Beleggingsfraude met cryptocurrency handels platformen
Door Henri Beek en Panagiotis Mavrommatis
In een recent onderzoek door het Noorse nieuwsplatform NRK kwam het verhaal naar buiten van een slachtoffer dat ten prooi viel aan een uitgebreide beleggingsfraude via de website VRC-Markets[.]com. Het slachtoffer, dat dacht dat ze legitieme investeringen deed, maakte onbewust geld over naar een frauduleus platform. Deze zaak is geen op zichzelf staand incident; het is onderdeel van een bredere trend van crypto-handelsfraude waarbij slachtoffers worden gelokt met de belofte van hoge rendementen, om er vervolgens met hun geld vandoor te gaan.
Wat zijn frauduleuze crypto-handelsplatforms?
Frauduleuze Crypto-handelsplatforms doen zich voor als legitieme beleggingswebsites en bootsen vaak echte handelsplatforms na. Deze frauduleuze sites overtuigen gebruikers om geld te storten, soms zelfs met een nep-handelsinterface om beleggingswinsten te simuleren. Slachtoffers worden vaak benaderd via telefoongesprekken (voice phishing) of online advertenties, waardoor ze denken dat ze te maken hebben met een betrouwbare financiële dienstverlener.
Ons OSINT-onderzoek
Naar aanleiding van het NRK-rapport voerden onderzoekers van DataExpert een Open-Source Intelligence (OSINT)-onderzoek uit naar VRC-Markets[.]com, een van de frauduleuze handelswebsites die in het artikel worden genoemd. Met behulp van openbare gegevensbronnen ontdekten we een netwerk van onderling verbonden scamwebsites die opvallende overeenkomsten vertonen, wat wijst op een mogelijke gecoördineerde scamoperatie.
Patronen in scamdomeinen
Ons onderzoek onthulde verschillende belangrijke patronen die deze frauduleuze platforms met elkaar verbinden:
- Hergebruikte achtergrondafbeeldingen – Veel van deze websites gebruikten dezelfde achtergrondafbeeldingen, wat duidt op een gemeenschappelijke bron of sjabloon.
- Identieke pictogrammen en UI-elementen – De grafische elementen, waaronder knoppen, logo's en ontwerpen van handelsinterfaces, bleken te zijn hergebruikt op meerdere scamdomeinen.
- Overeenkomsten in Whois-informatie – In sommige gevallen verschenen dezelfde (historische) registrantgegevens op meerdere sites, wat aangeeft dat ze mogelijk door dezelfde groep of persoon worden beheerd.
- Gedeelde IP-adressen – Meerdere van deze domeinen werden gehost op hetzelfde IP-adres, wat de verbinding tussen hen versterkte.
- Telefoonnummers gekoppeld aan Voice Phishing – De oplichters richten zich op slachtoffers via telefoontjes, vaak afkomstig van nummers die eerder zijn gemeld voor frauduleuze activiteiten in Scandinavische landen.
Het grotere plaatje
Dit netwerk van oplichtingswebsites voor cryptohandel of -investeringen is niet beperkt tot één regio; vergelijkbare patronen zijn waargenomen in verschillende delen van de wereld, zoals de Scandinavische landen en het Verenigd Koninkrijk. De verschuiving naar directe betalingen op deze frauduleuze platforms, in plaats van via gerenommeerde cryptocurrency-exchanges, maakt het moeilijker voor slachtoffers om verloren geld terug te krijgen. Hoewel een groot deel van de websites achter deze domeinen momenteel offline is, kunnen ze later opnieuw worden gebruikt. Hetzelfde geldt voor het hergebruiken van bepaalde achtergronden of pictogrammen.
Belangrijkste conclusies
Ons OSINT-onderzoek naar deze frauduleuze cryptohandelsplatformen heeft patronen aan het licht gebracht zoals hergebruikte websitesjablonen, identieke UI-elementen en verdachte (historische) whois- of hostinggegevens die in dit geval kunnen duiden op een mogelijke oplichtingswebsite. Door het bewustzijn te vergroten en inzichten te delen met onze klanten, helpt DataExpert financiële verliezen te voorkomen en het voor oplichters moeilijker te maken.
Lijst van geassocieerde domeinen*
Domain |
Status |
|
Domain |
Status |
aquila-markets[.]com |
online |
|
nordix-chaineu[.]com |
online |
arcomgloballimited[.]com |
online |
|
nordxglobal[.]com |
online |
auxicapitals[.]com |
online |
|
pierpoint-global[.]com |
online |
birexmarket[.]com |
offline |
|
promarketsfx[.]com |
offline |
brit-wise[.]com |
offline |
|
prudentpathinvestment[.]co[.]uk |
online |
ccx[.]expert |
online |
|
raxtrade[.]com |
offline |
coinfxindex[.]com |
offline |
|
tradexspro[.]com |
online |
findgespro[.]com |
online |
|
tradexspro[.]xyz |
online |
gemini-traders[.]com |
offline |
|
uiclix[.]com |
offline |
greatnorthmarkets[.]com |
online |
|
union-nationalbank[.]com |
offline |
ibccbank[.]com |
offline |
|
virgincapital[.]co |
offline |
immediatefortune[.]com |
online |
|
vrb[.]co |
offline |
luxxisoptions[.]com |
offline |
|
vrbcorporation[.]com |
offline |
nordenex[.]com |
online |
|
vrc-markets[.]com |
online |
norden-markets[.]com |
online |
|
|
|
*er zijn meer domeinen gevonden tijdens het onderzoek maar deze waren gedurende langere periode offline of te koop vandaar dat ze niet zijn opgenomen in de lijst.