This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
暗号の世界におけるフィッシングの産業化:Scam-as-a-ServiceとInferno Drainerの操作モードを解明する
暗号化世界におけるフィッシング攻撃の産業化:Scam-as-a-Service エコシステムの解明
2024年6月以来、セキュリティチームは大量の類似のフィッシング取引を監視しており、6月だけで関与した金額は5500万ドルを超えています。8月、9月に入ると、関連するフィッシング活動はさらに頻繁になり、ますます深刻な状況を呈しています。2024年の第3四半期全体で、フィッシング攻撃は最大の経済損失を引き起こす攻撃手法となり、65回の攻撃行動で2.43億ドル以上を獲得しました。分析によれば、最近頻発しているフィッシング攻撃は、悪名高いフィッシングツールチームInferno Drainerに関連している可能性が高いです。このチームは2023年末に「引退」を発表しましたが、現在再び活発になっており、大規模な攻撃を仕掛けています。
この記事では、Inferno Drainer、Nova Drainerなどのフィッシンググループの典型的な手口を分析し、その行動特性を詳細に列挙します。これは、ユーザーがフィッシング詐欺の識別と防止能力を向上させるのを助けることを目的としています。
! Scam-as-a-Serviceエコシステムの謎を解く:暗号の世界におけるフィッシング攻撃の産業化
Scam-as-a-Serviceのコンセプト
暗号化の世界では、一部のフィッシングチームがScam-as-a-Service(詐欺即サービス)という新しい悪意のあるモデルを作り出しました。このモデルは、詐欺ツールとサービスをパッケージ化し、商品化の形で他の犯罪者に提供します。Inferno Drainerはこの分野の代表的な存在です。2022年11月から2023年11月の初めてサービスを終了すると発表した期間中、詐欺の総額は8000万ドルを超えました。
Inferno Drainerは、買い手に対して完成されたフィッシングツールとインフラを提供することで、フィッシングウェブサイトのフロントエンドとバックエンド、スマートコントラクト、ソーシャルメディアアカウントを含む、迅速な攻撃の開始を助けます。サービスを購入したフィッシャーは、ほとんどの不正資金を保持し、Inferno Drainerは10%-20%の手数料を徴収します。このモデルは詐欺の技術的ハードルを大幅に下げ、ネット犯罪をより効率的かつ大規模にすることを可能にし、特にセキュリティ意識の低いユーザーが攻撃の標的になりやすくなるため、フィッシング攻撃が暗号業界に蔓延しています。
! Scam-as-a-Serviceエコシステムの謎を解く:暗号の世界におけるフィッシング攻撃の産業化
Scam-as-a-Serviceの仕組み
典型的な分散型アプリケーション(DApp)は通常、フロントエンドインターフェースとブロックチェーン上のスマートコントラクトで構成されています。ユーザーはブロックチェーンウォレットを介してDAppのフロントエンドインターフェースに接続し、フロントエンドページは対応するブロックチェーン取引を生成し、それをユーザーのウォレットに送信します。ユーザーはその後、ブロックチェーンウォレットを使用してこの取引に署名して承認し、署名が完了すると、取引はブロックチェーンネットワークに送信され、対応するスマートコントラクトが必要な機能を実行します。
フィッシング攻撃者は、悪意のあるフロントエンドインターフェースやスマートコントラクトを設計することで、巧妙にユーザーに安全でない操作を実行させます。攻撃者は通常、ユーザーに悪意のあるリンクやボタンをクリックさせ、隠された悪意のある取引を承認させるように騙します。さらには、ユーザーに私鍵を漏えいさせるように直接誘導することもあります。ユーザーがこれらの悪意のある取引に署名したり、私鍵を露出したりすると、攻撃者は簡単にユーザーの資産を自分のアカウントに移転させることができます。
一般的な手段には:
有名なプロジェクトの偽造フロントエンド:攻撃者は有名プロジェクトの公式ウェブサイトを巧妙に模倣し、一見合法的なフロントエンドインターフェースを作成します。これにより、ユーザーは信頼できるプロジェクトと対話していると誤解し、警戒心を緩めてウォレットに接続し、安全でない操作を実行してしまいます。
トークンエアドロップ詐欺:ソーシャルメディアでフィッシングサイトを大々的に宣伝し、「無料エアドロップ」、「早期プレセール」、「無料NFTミント」などの魅力的な機会を主張し、被害者をリンクをクリックさせる。被害者はフィッシングサイトに引き寄せられた後、無意識のうちにウォレットを接続し、悪意のある取引を承認してしまう。
