CryptoCore：揭露复杂的加密货币诈骗操作

• 2025-02-27 14:13:34

如果听起来好得令人难以置信，那它很可能就不是真的。

随著数字货币的迅速增长，加密货币诈骗也随之增加，对加密投资者和使用者构成了重大风险。这些诈骗通常以高回报的承诺吸引人们，或者使用复杂的计划来欺诈即使是最小心的人。了解这些诈骗对于保护潜在受害者，并安全地穿梭于不断变化的加密货币市场至关重要。随著人工智能AI和深度仿冒技术的出现，利用知名人物和重大事件的诈骗大幅增加，这些技术使得创造出逼真却虚假的视频成为可能。因此，许多诈骗企图利用名人或重大事件的流行和可信度来欺骗尽可能多的人。

诈骗者使用各种媒介来分发假页面和视频。通过使用不同的平台，他们能够接触到广泛的受众，并提高吸引更多人的可能性。诈骗者在2018年首次使用的媒介是社交平台X当时称为Twitter。具体而言，诈骗者劫持了英国时尚零售商Matalan、电影发行公司Pathe UK和美国出版商Pantheon Books的三个知名且经过验证的Twitter帐户。攻击者使用埃隆马斯克的名字和肖像透过推文推广诈骗广告[1]。自2019年起，骇客也一直在劫持高端YouTube频道以播送加密货币诈骗。

为了对抗这些劫持，谷歌花了大量时间研究黑客使用的技术，以破解数千名YouTube创作者的帐户。然而，这并未完全阻止诈骗者，他们仍然不时成功劫持帐户[2 3]。该问题引起了其他研究者的广泛关注，促进了几篇科学出版物，试图解决不同平台上的加密诈骗问题，这包括上述的YouTube和Twitter，还有近年来变得更为突出的其他平台，如TikTok、Telegram和WhatsApp[49]。

毫无疑问，这些来源描述了在所有这些平台上相似的作业模式和相关技术。利用AI的深度伪造技术自然成为加密诈骗活动中的关键工具。近年来，有一种特定的诈骗事件的发生率越来越高，该事件基于由滥用事件和知名人士所宣布的赠品活动。我们将诈骗团体称为CryptoCore，其因其复杂的策略和成功地利用 unsuspecting victims 而闻名。该诈骗团体及其赠品活动利用深度伪造技术、被劫持的YouTube帐户和专业设计的网站来欺骗用户，让他们将加密货币转移到诈骗者的钱包中。

本报告探讨了CryptoCore团体诈骗的复杂性，并分析了他们的作业模式。我们将描述关键的滥用事件，包括劫持的YouTube帐户和深度伪造视频，以及对诈骗网站的技术分析。这项研究的目的之一是提供一个基础分析及诈骗钱包的关键统计这些钱包已获得数百万美元的利润，同时提供检测的统计数据，显示受害者是如何被引诱到可疑网站最终成为加密诈骗的受害者。

通过收集有关CryptoCore团体运作和赠品诈骗的信息和见解，旨在更好地理解他们如何运作以及如何操控受害者，我们希望能够帮助抵制其运作并保护数字世界。

内容目录

主要的攻击矢量依赖于对已建立品牌和知名人士的信任以及对重大文化和政治事件的兴趣的简单利用。最常见的方法是说服潜在受害者相信在线发布的消息或事件是来自可信社交媒体帐户或事件页面的官方通信，从而附带上所选品牌、人物或事件的信任。这一初步矢量通常将受害者引导至一个假网站，该网站承诺快速且轻松的利润。为了进一步施加压力，他们通常会使用有限时间的“赠品”优惠，促使受害者迅速行动。否则，按说他们将失去获得迅速利润的机会。

这一初步攻击矢量最常体现为知名人士为提升某个声称有前景的加密货币而投资一定数额的事件，该加密货币主要针对新的加密货币用户。他们经常试图进一步混淆，并通过与与技术相关的真正事件如太空飞行或伪造专注于加密货币的研讨会之类的活动混为一谈，以使区别变得更加困难。

CryptoCore团体的成功源于其在滥用事件之前的周密准备，先进的基础设施，及其曝光诈骗内容以触及越多人群的能力。

在发布恶意内容之前通常是一个包含QR码并链接至诈骗网站的视频，攻击者需要设置一个环境来分享其内容，如果成功，将导致受害者被引导至假网站。他们需要劫持一个有大量订阅者/跟随者的帐户。对用户数量多的YouTube创作者成功劫持的纪录案例通常是通过电子邮件中的钓鱼或恶意软体开始的；恶意软体可以窃取会话或认证。钓鱼邮件可能会告知帐户持有者关于YouTube条款的变更，或提议与帐户持有者的YouTube帐户进行广告合作[2]。其他受欢迎社交平台上的帐户持有者也使用类似的方法。

