
[REDACTED] · Live-Chat-Betrug · IDOR · Seit 14 Monaten aktiv · März 2026
Zusammenfassung
Diese Untersuchung dokumentiert [REDACTED] — eine raffinierte Possibly phishing-Aktion, bei der über die Backend-Domain vorgetäuscht wurde, es handele sich um [REDACTED] [REDACTED]. Kandidat für 14 Monate (Januar 2025 – Februar 2026) richtete sich die Aktion über einen gefälschten Support-Chat gegen Krypto-Nutzer, wobei Seed-Phrasen abgegriffen und unter dem Vorwand der „OFAC-Konformität“ und des „Vermögensersatzes“ Einzahlungen gefordert wurden. Alle 1.900 Gespräche mit den Opfern wurden über eine kritische IDOR-Sicherheitslücke abgefangen. Die Identität des Hauptbetreibers wurde aufgedeckt.
So funktioniert der Betrug: Ablauf des Angriffs
Die Vorgehensweise folgt einem sorgfältig ausgearbeiteten 5-stufigen Ablauf, um aus jedem Opfer den größtmöglichen Gewinn zu erzielen:
Finanzieller Schaden: Die höchsten bestätigten Verluste
| Chat-ID | Betrag | Vermögenswert | Kontext |
|---|---|---|---|
| #1795 | 197.000 USDT | TRON (TRC-20) | Von der Ex-Frau ausgeliehen |
| #481 | ~45,77 ETH | Ethereum | Mehrere Einzahlungen |
| #965 | ~16.000 USDT | USDT | Fortlaufende Einzahlungen |
| #720 | 8.000 USDT | TRC-20 | Eintägiger Transfer |
| #1090 | 5.839 USDT | USDT | Alleinerziehende Mutter, Verlust bestätigt |
| #1430 | ~3.686 USDT | USDT | Zwei getrennte Einzahlungen |
| #92 | 3.340,23 USDT | USDT | Bestätigter genauer Betrag |
| #1089 | 0,3201 BTC | Bitcoin | Aus der [REDACTED]-Hardware-Wallet |
Der tatsächliche Schaden dürfte weitaus höher sein
Es handelt sich hierbei um unbestätigte Angaben aus Chat-Protokollen. Viele Opfer haben die Beträge nie gemeldet. Aufgrund der regelmäßigen Wechsel der Wallets lassen sich die Gesamtbeträge in der Blockchain ohne eine vollständige Rückverfolgung der Blockchain nicht berechnen.
Identifizierung des Bedieners
Hauptbetreiber: Vasiliy Navrotsky
| Parameter | Wert |
|---|---|
| Vollständiger Name | Vasiliy Navrotsky (Василий Навроцкий) |
| [REDACTED]-ID | 6005741623 |
| Aktueller Handle | @Addmeks |
| Benutzernamen-Verlauf | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Gültigkeitszeitraum | Juli 2023 – Mai 2025 |
| Nachverfolgte Nachrichten | 249 in 61 [REDACTED]-Gruppen |
| Wichtige Gruppen | LEI:5493004F7TI6QBM4WX72 RU (34), P2P LAB (9), [REDACTED] RU (6) |
In den Chat-Protokollen identifizierte Teammitglieder
Social-Engineering-Taktiken
| Taktik | Nachrichten | Beschreibung |
|---|---|---|
| Identitätsbetrug im Zusammenhang mit [REDACTED] | 1,905 | Gibt sich als offizieller Support von [REDACTED] aus |
| Anträge auf Sperrung/Blockierung von Wallets | 360 | Behauptung, das Wallet sei aufgrund „verdächtiger Aktivitäten“ gesperrt worden |
| Angebote zum Austausch von Vermögenswerten | 305 | Das Versprechen, eingefrorene Vermögenswerte nach der Einzahlung zu „ersetzen“ |
| Drohungen mit OFAC-Sanktionen | 210 | Falsche Behauptungen über Sanktionen des US-Finanzministeriums gegen eine Wallet |
| Forderungen nach einer Kaution zur Freischaltung | 185 | Kryptowährungseinzahlung erforderlich, um die Wallet zu „entsperren“ |
| Gefälschte Staking-Angebote | 161 | Benutzerdefinierte APY-Staking-Pools im Admin-Bereich |
| Vorwürfe im Zusammenhang mit Geldwäschebekämpfung und Terrorismusfinanzierung | 66 | Opfern Geldwäsche vorwerfen |
Die Ironie
Russischsprachige Betrüger, die es auf russischsprachige Opfer abgesehen haben (51 % der Chats auf Russisch) und mit folgenden Drohungen arbeiten: Sanktionen des US-Finanzministeriums (OFAC) — ein Regulierungsmechanismus, der in geografischer Hinsicht keinen Bezug zu den Betroffenen hat. Vorlagenbasiertes Social Engineering statt kontextbezogenes Verständnis.
