Industrialisation des attaques de phishing dans le monde du chiffrement : Révélations sur l'écosystème Scam-as-a-Service

Depuis juin 2024, l'équipe de sécurité a détecté un grand nombre de transactions de phishing similaires, avec un montant impliqué de plus de 55 millions de dollars rien qu'en juin. À partir de août et septembre, les activités de phishing associées sont devenues plus fréquentes, montrant une intensification croissante. Au cours du troisième trimestre de 2024, les attaques de phishing sont devenues le type d'attaque causant les plus grandes pertes économiques, avec 65 opérations d'attaque ayant généré plus de 243 millions de dollars. Les analyses montrent que les attaques de phishing récentes sont probablement liées à l'équipe d'outils de phishing infâme, Inferno Drainer. Cette équipe avait annoncé sa "retraite" à la fin de 2023, mais semble maintenant de nouveau active, lançant une série d'attaques à grande échelle.

Cet article analysera les méthodes d'opération typiques des gangs de phishing tels qu'Inferno Drainer et Nova Drainer, et énumérera en détail leurs caractéristiques comportementales, dans le but d'aider les utilisateurs à améliorer leur capacité à identifier et à prévenir les fraudes de phishing.

Concept de Scam-as-a-Service

Dans le monde du chiffrement, certaines équipes de phishing ont créé un nouveau modèle malveillant appelé Scam-as-a-Service (escroquerie en tant que service). Ce modèle regroupe des outils et des services d'escroquerie pour les proposer de manière commercialisée à d'autres criminels. Inferno Drainer est un représentant de ce domaine. Pendant la période où ils ont annoncé pour la première fois la fermeture de leur service de novembre 2022 à novembre 2023, le montant des escroqueries a dépassé 80 millions de dollars.

Inferno Drainer aide les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing prêts à l'emploi, y compris des sites Web de phishing front-end et back-end, des contrats intelligents et des comptes de médias sociaux. Les phishers qui achètent le service conservent la majeure partie des fonds volés, tandis qu'Inferno Drainer prend une commission de 10 % à 20 %. Ce modèle réduit considérablement le seuil technique pour la fraude, rendant le cybercriminalité plus efficace et à grande échelle, ce qui a conduit à une prolifération des attaques de phishing dans l'industrie du chiffrement, en particulier ceux qui manquent de sensibilisation à la sécurité sont plus susceptibles de devenir des cibles d'attaque.

Fonctionnement du Scam-as-a-Service

Une application décentralisée typique (DApp) est généralement composée d'une interface frontale et d'un contrat intelligent sur la blockchain. Les utilisateurs se connectent à l'interface frontale de la DApp via un portefeuille blockchain, la page frontale génère la transaction blockchain correspondante et l'envoie au portefeuille de l'utilisateur. L'utilisateur approuve ensuite la transaction en signant avec son portefeuille blockchain, une fois la signature complétée, la transaction est envoyée au réseau blockchain et appelle le contrat intelligent correspondant pour exécuter la fonction requise.

Les attaquants de phishing conçoivent une interface frontale malveillante et des contrats intelligents pour inciter habilement les utilisateurs à effectuer des opérations non sécurisées. Les attaquants orientent généralement les utilisateurs vers des liens ou des boutons malveillants, les trompant en leur faisant approuver des transactions malveillantes cachées, voire en les incitant directement à divulguer leur clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur vers son propre compte.

Les moyens courants comprennent :

1. Faux frontend de projets connus : Les attaquants imitent soigneusement le site officiel de projets renommés, créant une interface frontend apparemment légitime, incitant les utilisateurs à croire qu'ils interagissent avec un projet de confiance, les amenant ainsi à abaisser leur garde, à connecter leur portefeuille et à effectuer des opérations non sécurisées.

2. Arnaque de distribution de jetons : De nombreuses publicités sur les réseaux sociaux pour des sites de phishing, prétendant offrir des opportunités attrayantes telles que "distribution gratuite", "prévente anticipée", "mint gratuit d'NFT", incitant les victimes à cliquer sur des liens. Une fois attirées sur le site de phishing, les victimes se connectent souvent à leur portefeuille et approuvent des transactions malveillantes sans s'en rendre compte.

3. Événements de piratage faux et escroqueries aux récompenses : des criminels prétendent qu'un projet connu a subi une attaque de pirate ou que des actifs ont été gelés, et qu'ils versent des compensations ou des récompenses aux utilisateurs. Ils attirent les utilisateurs vers des sites de phishing à travers ces fausses urgences, incitant à connecter leur portefeuille, pour finalement voler les fonds des utilisateurs.