攻击者预先准备深度伪造内容，并等待能够吸引更大观众的机会。在事件当天，他们修改帐户，改变背景和描述，并添加假内容以增强真实感。最后，他们等待受害者搜寻官方活动。鉴于被劫持帐户的高订阅数，搜索结果通常主要显示假内容的可能性很高。与目标事件相关的关键字，加上大量的跟随者/订阅者，让被劫持的帐户出现在顶部搜索结果中。

一旦受害者确信这是个独特的事件，他们便会被重定向到诈骗网站，该网站外观专业，包括可通过在线聊天联系的“技术支持”。此外，网站上还提供指示、活动的规则和加密钱包，包括一个假交易系统，以使该页面看起来更合法。问题在于如果受害者发送了钱，则无法找回。

CryptoCore诈骗网站示例

根据评估的作业模式，我们看到有强烈迹象表明这是一个庞大且复杂的诈骗运作，使用多种技术和诈骗方法。他们的技术利用了几个对其运作成功至关重要的关键工具。

CryptoCore组件

第一步是吸引最大的受众和潜在受害者。为此，该团体识别将广泛宣传并附有直播的重大事件。第二步是创建与官方事件视频相似的深度伪造视频，并利用植入的QR码来滥用事件，将其引向诈骗网站。技术分析证明这些诈骗网站是使用相同的模式和框架生成的。

一旦假视频和网站就绪，攻击者便使用来自受欢迎平台特别是YouTube的被劫持帐户来分发这些内容。因此，获取这些被劫持帐户是运作的另一个关键部分，因为有许多订阅者的帐户会提高吸引目标受害者的可能性。此外，假评论也补充了滥用事件的分发。最终，成功的活动会收集到使用诈骗方式获得的加密钱包及其电子货币。

我们已经弄清楚受害者是如何被引导到假视频或被劫持的帐户的；这是诈骗者运作的一个关键部分，因为它主要旨在多平台进行。最初阶段主要观察到是在桌面平台，而登陆页面则通过QR码导向智能设备。

大多数受害者都是通过在流行搜索引擎中搜索与滥用事件相关的关键字来到诈骗视频的，例如“spacex starship launch 4”、“starship flight test”和“start starship”。另一个直接的访问点是直接在YouTube中搜索关键字，例如“eclipse 2024 totality”、“integrated flight test four”和“spaceship”。除了直接搜索，我们还观察到在各种论坛上的假或滥用评论，以及在X、Facebook和Twitch等平台上的帖子。以下是一些例子。

来自不同社交网络的诈骗视频链接

我们将诈骗者团体命名为其用来生成登陆页面的框架CryptoCore。然而，这些活动可能是几个独立的网络犯罪团体之间的合作成果，可能是通过分包形式合作。

登陆页面是使用各种黑客论坛上以CryptoProject品牌广告的框架创建的。开发者提供约100在个人域名上进行部署，甚至展示了我们跟踪的赠品活动的示例，如下图所示。可以通过他们的Telegram机器人下订单以获得特定的页面。

CryptoProject广告

有趣的是，深度伪造视频甚至被盗用的帐户或评论也可以以类似的方式获得。这意味著所有必要的工具都作为服务可用。这使我们自然思考整个诈骗活动是否可以通过一项服务获得，而客户只需提供加密钱包基本上是诈骗即服务，或者这是单个团体的工作，可能正在外包其活动的某些部分。

尽管如此，我们可以高信心地断言，登陆页面是使用可作为服务的框架创建的，可能我们甚至可以将这一评估推广到其部分，如深度伪造视频、被劫持的帐户和假评论。需要进一步研究以揭示有关其他链接的更多细节，特别是有关诈骗加密钱包的情况，这可以排除其中的一个选择。

我们在六个月的分析期间发现了数百个加密钱包，涉及的周转金额高达数百万美元。然而，值得注意的是，仅仅将每个钱包的所有进入交易加起来，并不足以确定最终价值，因为还需要从同一钱包中扣除以比特币为单位的所有外出交易。我们也记录了与任何赠品活动无关的大额交易，推测是骇客在其钱包之间转移的资金。然而，这些钱包显然属于攻击者而非中介。因此，以下有关加密钱包的统计数据并不精确，但提供了一个关于该团体非法活动产生的收入大致范围的基本概况。

