Indústria da Phishing no Mundo da encriptação: Revelação do Ecossistema Scam-as-a-Service

Desde junho de 2024, a equipe de segurança monitorou um grande número de transações de phishing semelhantes, com um valor total envolvido que ultrapassou 55 milhões de dólares apenas em junho. Com a chegada de agosto e setembro, as atividades de phishing relacionadas tornaram-se ainda mais frequentes, apresentando uma tendência crescente. Durante todo o terceiro trimestre de 2024, os ataques de phishing tornaram-se a forma de ataque que causou a maior perda econômica, com 65 ações de ataque resultando em mais de 243 milhões de dólares obtidos. Análises mostram que os recentes ataques de phishing são muito provavelmente relacionados à notória equipe de ferramentas de phishing Inferno Drainer. Essa equipe havia anunciado a "aposentadoria" no final de 2023, mas agora parece estar ativa novamente, realizando uma série de ataques em grande escala.

Este artigo analisará os métodos típicos de atuação de grupos de phishing como Inferno Drainer e Nova Drainer, e listará detalhadamente suas características comportamentais, com o objetivo de ajudar os usuários a melhorar sua capacidade de identificar e prevenir fraudes de phishing.

Conceito de Scam-as-a-Service

No mundo da encriptação, algumas equipas de phishing criaram um novo modelo maligno chamado Scam-as-a-Service. Este modelo empacota ferramentas e serviços de fraude, oferecendo-os de forma comercial a outros criminosos, sendo o Inferno Drainer um representante deste campo. Durante o período em que anunciaram o encerramento dos serviços pela primeira vez, de novembro de 2022 a novembro de 2023, o montante fraudado ultrapassou os 80 milhões de dólares.

O Inferno Drainer ajuda os compradores a iniciarem ataques rapidamente, fornecendo ferramentas de phishing e infraestrutura prontas, incluindo front-end e back-end de sites de phishing, contratos inteligentes e contas de redes sociais. Os phishers que compram o serviço retêm a maior parte do lucro, enquanto o Inferno Drainer cobra uma comissão de 10%-20%. Este modelo reduz significativamente a barreira técnica para fraudes, tornando o crime cibernético mais eficiente e em maior escala, levando a um aumento de ataques de phishing na indústria de encriptação, especialmente entre os usuários que carecem de consciência de segurança, que se tornam alvos mais fáceis.

Como funciona o Scam-as-a-Service

Uma aplicação descentralizada típica (DApp) geralmente consiste em uma interface de front-end e contratos inteligentes na blockchain. Os usuários conectam suas carteiras de blockchain à interface de front-end da DApp, onde a página de front-end gera a correspondente transação da blockchain e a envia para a carteira do usuário. Os usuários então usam a carteira de blockchain para assinar e aprovar essa transação. Após a assinatura, a transação é enviada para a rede blockchain e chama o contrato inteligente correspondente para executar a funcionalidade desejada.

Os atacantes de phishing induzem astutamente os usuários a executar operações inseguras, projetando interfaces front-end e contratos inteligentes maliciosos. Os atacantes geralmente direcionam os usuários a clicarem em links ou botões maliciosos, enganando-os para aprovar transações maliciosas ocultas, ou até mesmo induzindo-os diretamente a revelar suas chaves privadas. Uma vez que os usuários assinam essas transações maliciosas ou expõem suas chaves privadas, os atacantes podem facilmente transferir os ativos dos usuários para suas próprias contas.

Os meios comuns incluem:

1. Falsificação do front-end de projetos conhecidos: os atacantes imitam cuidadosamente os sites oficiais de projetos conhecidos, criando interfaces front-end que parecem legítimas, fazendo com que os usuários acreditem que estão interagindo com projetos confiáveis, o que os leva a relaxar a vigilância, conectar suas carteiras e executar operações inseguras.

2. Esquema de Airdrop de Tokens: Promover amplamente sites de phishing nas redes sociais, alegando ter oportunidades atrativas como "Airdrop gratuito", "Pré-venda antecipada", "Mintagem gratuita de NFT", entre outros, para atrair vítimas a clicar nos links. Após serem atraídas para o site de phishing, as vítimas frequentemente conectam suas carteiras e aprovam transações maliciosas sem perceber.

