Un cittadino indiano si è dichiarato colpevole negli Stati Uniti per accuse di furto di oltre 37 milioni di dollari attraverso la creazione di un sito web che imitava la piattaforma di scambio di criptovalute Coinbase, sostanzialmente creando un Coinbase fasullo.
Coinbase fasullo: com’è nato e chi è il creatore
Chirag Tomar, 30 anni, si è dichiarato colpevole di cospirazione per frode telematica per aver truffato svariate persone con una truffa in criptovalute tramite un Coinbase fasullo, che comporta una pena massima di 20 anni di prigione e una multa di 250.000 dollari; è stato arrestato il 20 dicembre 2023, al suo ingresso nel paese.
“Tomar e i suoi complici [complici del Coinbase fasullo] hanno organizzato uno schema per rubare milioni di criptovalute a centinaia di vittime in tutto il mondo e negli Stati Uniti, inclusi nel distretto occidentale della Carolina del Nord,” ha dichiarato la scorsa settimana il Dipartimento di Giustizia (DoJ).
Il sito web, creato intorno a giugno 2021, era chiamato “CoinbasePro[.]com” (in pratica il coinbase fasullo, faceva credere ai malcapitati che fosse una sorta di versione “pro” di quello vero) nel tentativo di mascherarsi come Coinbase Pro e ingannare gli utenti ignari facendoli credere di accedere alla versione legittima della piattaforma di scambio di valuta virtuale.
Vale la pena notare che Coinbase ha interrotto l’offerta in favore di Advanced Trade a giugno 2022; e questo doveva lasciar intendere ulteriormente che CoinbasePro fosse il Coinbase fasullo, la migrazione graduale dei clienti di Coinbase Pro a Coinbase Advanced è stata completata il 20 novembre 2023.
Come le vittime sono state attirate al “Coinbase fasullo”
Le vittime che hanno inserito le credenziali sul sito del Coinbase fasullo e hanno avuto le loro informazioni di accesso rubate dai truffatori e, in alcuni casi, sono state ingannate nel concedere l’accesso remoto al desktop che ha permesso ai criminali informatici di accedere ai loro conti Coinbase legittimi.
“I truffatori hanno anche impersonato i rappresentanti del servizio clienti di Coinbase e hanno ingannato gli utenti facendogli fornire i loro codici di autenticazione a due fattori ai truffatori per telefono,” ha dichiarato il DoJ, aggiungendo: “Una volta che i truffatori hanno avuto accesso ai conti Coinbase delle vittime, hanno rapidamente trasferito le criptovalute delle vittime ai portafogli di criptovalute sotto il controllo dei truffatori.”
In un caso evidenziato dai procuratori, una vittima del Coinbase fasullo non identificata situata nel distretto occidentale della Carolina del Nord ha perso oltre 240.000 dollari in criptovalute in questo modo dopo essere stata indotta a chiamare un falso rappresentante di Coinbase con il pretesto di bloccare il proprio account di trading.
Si ritiene che Tomar fosse in possesso di diversi portafogli di criptovalute che hanno ricevuto fondi rubati per un totale di decine di milioni di dollari, che sono stati successivamente convertiti in altre forme di criptovaluta o trasferiti ad altri portafogli e infine incassati per finanziare uno stile di vita lussuoso.
Questo includeva orologi costosi di marchi come Rolex, l’acquisto di veicoli di lusso come Lamborghini e Porsche e diversi viaggi a Dubai e in Thailandia.
L’arresto degli autori del Coinbase fasullo
Lo sviluppo delle indagini sul Coinbase fasullo arriva mentre un team di indagine speciale (SIT) associato al Dipartimento di Indagini Criminali (CID) nello stato indiano di Karnataka ha arrestato Srikrishna Ramesh (noto anche come Sriki) e il suo presunto complice Robin Khandelwal per il furto di 60,6 bitcoin da una società di scambio di criptovalute chiamata Unocoin nel 2017.
Si è così scoperto dove andavano a finire i soldi, dopo che passavano tramite il Coinbase fasullo.
USA prende provvedimenti contro l’esercito di Lavoratori IT freelance della Corea del Nord
Il clone di Coinbase (il Coinbase fasullo), è solo la punta dell’Iceberg che ha dato avvio ad una serie di eventi.
Dopo il caso Coinbase fasullo, infatti, segue anche una nuova ondata di arresti negli Stati Uniti in relazione a un elaborato schema pluriennale progettato per aiutare i lavoratori IT collegati alla Corea del Nord a ottenere lavori remoti in oltre 300 aziende statunitensi e avanzare il programma di armi di distruzione di massa del paese in violazione delle sanzioni internazionali.