我们总共检测到1200个加密钱包，最常用的货币是以太坊Ethereum、比特币Bitcoin、泰达币Tether和多吉币Dogecoin，如下图所示。

诈骗者所滥用加密钱包的分布，包括价值

这些钱包的总周转金额约为5400000。下表总结了每个钱包的交易详情。在绝对值方面，比特币钱包因其高价值占据了总周转额的最大份额，排在第二的则是以太坊钱包。收集的加密钱包的完整列表如下IoC部分。

钱包 价值BTC 3229752ETH 1651163DOGE 238724SOL 102294XRP 188441 5410377

由于YouTube仍然是全球最受欢迎的视频分享平台，拥有数十亿的用户，诈骗者积极利用其验证机制。先前的分析和博客文章记录了数百个可疑帐户。最常被劫持的帐户来自两个案例，其中一个有1900万的订阅者，另一个则接近1200万[4 10]。在我们的观察中，有500万订阅者的帐户并不罕见。如此高的订阅量使诈骗者能在前10名搜索结果中呈现。

被劫持的帐户位列搜索结果前10名之中

尽管这些频道逃避了YouTube的检测及随之而来的封锁，但它们的主题内容会根据当前活动的需求进行调整。某个频道的名称可能会包含MicroStrategy、特斯拉、SpaceX、Ripple等名称。通常，背景图片、频道名称、描述和别名例如@RippleXRP24、@MicroStrategys会被更改，通常依赖拼写混淆来误导受害者。攻击者还会将原始拥有者的视频设置为私人，然后上传他们自己的内容，从而使帐户看起来尽可能可信，即便该帐户拥有认证状态和大量粉丝。

显然，这是对拥有大量订阅者的YouTube帐户的大规模攻击。如果诈骗者没有针对特定事件，我们每天观察到几个被劫持的帐户，通常以MicroStrategy或XRP为主题。然而，在一些重大的全球事件发生时，例如SpaceX的发射，被窃取的活跃帐户数量可能会增至数十个。

个别帐户因违反规则被YouTube封锁或删除，但在大多数情况下并非如此。此外，许多被滥用的帐户只能被中止，且有些帐户在下次有希望的事件之前保持活跃。因此，被中止的帐户可以在多个CryptoCore活动中使用，直到被封锁。受害者经常报告，向YouTube证明帐户所有权非常困难。此外，帐户可能被封锁或永久删除，所有内容也随之消失。考虑到大量的订阅者，结果对受害者来说是巨大的损失，因为他们的社群是在多年中建立的。

如同在作业模式中所提到的，帐户是通过钓鱼或通过电子邮件传播的恶意软体被盗取的。以往的研究认为攻击者正在从Gmail转向其他电子邮件提供商，主要利用emailcz、seznamcz、postcz和aolcom[2]。一个记录的案例涉及cookie窃取，使攻击者无需使用用户名、密码或两步验证就能访问该帐户[11]。此外，攻击者也可能在暗网上购买凭证。

我们并不打算提供YouTube帐户的完整统计分析，因为分析的帐户范围有限。然而，在我们的样本中超过20的被劫持帐户拥有超过一百万的订阅者。大约36的份额来自拥有10万到50万订阅者的帐户。因此，在我们发现的被盗帐户中，占据了绝大多数的都是拥有大量粉丝的帐户，特别是考虑到MicroStrategy的官方YouTube帐户只有391K的订阅者。

被劫持YouTube帐户的订阅者数量

如此高的订阅数量对于提高搜索结果非常有利，这不仅能增加可见性，也能增强可信度。在主题方面，大多数帐户试图将自己与SpaceX事件联系起来，其次是MicroStrategy，这一主题类型已经成为CryptoCore的主打内容。第三个重要的主题为Ripple。然而，我们必须考虑统计数据中的噪音，因为内容可能随时间而变化，且单个帐户可以覆盖多个话题。为了形象化，深度伪造视频的直播观看人数通常会达到数十万的规模。

被劫持YouTube帐户的最普遍主题

在这项研究中，我们见证了被劫持帐户的许多修改。操控的方法保持一致，因此我们将提供一个具体的示例，说明攻击者如何操作和滥用这些被破坏的帐户。

一个主要示例涉及一个拥有46万订阅者的被滥用YouTube帐户，幸运的是，这个案例有一个好结局。这个帐户在2024年5月20日被破解，并重建为“官方”MicroStrategy频道，包括背景图片和描述的修改以及从MicroStrategy的官方网站上传视频。受害者的原始视频被隐藏或设置为私人。

