كشف صناعة هجمات التصيد في عالم التشفير

منذ يونيو 2024 ، راقبت فرق الأمن عددا كبيرا من معاملات التصيد الاحتيالي وسرقة الأموال المماثلة ، مع أكثر من 55 مليون دولار في يونيو وحده. بعد دخول أغسطس وسبتمبر ، أصبحت أنشطة الصيد ذات الصلة أكثر تواترا وتكثيفا. في الربع الثالث من عام 2024 ، أصبحت هجمات التصيد الاحتيالي هي أكثر الهجمات تكلفة ، حيث كسب المهاجمون أكثر من 243 مليون دولار في 65 عملية. يظهر التحليل أن التكرار الأخير لهجمات التصيد الاحتيالي من المحتمل أن يكون مرتبطا بفريق أداة التصيد الاحتيالي سيئ السمعة Inferno Drainer. كان الفريق قد أعلن "تقاعده" في نهاية عام 2023 ، ولكن يبدو الآن أنه نشط مرة أخرى ، مما أدى إلى سلسلة من الهجمات واسعة النطاق.

ستحلل هذه المقالة الأساليب النموذجية لعصابات التصيد مثل Inferno Drainer وNova Drainer، وستسرد بالتفصيل خصائص سلوكهم، بهدف مساعدة المستخدمين على تحسين قدرتهم على التعرف على عمليات الاحتيال عبر التصيد والوقاية منها.

مفهوم الاحتيال كخدمة

في عالم التشفير، ابتكرت بعض فرق الاحتيال نمطًا خبيثًا جديدًا يُعرف باسم Scam-as-a-Service (الاحتيال كخدمة). هذا النمط يقوم بتعبئة أدوات وخدمات الاحتيال وتقديمها بطريقة تجارية لجرائم أخرى. Inferno Drainer هو مثال نموذجي في هذا المجال، حيث تجاوزت قيمة الاحتيال الخاصة به 80 مليون دولار خلال الفترة من نوفمبر 2022 إلى نوفمبر 2023 عندما تم الإعلان عن إغلاق الخدمة لأول مرة.

يساعد Inferno Drainer المشترين من خلال توفير أدوات الصيد الجاهزة والبنية التحتية، بما في ذلك واجهات مواقع الصيد الأمامية والخلفية، والعقود الذكية، وحسابات وسائل التواصل الاجتماعي، لتمكينهم من شن الهجمات بسرعة. يحتفظ الصيادون الذين يشترون الخدمات بمعظم العائدات، بينما يتقاضى Inferno Drainer عمولة تتراوح بين 10%-20%. لقد خفضت هذه النموذج بشكل كبير العتبة التقنية للاحتيال، مما جعل الجريمة الإلكترونية أكثر كفاءة وقابلية للتوسع، مما أدى إلى انتشار هجمات الصيد في صناعة التشفير، حيث يصبح المستخدمون الذين يفتقرون إلى الوعي بالأمان أهدافًا أسهل للهجمات.

كيف يعمل الاحتيال كخدمة؟

قبل فهم SaaS، دعونا نلقي نظرة على سير العمل النموذجي للتطبيقات اللامركزية (DApp). يتكون DApp النموذجي عادة من واجهة أمامية (مثل صفحة ويب أو تطبيق موبايل) وعقد ذكي على سلسلة الكتل. يتصل المستخدم بواجهة DApp الأمامية من خلال محفظة سلسلة الكتل، وتولد الصفحة الأمامية المعاملة المناسبة على سلسلة الكتل وترسلها إلى محفظة المستخدم. بعد ذلك، يقوم المستخدم بتوقيع المعاملة باستخدام محفظة سلسلة الكتل، وبعد اكتمال التوقيع، يتم إرسال المعاملة إلى شبكة سلسلة الكتل، ويتم استدعاء العقد الذكي المناسب لتنفيذ الوظيفة المطلوبة.

يستغل مهاجمو التصيد الاحتيالي واجهات أمامية وعقود ذكية ضارة مصممة بعناية لخداع المستخدمين للقيام بعمليات غير آمنة. عادةً ما يقود المهاجمون المستخدمين للنقر على روابط أو أزرار ضارة، مما يخدعهم للموافقة على بعض المعاملات الخبيثة المخفية، وأحيانًا حتى يخدعون المستخدمين مباشرةً لكشف مفاتيحهم الخاصة. بمجرد أن يوقع المستخدمون على هذه المعاملات الضارة أو يكشفون عن مفاتيحهم الخاصة، يمكن للمهاجمين بسهولة نقل أصول المستخدمين إلى حساباتهم.

تشمل أساليب الاحتيال الشائعة:

1. انتحال واجهة مشروع معروف: يقوم المهاجمون بتقليد الموقع الرسمي لمشروع معروف بدقة، لإنشاء واجهة أمامية تبدو قانونية، مما يجعل المستخدمين يعتقدون أنهم يتفاعلون مع مشروع موثوق.

2. خدعة توزيع الرموز: الإعلان بشكل مفرط على وسائل التواصل الاجتماعي عن مواقع التصيد، زاعمة وجود فرص جذابة مثل "توزيع مجاني"، "مبيعات مسبقة مبكرة"، "سك NFT مجاني"، مما يجذب الضحايا للنقر على الروابط والموافقة على معاملات ضارة.