Les fournisseurs d'outils SaaS comme Inferno Drainer éliminent complètement les barrières techniques aux escroqueries par phishing, offrant aux acheteurs dépourvus de la technologie nécessaire des services de création et d'hébergement de sites de phishing, tout en prélevant des bénéfices sur les gains d'escroquerie.

Méthode de partage des gains d'Inferno Drainer avec les acheteurs SaaS

Le 21 mai 2024, Inferno Drainer a publié un message de vérification de signature sur etherscan, annonçant son retour et créant un nouveau canal Discord.

En analysant une transaction typique, nous pouvons comprendre le fonctionnement de l'Inferno Drainer :

1. Inferno Drainer crée un contrat via CREATE2. CREATE2 est une instruction dans la machine virtuelle Ethereum utilisée pour créer des contrats intelligents, permettant de calculer à l'avance l'adresse du contrat en fonction du bytecode du contrat intelligent et d'un salt fixe. Inferno Drainer utilise cette caractéristique pour calculer à l'avance l'adresse du contrat de partage des gains pour les acheteurs de services de phishing, puis crée le contrat de partage des gains après que la victime ait mordu à l'hameçon, complétant ainsi le transfert de jetons et les opérations de partage des gains.

2. Appeler le contrat créé et approuver les jetons de la victime à l'adresse de phishing (acheteur du service Inferno Drainer) et à l'adresse de partage du butin. L'attaquant, par des moyens de phishing, a amené la victime à signer involontairement un message malveillant Permit2. Permit2 permet aux utilisateurs d'autoriser le transfert de jetons par signature, sans interagir directement avec le portefeuille.

3. Transférer différentes quantités de jetons vers deux adresses de partage et l'acheteur, pour compléter le partage. Dans une transaction typique, l'acheteur reçoit 82,5 % du butin, tandis que l'Inferno Drainer conserve 17,5 %.

Il est à noter qu'Inferno Drainer peut contourner dans une certaine mesure certaines fonctionnalités anti-phishing des portefeuilles en créant un contrat avant le partage du butin, car lorsque la victime approuve la transaction malveillante, le contrat n'a pas encore été créé.

Étapes simples pour créer un site de phishing

Avec l'aide de SaaS, il est extrêmement simple pour un attaquant de créer un site de phishing :

1. Entrez dans le canal de communication fourni par Drainer, utilisez des commandes simples pour créer un nom de domaine gratuit et l'adresse IP correspondante.

2. Choisissez un modèle parmi les centaines proposés, puis commencez le processus d'installation. En quelques minutes, un site de phishing semblant réel sera généré.

3. Chercher des victimes. Une fois que quelqu'un entre sur le site, croit aux informations frauduleuses sur la page et connecte son portefeuille pour approuver des transactions malveillantes, ses actifs seront transférés.

Le processus ne prend que quelques minutes, réduisant considérablement le coût de la criminalité.

Résumé et conseils de prévention

Le retour de l'Inferno Drainer représente un énorme risque de sécurité pour les utilisateurs du secteur. Lors de la participation à des transactions de chiffrement, les utilisateurs doivent rester vigilants et garder à l'esprit les points suivants :

• Méfiez-vous des "cadeaux tombés du ciel" : ne croyez pas aux airdrops ou compensations gratuits suspects, faites confiance uniquement aux sites officiels ou aux projets ayant subi un audit professionnel.

• Vérifiez le lien réseau : Avant de connecter votre portefeuille, vérifiez attentivement l'URL et soyez vigilant face aux sites imitant des projets connus. Vous pouvez utiliser un outil de vérification de domaine WHOIS pour consulter la date d'enregistrement, un site avec une date d'enregistrement trop récente pourrait être un projet frauduleux.

• Protéger les informations de confidentialité : ne jamais soumettre de phrase mnémotechnique ou de clé privée à des sites ou applications suspects. Avant qu'un portefeuille ne demande une signature ou une approbation de transaction, vérifiez soigneusement s'il s'agit de transactions Permit ou Approve qui pourraient entraîner une perte de fonds.

• Suivez les mises à jour sur les informations de fraude : Suivez les comptes officiels de médias sociaux qui publient régulièrement des alertes. Si vous constatez que vous avez accidentellement autorisé des jetons à une adresse frauduleuse, révoquez immédiatement l'autorisation ou transférez les actifs restants vers une autre adresse sécurisée.