Trichter zur Einbindung von Opfern
Sprachen: Russisch 51 % (3.013 Nachrichten) · Englisch 40 % (2.995 Nachrichten) · Sonstige 9 % (365 Nachrichten)
Höchstaktivität: November 2025 (959 Nachrichten). Arbeitszeiten 10:00–13:00 UTC, am Wochenende 40 % weniger.
Infrastrukturanalyse
Kernbereichsarchitektur: [REDACTED]
| Komponente | Details |
|---|---|
| Victim-API | [REDACTED] |
| Admin-Backend | [REDACTED] / [REDACTED] |
| Statisches CDN | [REDACTED] |
| Backend-Stack | Java Spring Boot + Spring Security, JWT RS256 |
| Datenbank | PostgreSQL (JPA/Hibernate) |
| Frontend | React CRA + Material UI (339 Quelldateien wiederhergestellt) |
| Webserver | nginx/1.18.0 (Ubuntu) |
Hosting-Infrastruktur
| IP | Standort | Anbieter | Rolle |
|---|---|---|---|
45.144.30.6 | Moskau, RU | UFO Hosting (AS33993) | In erster Linie auf die Opfer ausgerichtet |
2.56.178.117 | Moskau, RU | UFO Hosting (AS33993) | Anfangsphase (Jan.-Feb. 2025) |
185.170.198.121 | Vilnius, LT | IANA #1636 (AS47583) | Possibly phishing-Frontend |
69.10.62.71 | New York, USA | Interserver (AS19318) | Opferorientiert |
69.49.231.166 | Atlanta, Georgia | Netzwerklösungen | Aktuelle Primärdomäne – alle *.[REDACTED] |
94.131.121.154 | Moskau, RU | UFO Hosting (AS33993) | Possibly phishing |
146.185.239.62 | Madrid, ES | GTHost (AS63023) | Sekundär (Casino + Next.js) |
Possibly phishing-Domains (rotierend)
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
Kritische Sicherheitslücken
Die Infrastruktur des Betrugs-Panels war voller Schwachstellen, die eine vollständige Datenextraktion zum Kinderspiel machten:
11 Nicht authentifizierte API-Endpunkte
Funktionen des Admin-Panels (Quellcode-Analyse)
Aus offengelegten Quellcode-Maps der Produktionsumgebung wurden 339 Quelldateien wiederhergestellt (main.3924229a.js.map). Das Podium besteht aus:
Forschungsaktivitäten Dritter festgestellt
Reverse-Shell-Payload in Chat Nr. 1 gefunden
Es wurde eine Base64-kodierte Reverse-Shell-Nutzlast entdeckt, die über den nicht authentifizierten /message/save Endpunkt auf 6. Mai 2025 — etwa 10 Monate vor dieser Untersuchung. Dies deutet darauf hin, dass die Sicherheitslücken über einen längeren Zeitraum öffentlich ausgenutzt werden konnten und ein anderer Forscher sie schon lange vor uns entdeckt hatte.
Zeitplan der Operation
Empfehlungen für Nutzer
- Gib deine Seed-Phrasen niemals weiter per Chat, E-Mail oder über einen anderen Supportkanal – [REDACTED] wird niemals danach fragen
- Support-Ansprechpartner überprüfen ausschließlich über die offiziellen Kanäle von [REDACTED]
- OFAC-/AML-Bedrohungen erkennen als gängige Betrugsvorwände – seriöse Dienste sperren Wallets nicht per Chat
- Possibly phishing-Domains melden an das Sicherheitsteam von [REDACTED] und THE ENABLERS REGISTRY
- Verwenden Sie Hardware-Wallets zur Unterschrift bei Auszahlungen, um unbefugte Überweisungen zu verhindern
- Wallet-Status überprüfen über den Blockchain-Transaktionsverlauf, nicht über eine „Support“-Oberfläche
Vollständiger technischer Bericht mit Chat-Protokollen
Vollständige Ermittlungsdaten einschließlich aller Chat-Protokolle, Wallet-Adressen, Betreiberanalysen und interaktiver Visualisierungen
Den vollständigen Bericht auf GitHub anzeigen →Alle 1.900 Chat-Protokolle anzeigen →