3. أحداث الاختراق الوهمية وعمليات الاحتيال على المكافآت: يزعم أن مشروعًا معروفًا قد تعرض لهجوم قراصنة أو تجميد للأصول، ويقوم بإصدار تعويضات أو مكافآت للمستخدمين، من خلال حالات طارئة وهمية لجذب المستخدمين إلى مواقع التصيد.

نموذج SaaS هو المحرك الرئيسي لزيادة عمليات الاحتيال بالصيد في العامين الأخيرين. قبل ظهور SaaS، كان يحتاج المهاجمون في عمليات الصيد إلى تجهيز رأس المال اللازم على السلسلة، وإنشاء موقع أمامي وعقد ذكي في كل مرة يقومون فيها بالهجوم. رغم أن معظم هذه المواقع الاحتيالية كانت بدائية، إلا أنها كانت تتطلب مستوى معين من المهارة التقنية. مقدمو أدوات SaaS مثل Inferno Drainer قد أزالوا تمامًا عتبة المهارة التقنية لعمليات الاحتيال بالصيد، حيث يقدمون خدمات إنشاء واستضافة مواقع الصيد للمشترين الذين يفتقرون إلى المهارات التقنية المناسبة، ويستقطعون أرباحًا من العائدات الناتجة عن الاحتيال.

عودة Inferno Drainer وآلية توزيع الغنائم

في 21 مايو 2024، نشر Inferno Drainer رسالة تحقق من التوقيع على etherscan، معلنًا عن عودته، وأنشأ قناة جديدة على Discord. قامت فرق الأمان مؤخرًا بمراقبة بعض العناوين الاحتيالية ذات السلوك غير الطبيعي، وبعد تحليل المعاملات والتحقيق، نعتقد أن هذه المعاملات هي معاملات تحويل الأموال وتوزيع الغنائم التي قام بها Inferno Drainer بعد اكتشافه أن الضحايا قد وقعوا في الفخ.

كمثال على إحدى الصفقات، فإن عملية الهجوم كالتالي:

1. Inferno Drainer ينشئ عقدًا باستخدام CREATE2. CREATE2 هو أمر في آلة افتراضية الإيثيريوم يُستخدم لإنشاء عقود ذكية، ويسمح بحساب عنوان العقد مسبقًا استنادًا إلى بايت كود العقد الذكي وsalt ثابت.

2. استدعاء العقد الذي تم إنشاؤه، ومنح الضحية DAI إلى عنوان الصيد (مشتري خدمة Inferno Drainer) وعنوان توزيع الغنائم. يقوم المهاجمون من خلال وسائل الصيد المختلفة بتوجيه الضحية لتوقيع رسالة Permit2 الخبيثة دون قصد.

3. تحويل 3,654 و 7,005 DAI إلى عنواني تقسيم الغنائم بالتتابع، وتحويل 50,255 DAI إلى المشتري، وإتمام تقسيم الغنائم.

في هذه الصفقة، أخذ المشتري الذي اشترى خدمات الصيد 82.5% من الأموال المسروقة، بينما احتفظ Inferno Drainer بـ 17.5%.

عملية إنشاء مواقع الصيد الاحتيالية بسرعة

بمساعدة SaaS، يمكن للمهاجمين إنشاء مواقع تصيد بسهولة وسرعة. الخطوات المحددة هي كما يلي:

1. انضم إلى قناة TG المقدمة من Drainer، واستخدم الأوامر البسيطة لإنشاء اسم نطاق مجاني وعنوان IP المقابل.

2. اختر واحدة من مئات القوالب التي يقدمها الروبوت، وادخل إلى عملية التثبيت، وبعد بضع دقائق يمكنك إنشاء موقع صيد يبدو حقيقياً.

3. البحث عن الضحايا. بمجرد أن يدخل الضحايا إلى الموقع، ويثقون في المعلومات الاحتيالية الموجودة على الصفحة، ويقومون بربط المحفظة للموافقة على المعاملات الخبيثة، سيتم تحويل أصولهم.

تستغرق العملية بأكملها بضع دقائق فقط، مما يقلل بشكل كبير من تكاليف الجريمة.

نصائح الأمان

لمنع هذه الأنواع من هجمات التصيد، يجب على المستخدمين:

• لا تصدق الدعاية التي تقول "فطيرة تسقط من السماء"، مثل الإعلانات المشبوهة عن الإطلاقات المجانية أو التعويضات.
• تحقق بعناية من عنوان URL للموقع قبل الاتصال بالمحفظة، واحذر من مواقع تقليد المشاريع المعروفة.
• استخدم أداة استعلام WHOIS للتحقق من تاريخ تسجيل الموقع، فالمواقع التي لديها تاريخ تسجيل قصير قد تكون مشاريع احتيالية.
• لا تقدم عبارات الاسترداد أو المفاتيح الخاصة أو أي معلومات خاصة لمواقع أو تطبيقات مشبوهة.
• قبل توقيع الرسالة أو الموافقة على الصفقة، تحقق بعناية مما إذا كانت هناك عمليات Permit أو Approve قد تؤدي إلى خسارة الأموال.
• تابع الحسابات الرسمية مثل CertiK Alert التي تنشر معلومات التحذير، لتكون على دراية بأحدث اتجاهات الاحتيال.
• إذا تم اكتشاف أنك قمت عن غير قصد بتفويض الرموز إلى عنوان احتيالي، يجب عليك سحب التفويض على الفور أو نقل الأصول المتبقية إلى عنوان آمن.