Tra le parti arrestate c’è un cittadino ucraino di 27 anni, Oleksandr Didenko, accusato di creare account falsi su piattaforme di ricerca lavoro IT negli Stati Uniti e venderli a lavoratori IT stranieri per ottenere impiego.
Si crede anche che abbia gestito un servizio ora smantellato chiamato UpWorkSell che pubblicizzava la “capacità per i lavoratori IT remoti di acquistare o affittare account a nome di identità diverse dalle proprie su varie piattaforme di ricerca lavoro IT freelance online.”
Secondo l’affidavit a sostegno della denuncia, Didenko gestiva circa 871 identità “proxy”, forniva account proxy per tre piattaforme di assunzione IT freelance negli Stati Uniti e forniva account proxy per tre diversi trasmettitori di servizi di denaro con sede negli Stati Uniti.
I coinvolti non sono solo nordcoreani
Il complice di Didenko, Christina Marie Chapman, 49 anni, è stata anche arrestata per aver gestito quella che viene chiamata una “fattoria di laptop” ospitando più laptop nella sua residenza per i lavoratori IT nordcoreani per dare l’impressione che fossero negli Stati Uniti e candidarsi per posizioni di lavoro remoto nel paese.
“La cospirazione […] ha generato almeno 6,8 milioni di dollari di entrate per i lavoratori IT stranieri,” ha detto l’accusa di Chapman, aggiungendo che i lavoratori hanno ottenuto impieghi in numerose aziende statunitensi di primo piano ed esfiltrato dati da almeno due di esse, tra cui una catena di ristoranti multinazionale e un marchio di abbigliamento americano classico.
Sono state anche presentate accuse contro Minh Phuong Vong del Maryland, una cittadina vietnamita e naturalizzata americana, per aver cospirato con una parte sconosciuta per commettere frode telematica ottenendo impiego in aziende statunitensi quando, in realtà, lavoratori IT remoti situati in Cina si spacciavano per Vong per lavorare al progetto di sviluppo software del governo.
Ci sono indicazioni che suggeriscono che il secondo individuo, indicato come “John Doe”, sia nordcoreano e lavori come sviluppatore software a Shenyang, in Cina.
Ulteriori sviluppi
“Vong […] non ha svolto lavoro di sviluppo software“, ha detto il DoJ. “Invece, Vong lavorava in un salone di bellezza a Bowie, nel Maryland, mentre un individuo o individui situati in Cina utilizzavano le credenziali di accesso di Vong per connettersi a un sito web governativo sicuro, svolgere il lavoro di sviluppo software e partecipare alle riunioni aziendali online regolari.”
Parallelamente, il DoJ ha detto di aver preso il controllo di ben 12 siti web che venivano utilizzati dai lavoratori IT per ottenere contratti di lavoro remoto mascherandosi come società di servizi IT con sede negli Stati Uniti che offrivano soluzioni di intelligenza artificiale, blockchain e cloud computing.
Come rivelato in precedenza nei documenti del tribunale alla fine dello scorso anno, questi lavoratori IT, parte del Dipartimento dell’Industria delle Munizioni del Partito dei Lavoratori della Corea, sono noti per essere inviati in paesi come la Cina e la Russia, da dove vengono assunti come freelance con l’obiettivo finale di generare entrate per la Corea del Nord.
“La Corea del Nord sta eludendo le sanzioni degli Stati Uniti e delle Nazioni Unite prendendo di mira aziende private per generare illecitamente entrate sostanziali per il regime“, ha detto in un avviso il Federal Bureau of Investigation (FBI) degli Stati Uniti.
“I lavoratori IT nordcoreani utilizzano una varietà di tecniche per offuscare la propria identità, incluso il ricorso a individui con sede negli Stati Uniti, sia consapevoli che inconsapevoli, per ottenere impieghi fraudolenti e accesso alle reti aziendali statunitensi per generare queste entrate.”
Un recente rapporto di Reuters ha rivelato che i criminali informatici della Corea del Nord sono stati collegati a 97 sospetti attacchi informatici a società di criptovalute tra il 2017 e il 2024, ottenendo profitti illeciti per 3,6 miliardi di dollari.
Si stima che gli avversari abbiano riciclato i 147,5 milioni di dollari rubati dall’attacco all’exchange di criptovalute HTX l’anno scorso attraverso la piattaforma di valuta virtuale Tornado Cash nel marzo 2024.