如果有人搜索关键字“MicroStrategy”，该被劫持的帐户在结果列表中排在第二。然而，频道的原始名称尽管已被重命名，但仍然保持在搜索列表中。视频包含一段著名的深度伪造视频，并附有指向非常熟悉的假页面的QR码。有趣的是，受害者YouTube频道的原始帖子仍在社区标签上；见下方动画。此外，我们利用这一错误与支持团队沟通，记录于案例2：可疑YouTube频道。最终，被劫持的帐户在第二天被终止。

CryptoCore诈骗示例

频道的合法拥有者宣布自己的YouTube帐户被黑客攻击

在这个案例中，我们还注意到受害者在其他社交平台上也有发布，并告知受众他们的YouTube帐户已被破解并用于散布MicroStrategy和Ripple相关的垃圾讯息。这表明该帐户在被劫持后存在的时间足够长，以在被YouTube关闭之前发送多个活动。

该帐户在诈骗活动中被滥用后被追回。请注意缺少内容。

经过一段时间后，该帐户被归还给其所有者。然而，被劫持帐户的别名仍然是活跃状态。因此，链接@REWARDMS2024依旧指向受害者的YouTube帐户。

被劫持帐户后来被恢复的社区标签

由于攻击者利用拥有大量受众的帐户，并希望尽可能长时间保留对其的访问权限，他们会试图隐藏自己的活动，以避免被帐户的合法拥有人检测到。每当他们结束一场活动，通常持续几小时，他们会尝试将帐户恢复到先前的状态。然而，他们在这些努力中并不总是谨慎，有可能会漏掉一些细节，例如频道名称或背景图片。

被劫持YouTube帐户的原始社区帖子示例

被盗帐户的常见迹象是社区标签，尽管被劫持的帐户被掩护，但仍包含原始所有者的帖子。

YouTube确实为帐户和内容的可见性定义规则和政策，但其自动诈骗检测的有效性不足。尽管CryptoCore诈骗已经是谷歌所熟知的长期问题[2]，但诈骗活动没有明显减少。相反，重大媒体事件例如SpaceX飞行测试持续受到类似模式的利用，而这些模式本可以自动检测。尽管YouTube有机制来阻止不当内容和帐户，但这些措施往往需要更长时间和更大努力来响应。YouTube的视频和帐户通常基于用户报告进行封锁，这需要大量用户干预以触发封锁行动。因此，带有诈骗视频的被劫持帐户在滥用事件后的几天内并未被删除，如下图所示。

几天后被封锁的诈骗视频

Cloudflare有时会显示有关可疑内容的警告，但这很少见且主要用于执行期间较长的域名。因此，我们看到在提供商基础设施层面上稍微积极的活动，尽管登陆页面是使用相同的CryptoCore框架生成的，并且有可轻松识别和封锁的静态文物。

Cloudflare警告

正如上述所说，攻击者正在利用各种事件来吸引尽可能多的受害者。我们在观察期间录得了五个重要事件。

在1月初，MicroStrategy的执行董事长Michael Saylor开始出售价值216亿美元的公司股票[12]。攻击者利用该事件在互联网上充斥著假视频，宣称Michael Saylor正在赠送1亿美元。该事件在2024年全年持续被滥用。

另一个显著的高峰发生于2024年3月14日，当时SpaceX在进行SpaceX Starship集成飞行测试IFT3[13]时受到了渗透。这段期间检测到的诈骗次数达到最高。

三月中旬，一场假活动在路透社披露SpaceX的合约，其中SpaceX声称为美国情报机构建立数百颗间谍卫星[14]后运行。

另一个显著的高峰发生在2024年4月8日，正值日全食之际，SpaceX的名字再次在CryptoCore活动中被滥用。

最后一个重大活动发生在2024年6月6日，当时SpaceX Starship集成飞行测试IFT4[15]展开。在这场持续数天的活动中，几乎有50个被劫持的YouTube帐户被利用。在这次活动中，我们识别了84个加密钱包，该钱包进行了500笔交易，总价值达到1413M。

