Mengungkap Industrialisasi Serangan Phishing di Dunia Enkripsi

Sejak Juni 2024, tim keamanan telah memantau sejumlah besar transaksi phishing dan pencurian dana yang serupa, dengan jumlah yang terlibat hanya pada bulan Juni melebihi 55 juta USD. Memasuki bulan Agustus dan September, aktivitas phishing terkait semakin sering, menunjukkan peningkatan yang signifikan. Pada kuartal ketiga 2024, serangan phishing telah menjadi metode serangan yang menyebabkan kerugian ekonomi terbesar, dengan penyerang memperoleh lebih dari 243 juta USD dalam 65 aksi. Analisis menunjukkan bahwa serangan phishing yang sering terjadi baru-baru ini kemungkinan terkait dengan tim alat phishing yang terkenal, Inferno Drainer. Tim ini pernah mengumumkan "pensiun" pada akhir 2023, tetapi kini tampaknya kembali aktif, menghasilkan serangkaian serangan besar-besaran.

Artikel ini akan menganalisis metode khas dari kelompok penipuan phishing seperti Inferno Drainer, Nova Drainer, dan merinci karakteristik perilaku mereka, bertujuan untuk membantu pengguna meningkatkan kemampuan mereka dalam mengenali dan mencegah penipuan phishing di internet.

Konsep Scam-as-a-Service

Di dunia enkripsi, beberapa tim phishing telah menciptakan mode jahat baru yang disebut Scam-as-a-Service (penipuan sebagai layanan). Mode ini mengemas alat dan layanan penipuan dan menyediakannya kepada penjahat lain dengan cara yang diperdagangkan. Inferno Drainer adalah perwakilan khas di bidang ini, dengan jumlah penipuan yang melebihi 80 juta dolar AS selama periode pengumuman penutupan layanan dari November 2022 hingga November 2023.

Inferno Drainer membantu pembeli dengan menyediakan alat dan infrastruktur phishing siap pakai, termasuk front-end dan back-end situs phishing, kontrak pintar, serta akun media sosial, sehingga mereka dapat dengan cepat melancarkan serangan. Penipu yang membeli layanan ini mempertahankan sebagian besar hasil curian, sementara Inferno Drainer mengambil komisi sebesar 10%-20%. Model ini secara signifikan menurunkan ambang teknis untuk penipuan, membuat kejahatan siber menjadi lebih efisien dan terukur, sehingga serangan phishing merajalela di industri enkripsi, terutama pengguna yang kurang sadar keamanan lebih mudah menjadi target serangan.

Mekanisme Operasi Scam-as-a-Service

Sebelum memahami SaaS, mari kita lihat alur kerja aplikasi terdesentralisasi (DApp) yang tipikal. DApp yang tipikal biasanya terdiri dari antarmuka depan (seperti halaman web atau aplikasi seluler) dan kontrak pintar di blockchain. Pengguna menghubungkan dompet blockchain mereka ke antarmuka depan DApp, halaman depan menghasilkan transaksi blockchain yang sesuai dan mengirimkannya ke dompet pengguna. Pengguna kemudian menggunakan dompet blockchain untuk menandatangani dan menyetujui transaksi ini, setelah penandatanganan selesai, transaksi dikirim ke jaringan blockchain dan memanggil kontrak pintar yang sesuai untuk melaksanakan fungsi yang diperlukan.

Penyerang phishing dengan cerdik merancang antarmuka depan dan kontrak pintar yang berbahaya untuk mengarahkan pengguna melakukan tindakan yang tidak aman. Penyerang biasanya mengarahkan pengguna untuk mengklik tautan atau tombol berbahaya, sehingga menipu mereka untuk menyetujui beberapa transaksi jahat yang tersembunyi, bahkan dalam beberapa kasus, secara langsung menipu pengguna untuk mengungkapkan kunci pribadi mereka. Setelah pengguna menandatangani transaksi jahat ini atau mengungkapkan kunci pribadi mereka, penyerang dapat dengan mudah memindahkan aset pengguna ke akun mereka sendiri.

Metode phishing yang umum termasuk:

1. Frontend proyek terkenal yang dipalsukan: Penyerang dengan cermat meniru situs web resmi proyek terkenal, membuat antarmuka frontend yang terlihat sah, sehingga pengguna salah mengira bahwa mereka sedang berinteraksi dengan proyek yang tepercaya.

2. Penipuan airdrop token: Secara besar-besaran mempromosikan situs phishing di media sosial, mengklaim adanya "airdrop gratis", "pra-penjualan awal", "pencetakan NFT gratis" dan kesempatan menarik lainnya, yang menggoda korban untuk mengklik tautan dan menyetujui transaksi berbahaya.

