Onderzoekers onthullen grootschalige online nep-valutaoperatie in India

Cybersecurityonderzoekers van het STRIKE-team van CloudSEK gebruikten gezichtsherkenning en gps-gegevens om een grootschalige nepvalutaoperatie van meer dan 2 miljoen dollar in India te ontmaskeren. Dit rapport beschrijft de onthulling van de betrokkenen en hun activiteiten op Facebook en Instagram.

Een grootschalige valsgeldoperatie zou valse bankbiljetten ter waarde van miljoenen dollars in omloop brengen, wat aan het licht is gebracht door cybersecuritybedrijf CloudSEK. Het STRIKE-team van CloudSEK, dat is gedeeld met Hackread.com, heeft niet alleen de enorme omvang van deze illegale handel in kaart gebracht, die naar schatting ₹17,5 crore (meer dan $ 2 miljoen) aan vals Indiaas geld heeft opgebracht in slechts zes maanden (26 december 2024 tot 26 juni 2025), maar is er ook in geslaagd de sleutelfiguren achter de operatie te identificeren en te lokaliseren.

Het unieke aan deze onthulling is de directe toewijzing van daders. Met behulp van digitale forensische analyse, gps-gegevens en gezichtsherkenningstechnologie heeft CloudSEK belangrijke spelers in de Indiase deelstaat Maharashtra geïdentificeerd en gelokaliseerd.

Volgens Sourajeet Majumder, beveiligingsonderzoeker bij CloudSEK: "Dit is de eerste keer dat een cyberonderzoek zo'n nauwkeurige toeschrijving heeft opgeleverd van namaakactoren die actief zijn in de openbare digitale wereld. We hebben niet alleen content gevonden, we hebben ook de belangrijkste daders geïdentificeerd."

Naar verluidt maken kwaadwillenden gebruik van populaire socialemediaplatforms zoals Facebook en Instagram in deze campagne. CloudSEK's XVigil-platform speelde een cruciale rol in de detectie ervan door open-sourceomgevingen te monitoren op specifieke termen zoals 'tweede serie' of 'A1-notities', codewoorden die door verkopers worden gebruikt.

Het onderzoek bracht meer dan 4500 berichten aan het licht die vals geld aanprezen en meer dan 750 accounts of pagina's die betrokken waren bij de verkoop van deze valse bankbiljetten. Bovendien werden meer dan 410 unieke telefoonnummers gevonden die verbonden waren met verkopers. Deze groepen gebruikten zelfs Meta Ads voor betaalde promoties en benaderden openlijk potentiële kopers. Sommige verkopers gingen zelfs zo ver dat ze video's, handgeschreven aantekeningen en zelfs videogesprekken deelden om de vermeende kwaliteit van hun valse geld te laten zien, waardoor een gevaarlijke, op vertrouwen gebaseerde zwarte markt ontstond.

De onderzoekers van CloudSEK combineerden geavanceerde Open Source Intelligence (OSINT) en Human Intelligence (HUMINT) technieken om groepsbeheerders en verkopers te ontmaskeren. Ze verzamelden gezichtsafbeeldingen, telefoonnummers, exacte GPS-locaties en socialemediaprofielen van de belangrijkste verdachten.

De onderzoekers identificeerden ook verschillende accounts die opereerden onder aliassen zoals Vivek Kumar, Karan Pawar en Sachin Deeva. Geolocatiegegevens wezen op activiteit in Jamade Village (district Dhule, Maharashtra) en Pune, wat sterk wees op een gecoördineerd syndicaat dat voornamelijk in Maharashtra gevestigd was, met Dhule als potentiële hotspot.

Nader onderzoek wees uit dat de vervalsers hun valse bankbiljetten via verschillende socialemediakanalen adverteren met hashtags zoals #fakecurrency. Om vertrouwen te winnen, communiceren ze met kopers via WhatsApp, delen ze 'bewijs'-afbeeldingen en bieden ze zelfs live videogesprekken aan. De productie maakt gebruik van professionele tools zoals Adobe Photoshop , industriële printers en papier dat soms beveiligingskenmerken nabootst, zoals Mahatma Gandhi-watermerken en groene veiligheidsdraden.

CloudSEK heeft de bevindingen gedeeld met relevante wetshandhavingsinstanties op zowel staats- als nationaal niveau. Hierdoor konden we gedetailleerde informatie verzamelen om dit criminele netwerk te ontmantelen en de financiële stabiliteit van het land te beschermen.