العديد من عمليات الاحتيال من أقراص KK Park الأكثر شهرة في ميانمار.تم اكتشاف المحفظة لأول مرة على السلسلة في عام 2022 ، واستمر عمليات الاحتيال باستخدام العنوان في توليد إيرادات كبيرة ، حيث تزيد عن 100 مليون دولار حتى الآن هذا العام.قد تأتي الأموال من ضحايا الاحتيال أو من فدية مقدمة من العائلات التي تحاول إنقاذ أفراد أفراد الأسرة الذين تم تهريبهم.

بالإضافة إلى ذلك ، تجدر الإشارة إلى أن أنشطة الاحتيال من KK Park والأماكن المماثلة نشطة للغاية في تعديل وجودها خارج السلسلة ، وغالبًا ما تشتري ملفات تعريف Facebook و Tinder و Match.com من الخدمات الصينية لأنشطتها.يوضح الرسم البياني أدناه تدفق القيمة من محافظ الاحتيال KK Park إلى المتاجر الاحتيالية التي تبيع منتجات غير قانونية لها عواقب مدمرة للمحتالين لاستغلال هذه المنتجات غير القانونية.

تُظهر لقطات شاشة موقع متجر الاحتيال أيضًا تسعير حسابات وسائل التواصل الاجتماعي التي تبيعها.

من خلال النظر في إجمالي تدفق الخدمات التي تبيع حسابات وسائل التواصل الاجتماعي مثل متجر الاحتيال هذا ، نرى المزيد من الأدلة التي تدعم هذا الاتجاه.يظهر الشكل التالينمت العملات المشفرة التي تم إرسالها إلى هذه الخدمات بشكل مطرد على مدار العامين الماضيين ، حيث بلغ ما مجموعه 178،000 ودائع من 2022 إلى 2024 ، ويبلغ مجموعها حوالي 10.5 مليون دولار.تتراوح سعر ملامح وسائل التواصل الاجتماعي على هذه المواقع بين 5 دولارات و 20 دولارًا لكل حساب ، مما يعني أن المحتالين ربما قاموا بشراء 525000 إلى 2.1 مليون ملف تعريف لوسائل التواصل الاجتماعي التي يمكن استخدامها لمهاجمة الضحايا.

بالإضافة إلى إرسال الأموال إلى الخدمات التي توفر أدوات احتيال ، سيحتاج المحتالون في النهاية إلى إرسال مكاسبهم غير المشروعة إلى الخدمة للحصول على غسل الأموال وتحويلها إلى عملة فيات ، وذلك أساسًا من خلال التبادلات المركزية.هذا العام ، نرى أيضًا زيادة في استخدام الأسواق الصينية وشبكات غسل الأموال ، بما في ذلك ضمان Huione.

ضمان Huione: 49 مليار دولار سوق عبر الإنترنت

ضمان Huione هو سوق عبر الإنترنت متصل بمجموعة Huione Contraction Combodian وقد تم الكشف مؤخرًا عن لاعب رئيسي في الجرائم الإلكترونية.لدينا تغطية أكبر بكثير للخدمة أكثر مما أبلغنا عنه سابقًا – لقد وجدنا أن المنصة قد عالجت أكثر من 49 مليار دولار في معاملات العملة المشفرة منذ عام 2021.

تاريخياً ، توفر Huione Group خدمات قانونية ، وتعمل كنظام تحويلات للتحويلات الخارجية وتوفر خدمات التأمين.شاركت الشركة ذات مرة في أعمال السفر الفاخرة.ومع ذلك ، يبدو أن ضمان منصة Huione يستخدم على نطاق واسع في أنشطة التشفير غير القانونية ، بما في ذلك قتل الخنازير والاحتيال في الاستثمار وغسل الأموال.نمت Huione Luste إلى نظام بيئي ضخم ومتنوع يدعم أعمال قتل الخنازير المربحة التي لا تزال تعمل في جنوب شرق آسيا.