3. Insiden peretasan palsu dan penipuan hadiah: Mengklaim bahwa suatu proyek terkenal mengalami serangan peretasan atau pembekuan aset, yang memberikan kompensasi atau hadiah kepada pengguna, menarik pengguna ke situs phishing melalui keadaan darurat palsu.

Model SaaS adalah penggerak utama dari meningkatnya penipuan phishing dalam dua tahun terakhir. Sebelum munculnya SaaS, penyerang phishing harus menyiapkan modal awal di blockchain, membuat situs web front-end dan kontrak pintar setiap kali mereka melakukan serangan. Meskipun sebagian besar situs phishing ini dibuat dengan buruk, tetap ada ambang teknis yang diperlukan. Penyedia alat SaaS seperti Inferno Drainer sepenuhnya menghilangkan ambang teknis untuk penipuan phishing, menawarkan layanan pembuatan dan hosting situs phishing bagi pembeli yang kurang memiliki teknologi yang sesuai, dan mengambil keuntungan dari hasil penipuan.

Kembalinya Inferno Drainer dan Mekanisme Pembagian Hasil

Pada 21 Mei 2024, Inferno Drainer mengumumkan pesan verifikasi tanda tangan di etherscan, menyatakan kembali, dan membuat saluran Discord baru. Tim keamanan baru-baru ini fokus memantau beberapa alamat phishing dengan perilaku abnormal. Setelah analisis dan penyelidikan terhadap transaksi, kami percaya bahwa transaksi ini adalah transaksi di mana Inferno Drainer melakukan pemindahan dana dan pembagian hasil setelah mendeteksi korban yang terjebak.

Sebagai contoh salah satu transaksi, proses serangan adalah sebagai berikut:

1. Inferno Drainer membuat kontrak melalui CREATE2. CREATE2 adalah sebuah instruksi dalam mesin virtual Ethereum yang digunakan untuk membuat kontrak pintar, yang memungkinkan alamat kontrak dihitung sebelumnya berdasarkan bytecode kontrak pintar dan salt tetap.

2. Memanggil kontrak yang dibuat, memberi persetujuan DAI korban kepada alamat phishing (pembeli layanan Inferno Drainer) dan alamat bagi hasil. Penyerang menggunakan berbagai cara phishing untuk mengarahkan korban secara tidak sengaja menandatangani pesan Permit2 yang berniat jahat.

3. Mentransfer 3,654 dan 7,005 DAI ke dua alamat bagi hasil secara bertahap, mentransfer 50,255 DAI ke pembeli, menyelesaikan bagi hasil.

Dalam transaksi ini, pembeli yang membeli layanan memancing mengambil 82.5% dari hasil curian, sementara Inferno Drainer mempertahankan 17.5%.

Proses Pembuatan Cepat Situs Phishing

Dengan bantuan SaaS, penyerang dapat dengan mudah dan cepat membuat situs web phishing. Langkah-langkahnya adalah sebagai berikut:

1. Masuk ke saluran TG yang disediakan oleh Drainer, gunakan perintah sederhana untuk membuat nama domain gratis dan alamat IP yang sesuai.

2. Pilih salah satu dari ratusan template yang disediakan oleh robot, masuk ke proses instalasi, dan dalam beberapa menit Anda dapat menghasilkan situs phishing yang terlihat realistis.

3. Mencari korban. Begitu ada korban yang memasuki situs web, mempercayai informasi penipuan di halaman, dan menghubungkan dompet untuk menyetujui transaksi jahat, aset mereka akan dipindahkan.

Seluruh proses hanya memerlukan beberapa menit, secara signifikan mengurangi biaya kejahatan.

Saran Keamanan

Untuk mencegah serangan phishing semacam ini, pengguna harus:

• Jangan mudah percaya pada promosi "pancake jatuh dari langit", seperti airdrop atau kompensasi gratis yang mencurigakan.
• Periksa URL situs web dengan cermat sebelum menghubungkan dompet, waspadai situs web yang meniru proyek terkenal.
• Gunakan alat pencarian domain WHOIS untuk memeriksa waktu pendaftaran situs web, situs web dengan waktu pendaftaran yang terlalu singkat mungkin merupakan proyek penipuan.
• Jangan mengirimkan kata sandi pemulihan, kunci pribadi, dan informasi pribadi lainnya ke situs web atau aplikasi yang mencurigakan.
• Periksa dengan cermat apakah ada operasi Permit atau Approve yang dapat menyebabkan kehilangan dana sebelum menandatangani pesan atau menyetujui transaksi.
• Ikuti akun resmi seperti CertiK Alert yang menerbitkan informasi peringatan untuk mengetahui perkembangan penipuan terbaru.
• Jika Anda secara tidak sengaja memberikan otorisasi token ke alamat penipuan, segera cabut otorisasi atau pindahkan sisa aset ke alamat yang aman.