Blog

Pig Butchering Scam Guide

Pig butchering remains one of the most expensive social-financial attack classes because it is patient, adaptive, and psychologically engineered. Security teams that treat it as a simple phishing case usually respond too late. This guide focuses on operational detection and response across Telegram, Discord, and hybrid enterprise channels.Pig butchering остаётся одним из самых дорогостоящих классов социально-финансовых атак, потому что он терпеливый, адаптивный и психологически выверенный. Команды безопасности, которые рассматривают его как обычный фишинг, обычно реагируют слишком поздно. Этот гайд фокусируется на операционном обнаружении и реагировании в Telegram, Discord и гибридных enterprise-каналах.

1. How the campaign is structured1. Как устроена кампания

Unlike one-shot scams, pig butchering is staged. The first phase looks harmless and often bypasses moderation because there are no direct fraud indicators yet. Attackers invest in relationship quality, narrative consistency, and emotional dependency before introducing investment actions.В отличие от одношаговых схем, pig butchering работает поэтапно. Первая фаза выглядит безобидно и часто проходит модерацию, потому что прямых признаков мошенничества ещё нет. Атакующие инвестируют в качество отношений, связность нарратива и эмоциональную зависимость до перехода к инвестиционным действиям.

  • Stage A: low-friction social contact and profile normalization.Стадия A: низкофрикционный social-контакт и нормализация профиля.
  • Stage B: routine trust loop with daily check-ins and personal disclosures.Стадия B: рутинный trust-loop с ежедневной коммуникацией и личными disclosure.
  • Stage C: “exclusive” investment opportunity with guided onboarding.Стадия C: «эксклюзивная» инвестиционная возможность с guided-onboarding.
  • Stage D: manipulated dashboards, fake gains, and pressure to increase volume.Стадия D: манипулированные дешборды, фейковая прибыль и давление на рост объёма.
  • Stage E: withdrawal denial and repeated fee extraction.Стадия E: отказ в выводе и повторная экстракция комиссий.

2. Detection design for security teams2. Дизайн детекта для security-команд

Detection must be conversation-aware. Single-message scanning is not enough, because each message may look legitimate in isolation. The effective model combines script-level behavior, destination risk, and identity anomalies.Детект должен быть conversation-aware. Сканирования одного сообщения недостаточно, потому что каждое сообщение по отдельности может выглядеть легитимно. Рабочая модель объединяет скриптовое поведение, риск destination и аномалии идентичности.

  • Language bundle: trust script + urgency + move-to-private-channel request.Language bundle: trust-сценарий + срочность + перевод в приватный канал.
  • Infrastructure bundle: new domains, suspicious TLD, redirect mismatch, brand mimic.Infrastructure bundle: новые домены, подозрительные TLD, redirect mismatch, brand mimic.
  • Financial bundle: payment pressure, wallet connect prompts, unverified broker URLs.Financial bundle: давление на оплату, prompts подключения кошелька, непроверенные broker-URL.
  • Identity bundle: role switching, admin impersonation, contact mismatch.Identity bundle: смена ролей, имитация админа, contact mismatch.

3. Operational response model3. Операционная модель реагирования

For enterprise and regulated entities, response should be SLA-bound and evidence-driven. Every decision (warning, quarantine, block) must be traceable to reason codes and timeline context.Для enterprise и регулируемых организаций реагирование должно быть SLA-ограниченным и evidence-driven. Каждое решение (warning, quarantine, block) должно быть трассируемым к reason codes и timeline-контексту.

1Contain within minutes: isolate actor, freeze suspicious links, suspend automated forwarding.Contain в течение минут: изоляция актора, заморозка подозрительных ссылок, остановка автофорвардинга.
2Assess impact: identify exposed users, wallets, and transaction attempts.Оценка ущерба: выявление затронутых пользователей, кошельков и попыток транзакций.
3Coordinate functions: security, legal, finance, trust & safety, communications.Координация функций: security, legal, finance, trust & safety, communications.
4Preserve evidence: Decision Contracts, actor messages, domain and wallet indicators.Сохранение evidence: Decision Contracts, сообщения актора, доменные и wallet-индикаторы.

4. Metrics that actually matter4. Метрики, которые действительно важны

  • Time-to-detect for stage transition (social to financial).Time-to-detect перехода между стадиями (social -> financial).
  • Time-to-hotlist for newly observed domain and wallet clusters.Time-to-hotlist для новых кластеров доменов и кошельков.
  • Overturn rate in incident queue (quality of suspicious classification).Overturn rate в incident-очереди (качество suspicious-классификации).
  • Repeat exposure rate after first advisory.Repeat exposure rate после первого advisory.

5. Common response mistakes5. Частые ошибки реагирования

  • Treating campaign as isolated phishing URL instead of actor workflow.Рассматривать кампанию как отдельный phishing URL, а не как workflow актора.
  • Ignoring non-technical cues (relationship pressure, secrecy requests).Игнорировать нетехнические признаки (давление отношениями, запросы секретности).
  • No cross-platform correlation between Telegram, Discord, and browser telemetry.Отсутствие кроссплатформенной корреляции между Telegram, Discord и browser-телеметрией.

If your team needs a practical baseline: prioritize deterministic reason codes, quarantine governance, and escalation discipline. This combination consistently outperforms “AI-only” moderation in high-cost social fraud scenarios.Если нужен практический baseline: приоритизируйте детерминированные reason codes, governance quarantine и дисциплину эскалации. Эта комбинация стабильно превосходит «AI-only» модерацию в high-cost сценариях социального мошенничества.

Deploy pig-butchering controls in SecuriLayerВключить pig-butchering контроли в SecuriLayer