Grootschalige oplichting met nepinvesteringsplatforms onthuld door Infoblox
- Savvy Seahorse is een DNS-dreigingsactor die Facebook-advertenties gebruikt om gebruikers naar nep-investeringsplatforms te lokken, waar hun persoonlijke en financiële informatie wordt buitgemaakt.
- Savvy Seahorse is actief sinds augustus 2021 en heeft gebruikers in verschillende talen en regio's als doelwit. In hun campagnes maken ze misbruik van bekende merken zoals Tesla, Facebook/Meta en Imperial Oil.
- Savvy Seahorse gebruikt CNAME-records voor hun campagnes. Dankzij deze niet eerder gerapporteerde techniek vliegen ze onder de radar van veel securityspecialisten.
Snel rijk worden met een investering in Tesla of Meta? Pas op dat je niet opgelicht wordt! Infoblox deelt vandaag nieuwe inzichten over de dreigingsactor Savvy Seahorse. Deze actor maakt misbruik van het DNS-protocol om mensen te verleiden om te investeren op frauduleuze investeringsplatforms. Daarbij lijkt het alsof ze investeren in bijvoorbeeld Tesla, Meta of Imperial Oil. Savvy Seahorse maakt gebruik van uiteenlopende technieken om mensen naar hun platforms te lokken, waaronder nep-chatbots, Meta Pixel-tracking en meerdere betaalverwerkingsdomeinen.
Stel je voor: je ziet op Facebook een advertentie voor een nieuw investeringsplatform dat hoge rendementen belooft. Je klikt op de advertentie en je komt vervolgens terecht op een website die professioneel en betrouwbaar oogt – alsof je een bankfiliaal binnenloopt.
Welkom in de wereld van Savvy Seahorse. Zij zijn degene die de advertentie hebben geplaatst en de website hebben gemaakt. Maar in tegenstelling tot een legitieme bank, zijn ze er niet in geïnteresseerd om je vermogen te helpen groeien. Ze zijn er vooral op gericht je vermogen te stelen.
Hoe werkt Savvy Seahorse?
Net zoals een nep-bank je zou kunnen proberen te verleiden om geld te storten, lokt Savvy Seahorse gebruikers naar nep-investeringsplatforms. Op het nep-platform vragen ze om je persoonlijke en financiële informatie, net zoals een nep-bank om je BSN en bankgegevens zou vragen. Deze informatie is op zichzelf al waardevol, maar vervolgens wordt het slachtoffer nog doorgeleid naar een handelsplatform, waar om een initiële investering wordt gevraagd.
Savvy Seahorse is bovendien erg gewiekst. Om niet gepakt te worden, veranderen ze constant hun IP-adressen (alsof een bankfiliaal van fysieke locatie verandert) en maken ze meerdere subdomeinen aan (meerdere ‘nep-filialen’). Daarnaast maakt Savvy Seahorse ook misbruik van CNAME-records – een onderdeel van het DNS-protocol. Door de CNAME-records te gebruiken, kunnen ze verkeer ongemerkt doorsluizen naar een malafide domein. Hiermee heeft Savvy Seahorse ook controle over wie toegang krijgt tot bepaalde content en kunnen ze dynamisch IP-adressen updaten, waardoor campagnes lastiger zijn te detecteren. Over deze CNAME-tactiek werd nog niet eerder gerapporteerd in cybercrime-analyses.
Lees voor meer informatie het onderzoeksrapport van Infoblox, “Beware the Shallow Waters: Savvy Seahorse Lures Victims to Fake Investment Platforms Through Facebook Ads”. Het rapport biedt een uitgebreide analyse van de activiteiten van Savvy Seahorse (die teruggaan tot augustus 2021), infrastructuur en technieken. Ook bevat het rapport een lijst van indicatoren die beveiligingsprofessionals en organisaties helpen Savvy Seahorse te detecteren en blokkeren.