Threat Library

Pig Butchering

Threat modelМодель угрозы

Pig butchering is a long-cycle fraud operation built on relationship simulation. The attacker spends days or weeks building trust, then redirects the target into controlled investment flows with fake dashboards and staged "profits". The final objective is progressive capital extraction until liquidity is exhausted.Pig butchering — это долгий цикл мошенничества на основе имитации отношений. Атакующий тратит дни или недели на формирование доверия, затем переводит цель в контролируемый инвестиционный поток с фейковыми дашбордами и постановочной «прибылью». Финальная цель — поэтапная экстракция капитала до полного истощения ликвидности жертвы.

Operational stagesОперационные этапы

  • Stage 1: cold contact via wrong-number / social opener with low-risk dialogue.Этап 1: холодный контакт через wrong-number / social opener с низкорисковым диалогом.
  • Stage 2: trust engineering through daily communication and emotional reinforcement.Этап 2: инженерия доверия через ежедневное общение и эмоциональное подкрепление.
  • Stage 3: financial transition to "safe" investment platform under mentor guidance.Этап 3: финансовый переход на «безопасную» инвестиционную платформу под наставничеством.
  • Stage 4: controlled gains display and pressure to increase transfer volume.Этап 4: демонстрация контролируемой «прибыли» и давление на увеличение объёма переводов.
  • Stage 5: withdrawal denial, extra fees, account freeze, and disappearance.Этап 5: отказ в выводе, дополнительные сборы, заморозка аккаунта и исчезновение актора.

Detection signals in SecuriLayerСигналы обнаружения в SecuriLayer

Primary reason codes: PIG_BUTCHERING, CONTACT_MISMATCH, FAKE_JOB, URGENCY_PRESSURE, NEW_DOMAIN, BRAND_IMPERSONATION. Additional signals include repetitive persuasion templates, transfer prompts to unverified platforms, and suspicious contact pivots from dating to investment contexts.Ключевые reason codes: PIG_BUTCHERING, CONTACT_MISMATCH, FAKE_JOB, URGENCY_PRESSURE, NEW_DOMAIN, BRAND_IMPERSONATION. Дополнительные сигналы: повторяющиеся шаблоны убеждения, перевод на непроверенные платформы и подозрительные контактные pivot-переходы от знакомства к инвестициям.

Enterprise / government countermeasuresКонтрмеры enterprise / госсектора

  • Implement policy denying investment links from unverified identities in operational channels.Ввести policy-запрет на инвестиционные ссылки от непроверенных идентичностей в рабочих каналах.
  • Require out-of-band financial approval for any first-time destination.Требовать out-of-band подтверждение для любого первого финансового назначения.
  • Automate quarantine for relationship-based persuasion + transfer language bundles.Автоматически отправлять в quarantine связку relationship-переписки и language-маркеров перевода средств.
  • Educate moderators on staged profit dashboards and fake withdrawal workflows.Обучить модераторов распознаванию staged profit-дешбордов и фейковых withdrawal workflow.

Incident response playbookPlaybook реагирования

  • Freeze exposure: stop outgoing transfers, lock API keys, and disable approval delegation.Freeze exposure: остановить исходящие переводы, отозвать API-ключи и отключить делегирование подтверждений.
  • Preserve evidence: maintain chat timeline, URLs, wallet addresses, and Decision Contracts.Сохранить evidence: хронологию чата, URL, wallet-адреса и Decision Contracts.
  • Notify stakeholders: legal, finance, SOC, and executive owner with action matrix.Оповестить стейкхолдеров: legal, finance, SOC и бизнес-владельца с action matrix.
  • Run post-incident hardening: update contact policy, trust thresholds, and escalation SLAs.Провести post-incident hardening: обновить контактную policy, trust-thresholds и SLA эскалации.

FP/FN practical notesПрактические заметки по FP/FN

False positives may occur in legitimate mentoring or recruitment conversations about markets. To reduce noise, combine language signals with destination domain reputation and transaction context. False negatives occur when attackers distribute stages across different channels; reduce this through cross-platform correlation and analyst feedback ingestion.False positive возможен в легитимных mentoring- или recruitment-диалогах о рынках. Для снижения шума объединяйте языковые сигналы с репутацией домена назначения и transaction-контекстом. False negative возникает, когда атакующий распределяет стадии по разным каналам; снижайте его через кроссплатформенную корреляцию и ingestion обратной связи аналитиков.

FAQFAQ

Q: Can pig butchering be detected early?Можно ли выявить pig butchering на ранней стадии?
A: Yes, if conversation scripts are monitored for trust-building and transfer escalation patterns.Да, если мониторить сценарии формирования доверия и эскалации к переводу средств.

Q: Why are social signals important?Почему важны социальные сигналы?
A: Because capital theft usually happens after psychological conditioning, not at first contact.Потому что кража капитала обычно происходит после психологической подготовки, а не в первом сообщении.

Deploy pig-butchering detection nowВключить детект pig-butchering сейчас