3. Falsos eventos de hackers e esquemas de recompensas: criminosos afirmam que um projeto conhecido foi alvo de um ataque hacker ou que os ativos foram congelados, e que estão a conceder compensações ou recompensas aos usuários. Eles atraem os usuários para sites de phishing através dessas falsas emergências, enganando-os a conectar as suas carteiras, resultando no roubo de fundos dos usuários.

Os fornecedores de ferramentas SaaS como o Inferno Drainer eliminaram completamente a barreira técnica para fraudes de phishing, oferecendo serviços de criação e hospedagem de sites de phishing para compradores que carecem da tecnologia adequada, e extraindo lucros dos ganhos fraudulentos.

! Desmistificando o ecossistema de golpes como serviço: industrialização de ataques de phishing no mundo cripto

O modo de divisão dos lucros entre Inferno Drainer e os compradores de SaaS

No dia 21 de maio de 2024, o Inferno Drainer publicou uma mensagem de verificação de assinatura no etherscan, anunciando o seu regresso e criando um novo canal no Discord.

Ao analisar uma transação típica, podemos entender como funciona o Inferno Drainer:

1. Inferno Drainer cria um contrato através do CREATE2. CREATE2 é uma instrução na máquina virtual Ethereum usada para criar contratos inteligentes, permitindo calcular antecipadamente o endereço do contrato com base no bytecode do contrato inteligente e em um salt fixo. O Inferno Drainer utiliza essa característica para calcular previamente o endereço do contrato de divisão para compradores de serviços de phishing, e depois que a vítima morde a isca, cria o contrato de divisão para completar a transferência de tokens e a operação de divisão.

2. Chamar o contrato criado, autorizando os tokens da vítima para o endereço de phishing (comprador do serviço Inferno Drainer) e o endereço de divisão. O atacante, através de métodos de phishing, leva a vítima a assinar inadvertidamente uma mensagem maliciosa Permit2. Permit2 permite aos usuários autorizar a transferência de tokens através de uma assinatura, sem a necessidade de interagir diretamente com a carteira.

3. Transferir quantidades diferentes de tokens para dois endereços de divisão e para o comprador, completando a divisão. Numa transação típica, o comprador obtém 82,5% do lucro, enquanto o Inferno Drainer retém 17,5%.

É importante notar que o Inferno Drainer consegue contornar, até certo ponto, algumas funções anti-phishing de carteiras ao criar contratos antes da divisão do roubo, pois quando a vítima aprova a transação maliciosa, o contrato ainda não foi criado.

Passos simples para criar um site de phishing

Com a ajuda do SaaS, tornou-se extremamente fácil para os atacantes criar sites de phishing:

1. Entre no canal de comunicação fornecido pelo Drainer e use comandos simples para criar um domínio gratuito e o respectivo endereço IP.

2. Escolha um entre as centenas de modelos disponíveis, entre no processo de instalação e, em poucos minutos, poderá gerar um site de phishing que parece real.

3. Procurar vítimas. Assim que alguém entrar no site, acreditar nas informações fraudulentas na página e conectar a carteira para aprovar transações maliciosas, os seus ativos serão transferidos.

Todo o processo leva apenas alguns minutos, reduzindo significativamente o custo do crime.

Resumo e recomendações de prevenção

O retorno do Inferno Drainer traz grandes riscos de segurança para os usuários do setor. Os usuários devem estar atentos ao participar de transações de encriptação e lembrar dos seguintes pontos:

• Cuidado com "torta que cai do céu": não confie em qualquer airdrop ou compensação gratuita suspeita, confie apenas em sites oficiais ou projetos que foram auditados profissionalmente.

• Verifique a ligação à rede: antes de conectar a carteira, verifique cuidadosamente a URL e esteja atento a sites que imitam projetos conhecidos. Pode usar ferramentas de pesquisa de domínio WHOIS para verificar a data de registo; sites com datas de registo muito curtas podem ser projetos fraudulentos.

• Proteger informações de privacidade: Nunca envie palavras-passe ou chaves privadas para sites ou aplicativos suspeitos. Antes de assinar ou aprovar transações no wallet, verifique cuidadosamente se envolvem transações Permit ou Approve que possam levar a perdas financeiras.

• Fique atento a atualizações sobre fraudes: siga as contas oficiais das redes sociais que publicam avisos de alerta regularmente. Se descobrir que autorizou acidentalmente tokens para um endereço de fraude, revogue a autorização rapidamente ou transfira os ativos restantes para outro endereço seguro.