ضمان Huione هو سوق نظير إلى نظير (P2P) يربط المشترين والبائعين ، وغالبًا ما يسهل هذه المعاملات من خلال البرقية التي توفر نقطة اتصال.في المجموع ، تعلن الآلاف من مجموعات Telegram أو تنشر معلومات عن ضمان Huione ، يتم تشغيل كل منها من قبل تاجر أو تابع مستقل مختلف ، وقد يكون لدى الكثير منهم صلات مع الشركات الإجرامية العاملة في المنطقة.

يضمن Huione أن يكون طرفًا محايدًا في هذه المعاملات ؛

ملاحظة: يتم ترجمة هذه الصورة من النسخة الصينية الأصلية.

نادراً ما تخفي العديد من الشركات على Huione أنشطتها ، ولكن بدلاً من ذلك تستخدم كلمات الرمز الغامضة للترويج لنوع الخدمة التي يبحثون عنها.على سبيل المثال ، تُظهر بعض الإعلانات للمستخدمين الذين يبحثون عن “قافلة” ، مما يعني أنهم يبحثون عن البغال الأموال ، ويحولون الأموال من خلال نقاط ومستويات متعددة ، وبالتالي إخفاء مصدر ووجهة الأموال.

المشاركات الأخرى تعزز ما يلي:

• يتم توفير تقنية التعرف على الوجه أو تقنية تعديل الوجه في قسم “التطوير” في المنصة.

• خطط لخطة قتل الخنازير ومخطط بونزي.

• توفير جوازات سفر عالمية ، تأشيرات ، ويزعم أنها تساعد في الطلب.

ملاحظة: يتم ترجمة هذه الصورة من جهاز ، والنص الأصلي هو “Shazhu” يعني “قتل الخنازير”.

ملاحظة: يتم ترجمة هذه الصورة من النسخة الصينية الأصلية.

ضمان أنشطة Huione على السلسلة

يوضح التحليل على السلسلة أن Huione Pay نشط على Ethereum ، حيث تتجاوز إجمالي التدفقات 1.9 مليار دولار وتدفقات على TRON التي تتجاوز 47 مليار دولار.في الرسم البياني التالي ، نرى مثالاً على هذا النشاط ، مع النقل بين Huione Pay ومجموعة متنوعة من الأطراف غير القانونية والعالية الخطورة التي تسلط الضوء على شبكة Huione الواسعة.يبدو أن Huione مدعوم من شبكات P2P خارج السلسلة إلى السلسلة. مواقع القمار الصينية والكازينوهات ، إلخ.

يضمن Huione أيضًا معاملات المحفظة المرتبطة بمجموعات إجرامية كبيرة مثل KK Park.بالإضافة إلى ذلك ، اكتشف Chainalysis محافظًا تتعلق بـ Common Light Group و Warner International ، كيانان تديرهما عائلة Kokang في ميانمار ، والتي ورد أنها مرتبطة بالأنشطة غير القانونية مثل أماكن المقامرة والشبكات المالية السرية وبرامج غسل الأموال.

يوضح استخدام ضمان Huione من قبل هذه الشبكات أن الخدمة لا تعزز فقط أنشطة المحتالين والمحتالين أنفسهم ، ولكن أيضًا شبكة المجرمين الذين يقفون وراءهم.

ضمان Huione لافت للنظر لأنه يعمل كنقطة محورية لأنواع مختلفة من مجرمي الإنترنت ، بما في ذلك محتالات قاتل الخنازير وشبكات CSAM.على الرغم من أنها قد تكون الأكبر ، إلا أنها ليست الخدمة الوحيدة من نوعها.تستخدم الشبكات الأخرى بالمثل Telegram لتسهيل معاملات P2P ، وغالبًا ما تستخدم في مقابل السلع والخدمات غير القانونية.يعمل Chainalysis عن كثب مع شركائنا لمراقبة هذا النظام الإيكولوجي عن كثب لفضح هذا النشاط.