SpaceX Starship IFT4诈骗视频及诈骗网站

此外，有时候小型活动也会滥用选举或科技公司的事件。以下示例展示了WWDC24苹果开发者大会及“唐纳德特朗普赠品”的登陆页面。

CryptoCore网站滥用WWDC24苹果开发者大会

CryptoCore网站滥用唐纳德特朗普的选举

CryptoCore活动利用深度伪造视频来补充YouTube帐户。这些视频滥用来自知名事件、知名人物或公司官方素材。例如，针对SpaceX和埃隆马斯克的案例，我们观察到利用来自SpaceX全体会议2024、星际飞船飞行测试，以及2022年星际飞船更新的视频。对于Michael Saylor的活动，滥用的视频包括《Bitcoin is Digital Energy with Michael Saylor》、《10 Rules for Life with Michael Saylor》和《The Nature of Energy with Michael Saylor》。其他被针对的名人还包括Larry Fink黑石集团CEO、Vitalik Buterin以太坊的程序员和共同创始人和Bradley GarlinghouseRipple Labs公司CEO。

以下的深度伪造视频合辑展示了作业模式及其常见主题：知名人物谈论双倍投资的独特机会。视频运用了假声音，有些情况下甚至运用了先进的深度伪造技术，如声音同步。通常，这些视频每12分钟会循环播放，并且通常会以火箭发射的倒计时或在线直播开始。

深度伪造视频合辑

此外，有些视频是预录的并作为直播发布。例如，我们曾见到一个新帐户展示约三小时长的视频，然后标记为私人，但稍后同一内容在同一帐户出现为直播。有时候，我们看到捕获的直播中添加诈骗相关的元素，例如特定的背景或视频流中的QR码。

以太坊主题的直播捕获了插入诈骗元素的过程。 黑石集团主题的直播捕获了插入诈骗元素的过程。

在最近一次重大加密活动中，我们注意到深度伪造技术的使用进步。视频现在以高品质的唇部同步显示详细的名人画面，这可以轻松地欺骗观众使其相信他们在观看官方声明。此外，他们还使用原始背景的部份，比如大型屏幕，无缝展示与诈骗相关的信息。

捕获的ITF4深度伪造视频直播，进行唇部同步 捕获的Michael Saylor深度伪造视频直播，进行唇部同步

此外，被滥用的人物已对这些诈骗发布了官方声明，但在阻止诈骗方面成效不大[16 17]。

对加密诈骗的官方声明

我们从2024年1月到6月六个月的时间范围内，检测到由CryptoCore框架生成的340个不同域名的诈骗网站。以下图表显示了这些诈骗网站中使用的标题分布。总结来看，最常被滥用的主题是MicroStrategy、SpaceX和Tesla。

诈骗网站上最常见的标题

最常被滥用的主题

有趣的是，攻击者有时会更改诈骗网站上的钱包。当钱包在某些加密诈骗列表上被标记后，就可能发生这种情况。下图显示了随时间推移，两个域名的钱包变更过程。因此，收集加密钱包信息是个持续的过程，需定期监控这些诈骗网站上的内容。

随时间推移变更钱包的域名

我们还分析了假网站及其框架所构建的基础设施的基本技术面向。这些网站的网页设计主要是基于混淆过的JavaScript。它易于隐藏加密钱包、常量、其他特征和生成动态内容的变数。同样，钱包的QR码是通过另一段混淆的JavaScript生成并在本地存储于内存。

主页的HTML代码

每五秒生成随机交易编号和钱包地址，以模拟完成的交易，并提高事件的可靠性。

钱包定义还包括决定假在线交易如何随机生成的变量。每个钱包定义一个随机节点，包含有关哈希交易格式和接收者钱包的信息，这包括前缀和长度。

加密钱包和随机交易定义

因此，最终效果看起来专业且合法，但哈希和钱包被故意简化，使其无法验证。

假在线交易系统

JavaScript代码还采用了多种技术来防止对诈骗页面的详细检查。特定的键盘快捷键允许访问实现细节，如CtrlU、CtrlS、F12等，这些都被禁用，并导向/clarity页面，进入CryptoCore的介绍页面。

CryptoCore介绍页面

此外，这些页面还会拦截并禁止复制事件；复制钱包Only via JavaScript代码。当“复制地址”按钮被点击时，会发送一个定义的事件给后端。API事件的结构如下：api/eventid=lteventgt，其中lteventgt是针对每个钱包定义的。最后，JavaScript代码中的钱包地址使用简单的Base64编码逆向加密。