偽のハッカー事件と報酬詐欺:犯罪者は、ある有名なプロジェクトがハッカー攻撃や資産凍結に遭遇したと主張し、ユーザーに補償や報酬を提供していると伝えます。彼らはこのような偽の緊急事態を通じて、ユーザーをフィッシングサイトに誘導し、ウォレットを接続させ、最終的にユーザーの資金を盗むのです。
Inferno DrainerなどのSaaSツールプロバイダーは、フィッシング詐欺の技術的ハードルを完全に排除し、相応の技術が不足している購入者にフィッシングサイトの作成とホスティングサービスを提供し、詐欺から得られた利益を抽出しています。
Inferno DrainerがSaaSの購入者と戦利品を分け合う方法
2024年5月21日、Inferno Drainerは、etherscanで署名確認メッセージを公開し、新しいDiscordチャンネルを作成することで、その復活を発表しました。
典型的な取引を分析することによって、Inferno Drainerの動作方法を理解することができます。
Inferno DrainerはCREATE2を使用して契約を作成します。CREATE2はEthereum仮想マシンの命令で、スマートコントラクトを作成するために使用され、スマートコントラクトのバイトコードと固定されたsaltに基づいて契約アドレスを事前に計算することを可能にします。Inferno Drainerはこの特性を利用して、フィッシングサービスの購入者のために、事前に分配契約のアドレスを計算し、犠牲者が引っかかった後に分配契約を作成し、トークンの移転と分配操作を完了します。
作成した契約を呼び出し、被害者のトークンをフィッシングアドレス(Inferno Drainerサービスの購入者)および分配アドレスに承認します。攻撃者はフィッシング手法を用いて、被害者が意図せず悪意のあるPermit2メッセージに署名するように誘導しました。Permit2は、ユーザーが署名によってトークンの移転を承認できるようにし、ウォレットと直接やり取りすることなく行うことを可能にします。
2つの分配アドレスと購入者に異なる数量のトークンを転送し、分配を完了します。典型的な取引では、購入者は82.5%の利益を得て、Inferno Drainerは17.5%を保持します。
注目すべきは、Inferno Drainerが分配前に契約を作成する方法によって、ある程度、一部のウォレットのフィッシング防止機能を回避できることです。なぜなら、被害者が悪意のある取引を承認する際、その契約はまだ作成されていないからです。
! Scam-as-a-Serviceエコシステムの謎を解く:暗号の世界におけるフィッシング攻撃の産業化
フィッシングサイトを作成するための簡単な手順
SaaSの助けを借りて、攻撃者はフィッシングサイトを作成するのが非常に簡単になります:
Drainerが提供する通信チャンネルに入って、簡単なコマンドを使って無料のドメイン名と対応するIPアドレスを作成します。
提供された数百種類のテンプレートから1つを選択し、インストールプロセスに入ります。数分後には、リアルに見えるフィッシングサイトが生成されます。
被害者を探す。誰かがこのウェブサイトに入り、ページ上の詐欺情報を信じて、ウォレットを接続して悪意のある取引を承認すると、その資産は移転されます。
全体のプロセスは数分しかかからず、犯罪コストを大幅に削減しました。
! Scam-as-a-Serviceエコシステムの謎を解く:暗号の世界におけるフィッシング攻撃の産業化
まとめと防止策の提案
Inferno Drainerの帰還は業界ユーザーにとって大きな安全リスクをもたらします。ユーザーは暗号化通貨取引に参加する際、警戒を怠らず、以下のポイントを忘れないでください:
"空からの饅頭に注意": 疑わしい無料エアドロップや補償を軽信せず、公式ウェブサイトや専門的に監査されたプロジェクトのみを信頼してください。
ネットワークリンクを確認:ウォレットに接続する前にURLを注意深く確認し、有名プロジェクトのウェブサイトの模倣に警戒してください。WHOISドメイン検索ツールを使用して登録日時を確認し、登録日時が短すぎるウェブサイトは詐欺プロジェクトの可能性があります。
プライバシー情報を保護する:疑わしいウェブサイトやアプリにリカバリーフレーズや秘密鍵を提出しないでください。ウォレットが署名または取引の承認を要求する前に、資金損失を引き起こす可能性のあるPermitまたはApprove取引が含まれていないか、慎重に確認してください。
詐欺情報の更新に注意:定期的に警告情報を発表する公式ソーシャルメディアアカウントをフォローしてください。誤って詐欺アドレスにトークンを承認してしまった場合は、速やかに承認を取り消すか、残りの資産を他の安全なアドレスに移動してください。
! Scam-as-a-Serviceエコシステムの謎を解く:暗号の世界におけるフィッシング攻撃の産業化