Acaba de ser identificado um golpe ousado, que utiliza anúncios no YouTube para vender criptomoedas falsas em nome Elon Musk, bilionário dono da Tesla e SpaceX. Desde o final de maio 2021, uma quadrilha de golpistas roubou mais de US$ 430 mil em criptomoedas de usuários, comprando espaço publicitário em vídeos sobre criptomoedas disponíveis no YouTube, para promover uma moeda falsa, a SpaceX (ou token $SpaceX), alegando que ela seria uma criação de Musk.
"No momento em que fizemos esta descoberta, os golpistas tinham uma campanha ativa que, assim que fosse concluída, poderia aumentar o valor total de criptomoedas roubadas para quase US$ 1 milhão", conta Satnam Narang, engenheiro de Pesquisa, Equipe de Resposta de Segurança da Tenable.
No começo de maio, golpistas invadiram contas do Twitter e do YouTube para promover uma série de golpes relacionados a criptomoedas, antes da participação de Elon Musk no Saturday Night Live, roubando mais de US$ 10 milhões em tokens de Bitcoin, Ethereum e Doge. Os golpes realizados por meio do YouTube foram os mais bem-sucedidos, resultando em um roubo de mais de US$ 9 milhões.
De acordo com os experts em segurança da Tenable, os primeiros anúncios com o objetivo de enganar usuários e roubar suas criptomoedas apareceu no YouTube por volta de 22 de maio, antes e durante vídeos sobre criptomoedas feitos por criadores populares na plataforma de vídeos. "Os anúncios são compostos de diversos vídeos de Musk, que nada têm a ver com o assunto. O fundador da Tesla ganhou muita atenção nos últimos meses pelo seu apoio às criptomoedas, especialmente a Bitcoin e a Dogecoin", afirma Narang.
Detalhando o golpe
Os especialistas da Tenable, detalham que os anúncios com o criptogolpe têm de três a cinco minutos e contam com um modelo que inclui, na parte superior, um tweet falso de Elon Musk, afirmando que ele está lançando a sua própria criptomoeda, chamada $SpaceX. No mesmo modelo, há um texto descritivo com um cabeçalho com a logomarca da Tesla. O texto diz que "Elon Musk está lançando a sua própria criptomoeda, a $SpaceX". O objetivo da moeda, segundo o anúncio golpista, "é levar todo mundo para Marte e tornar a vida humana lá possível".
Por último, eles afirmam que, para cada transação envolvendo a moeda $SpaceX, será feita uma doação "para empresas de pesquisa espacial" com o objetivo de "ajudar na missão de Elon". O vídeo que faz parte do anúncio acima é um trecho de uma entrevista de Elon Musk para o Computer History Museum e "Revolucionários" do KQED" de 2013. Os golpistas usam, indiscriminadamente, diversos vídeos de Musk nesses anúncios no YouTube.
Vídeos hospedados em contas adulteradas do YouTube
Estes anúncios estão hospedados em contas adulteradas do YouTube. Quando eles aparecem, o nome do usuário associado com o anúncio fica visível. Satnam Narang, explica que ao pesquisar pelo perfil do usuário, nota-se que o usuário entrou no YouTube em agosto de 2011, por exemplo. "Muitas das contas que encontrei foram criadas há 10 ou 12 anos. Neste exemplo, não havia outros vídeos associados à conta, a não ser o vídeo usado no anúncio golpista, mas isso não é uma regra. É provável que essas contas do YouTube estivessem inativas e os golpistas conseguiram invadi-las para promover esses anúncios falsos", ressalta o executivo da Tenable.
Mesmo modelo usado em campanhas golpistas anteriores no YouTube Live
Narang enfatiza ainda, que esses anúncios aproveitam o mesmo modelo que foram vistos pelos especialistas da Tenable sendo usado nos golpes do Musk sobre a SNL, no começo de maio, incluindo a logomarca da Tesla. "Nos anúncios do YouTube relacionados à suposta moeda SpaceX, você pode até pensar que os golpistas deveriam ter usado o logotipo da SpaceX em vez de continuar usando o da Tesla, mas parece que eles apenas copiaram o modelo do jeito que estava", conta Narang.
Usuários são direcionados para diversos sites da web
Vale destacar, que os anúncios do YouTube em si não contêm um link direto para um site da web, porém anunciam o site da web em uma outra seção do modelo. Durante a análise dos experts em segurança da Tenable, foram descobertos pelo menos doze sites da web diferentes sendo promovidos por meio desses anúncios falsos no YouTube, incluindo:
Domain | Registrar | Registered |
buyspacex.com | NameCheap, Inc. | May 21, 2021 |
buyspx.com | NameCheap, Inc. | May 27, 2021 |
getspx.com | NameCheap, Inc. | May 29, 2021 |
spxlaunch.com | NameCheap, Inc. | May 29, 2021 |
spacexbuy.com | REG.RU LLC | May 30, 2021 |
officialspx.com | REG.RU LLC | June 1, 2021 |
missionspx.com | REG.RU LLC | June 2, 2021 |
spacexsale.com | REG.RU LLC | June 3, 2021 |
salespacex.com | REG.RU LLC | June 9, 2021 |
buyspxcoin.com | REG.RU LLC | June 15, 2021 |
muskspx.com | REG.RU LLC | June 16, 2021 |
falconspacex.com | REG.RU LLC | June 17, 2021 |
Um lembrete, "observe que esta pode não ser uma lista completa de todos os domínios usados nessas campanhas", conclui Satnam Narang, da Tenable.