与“支持团队”交流的在线聊天使用诸如LiveChat、Tawkto和Smartsupp等第三方服务来实现。这三种服务也提供试用版或免费版。在先前启动的网站中，我们观察到聊天常常被阻止。但是，聊天总是可用的，并准备与新启动网站上的潜在受害者沟通。

在呈现所需页面之前，攻击者实施了几种机制来防止简单的网络爬虫。第一种机制涉及管理cookie，这些cookie在客户端计算，基于在初次接触C2伺服器时发送的常量。推导cookie的具体代码如下：

documentcookie = 0x= toHex(slowAESdecrypt(c 2 a b)) expires=Wed 01 Jan 2025 222222 GMT path=/

常量a、b和c由C2伺服器定义，与受害者的IP地址相连。这使攻击者能更好地屏蔽所选的ISP。此外，会话无法转移，如果cookie不匹配，伺服器将不断发送请求，计算当前和正确cookie，与给定IP地址匹配。因此，若一切匹配，伺服器将发送所请求的内容。

第二种机制涉及检查HTTP标头中的用户代理。如果用户代理在黑名单上如wget、curl等，网络伺服器返回403 Forbidden响应。此外，还有ISP过滤，这使得被封锁的ISP返回404 Not Found响应。

收集的域名和解析的IP地址之间存在有趣的差异。我们收集到340个不同的可疑网站域名，但约有440个IP地址。这一差异是由于这些网站通常托管在动态反向代理后面。因此，我们收集了许多IP地址。

绝大多数99的这些代理IP是Cloudflare提供的，只有1观察到使用了Akamai Technologies。使用反向代理使得追踪并确定网络伺服器的准确位置变得非常困难。此外，反向代理使自动网络爬虫的运行变得更加复杂，需要进行机器人验证。

所用反向代理的分布

加密诈骗网站位于Cloudflare保护后

然而，根据2021年的历史数据，当该团体尚未使用反向代理时，我们确定近70的网络伺服器托管在俄罗斯，15则位于荷兰。这些网络伺服器运行著Ubuntu和nginx网络伺服器。

前网络伺服器的国家分布

技术支持聊天

专业网站和大型公司的不可或缺的一部分是支持聊天。在CryptoCore的情况下，聊天通过第三方插件实现。以往的出版物指出，聊天可能与特定形式的LLM相连[18]。

与所谓的技术支持进行的一些测试交流让我们推测，回应的确是有实际的人。在下方显示的几个互动示例中，支持团队一般会试图说服您他们的合法性。如果您询问的交易是您进行过的但是未收到承诺的双倍回报，他们将要求您提供交易哈希或截图。不出所料，没有任何申诉导致退款。

案例1：伪造的交易确认

我们创建了一个假的截图，显示转移了033 BTC，但以当前价格只有600美元。支持团队对当前价格的数额进行了明确询问。这表示支持团队能够回应图片和更复杂内容例如可疑的BTC价格，进而推测可能排除简单的LLM聊天机器人。

案例2：可疑的YouTube频道

在第二个案例中，我们质疑支持团队的钱包出现在加密诈骗追踪器上的问题。他们回应说，这是Michael Saylor的官方活动，包括一个经过验证的YouTube帐户。我们进一步的论点是该YouTube帐户中含有来自另一用户被劫持者的帖子。这一明显的差异被解释为YouTube的错误，与他们没有关联。关于这一YouTube频道的详细故事可见于被劫持的YouTube帐户示例部分。

案例3：钱包上的无交易

我们对支持团队质疑，他们的交易仪表板显示大量交易，但我们在区块链上找不到任何交易。他们的反应相当不可信。此外，他们表示没有办法证明我们的投资将被退还。

案例4：伪造的交易系统仪表板

我们再次创建了一个假的截图，显示BTC转移以及一个产品同一交易ID、货币和BTC数量的假仪表板。我们询问为何交易出现于仪表板上时却未收到付款。他们的简要回应声称该交易已经支付，无法是我们的。

支持团队沟通示例

有关赠品诈骗的检测集中于桌面和智能设备智能手机上的诈骗页面。然而，诈骗者鼓励受害者使用智能设备扫描QR码，以避免杀毒解决方案，因为超过50的智能设备都没有保护[19]。我们的遥测数据显示，CryptoCore检测在桌面和智能平台的命中比率为25，这显示出在引导受害者至通常未受保护的平台方面相当成功。

我们的遥测数据还显示检测命中的数量与诈骗集团滥用的事件之间存在关联。我们总共可以辨识出五个与CryptoCore检测有显著关联的加密世界事件。被滥用事件