Snel rijk worden met een investering in Tesla of Meta? Pas op dat je niet opgelicht wordt! Infoblox deelt nieuwe inzichten over de dreigingsactor Savvy Seahorse. Deze actor maakt misbruik van het DNS-protocol om mensen te verleiden om te investeren op frauduleuze investeringsplatforms. Daarbij lijkt het alsof ze investeren in bijvoorbeeld Tesla, Meta of Imperial Oil. Savvy Seahorse maakt gebruik van uiteenlopende technieken om mensen naar hun platforms te lokken, waaronder nep-chatbots, Meta Pixel-tracking en meerdere betaalverwerkingsdomeinen.
Stel je voor: je ziet op Facebook een advertentie voor een nieuw investeringsplatform dat hoge rendementen belooft. Je klikt op de advertentie en je komt vervolgens terecht op een website die professioneel en betrouwbaar oogt – alsof je een bankfiliaal binnenloopt.
Welkom in de wereld van Savvy Seahorse. Zij zijn degene die de advertentie hebben geplaatst en de website hebben gemaakt. Maar in tegenstelling tot een legitieme bank, zijn ze er niet in geïnteresseerd om je vermogen te helpen groeien. Ze zijn er vooral op gericht je vermogen te stelen.
Hoe werkt Savvy Seahorse?
Net zoals een nep-bank je zou kunnen proberen te verleiden om geld te storten, lokt Savvy Seahorse gebruikers naar nep-investeringsplatforms. Op het nep-platform vragen ze om je persoonlijke en financiële informatie, net zoals een nep-bank om je BSN en bankgegevens zou vragen. Deze informatie is op zichzelf al waardevol, maar vervolgens wordt het slachtoffer nog doorgeleid naar een handelsplatform, waar om een initiële investering wordt gevraagd.
Savvy Seahorse is bovendien erg gewiekst. Om niet gepakt te worden, veranderen ze constant hun IP-adressen (alsof een bankfiliaal van fysieke locatie verandert) en maken ze meerdere subdomeinen aan (meerdere ‘nep-filialen’). Daarnaast maakt Savvy Seahorse ook misbruik van CNAME-records – een onderdeel van het DNS-protocol. Door de CNAME-records te gebruiken, kunnen ze verkeer ongemerkt doorsluizen naar een malafide domein. Hiermee heeft Savvy Seahorse ook controle over wie toegang krijgt tot bepaalde content en kunnen ze dynamisch IP-adressen updaten, waardoor campagnes lastiger zijn te detecteren. Over deze CNAME-tactiek werd nog niet eerder gerapporteerd in cybercrime-analyses.