Раскрытие индустриализации фишинг-атак в мире шифрования

С июня 2024 года команда безопасности зафиксировала большое количество схожих фишинговых и кражи средств транзакций, только в июне сумма, затронутая в этих делах, превысила 55 миллионов долларов. В августе и сентябре соответствующие фишинговые активности стали более частыми и усилились. В третьем квартале 2024 года фишинговые атаки стали самой крупной причиной экономических убытков, злоумышленники получили более 243 миллионов долларов за 65 действий. Анализ показывает, что недавние частые фишинговые атаки, вероятно, связаны с печально известной командой фишинговых инструментов Inferno Drainer. Эта команда объявила о "выходе на пенсию" в конце 2023 года, но теперь, похоже, снова активизировалась, совершив ряд массовых атак.

В данной статье будут проанализированы типичные методы мошенничества сетевых фишинговых групп, таких как Inferno Drainer и Nova Drainer, а также подробно перечислены их поведенческие характеристики, с целью помочь пользователям повысить свои навыки распознавания и предотвращения фишинговых мошенничеств.

Концепция Scam-as-a-Service

В мире шифрования некоторые фишинговые группы изобрели новый вредоносный подход под названием Scam-as-a-Service (мошенничество как услуга). Эта модель упаковывает инструменты и услуги мошенничества и предлагает их другим преступникам в коммерческом формате. Inferno Drainer является типичным представителем этой области, за период с ноября 2022 года по ноябрь 2023 года, когда впервые было объявлено о закрытии услуг, его сумма мошенничества превысила 80 миллионов долларов.

Inferno Drainer помогает покупателям быстро начать атаки, предоставляя готовые инструменты и инфраструктуру для фишинга, включая фронт- и бэкэнд фишинговых сайтов, смарт-контракты и учетные записи в социальных сетях. Фишеры, покупающие услуги, сохраняют большую часть украденных средств, в то время как Inferno Drainer взимает комиссию в размере 10%-20%. Эта модель значительно снизила технические барьеры для мошенничества, сделав киберпреступность более эффективной и масштабируемой, что привело к распространению фишинговых атак в индустрии шифрования, особенно среди пользователей, которые не обладают достаточной безопасностью, и они становятся более уязвимыми к атакам.

Механизм работы Scam-as-a-Service

Прежде чем понять SaaS, давайте посмотрим на типичный рабочий процесс децентрализованного приложения (DApp). Типичный DApp обычно состоит из интерфейса (например, веб-страницы или мобильного приложения) и смарт-контрактов на блокчейне. Пользователь подключается к интерфейсу DApp через блокчейн-кошелек, интерфейс генерирует соответствующую блокчейн-транзакцию и отправляет ее в кошелек пользователя. Затем пользователь подписывает и одобряет эту транзакцию с помощью блокчейн-кошелька, и после завершения подписи транзакция отправляется в блокчейн-сеть, где вызывается соответствующий смарт-контракт для выполнения необходимых функций.

Атака рыбалкой заключается в том, что злоумышленники, создавая вредоносные интерфейсы и смарт-контракты, искусно побуждают пользователей выполнять небезопасные действия. Злоумышленники обычно направляют пользователей на нажатие вредоносных ссылок или кнопок, обманывая их на одобрение некоторых скрытых вредоносных транзакций, а в некоторых случаях даже прямо побуждая пользователей раскрыть свои приватные ключи. Как только пользователь подписывает эти вредоносные транзакции или раскрывает приватные ключи, злоумышленники могут легко перевести активы пользователя на свои собственные счета.

Распространенные методы фишинга включают:

1. Подделка известных проектов: злоумышленники тщательно имитируют официальные веб-сайты известных проектов, создавая, казалось бы, законные интерфейсы, чтобы пользователи ошибочно полагали, что взаимодействуют с надежным проектом.

2. Мошенничество с аирдропами токенов: активно рекламируются фишинговые сайты в социальных сетях, утверждающие о "бесплатных аирдропах", "ранних предпродажах", "бесплатной чеканке NFT" и других заманчивых возможностях, что побуждает жертв кликать на ссылки и одобрять вредоносные транзакции.

3. Ложные хакерские события и схемы с вознаграждением: утверждают, что какой-то известный проект стал жертвой хакерской атаки или заморозки активов, и сейчас выплачивают пользователям компенсации или вознаграждения, привлекая пользователей на фишинговые сайты с помощью ложной экстренной ситуации.

Модель SaaS является основным двигателем роста фишинговых мошенничеств за последние два года. До появления SaaS фишинговые атакующие каждый раз при проведении атаки должны были подготовить стартовый капитал на блокчейне, создать фронтенд-сайт и смарт-контракт. Хотя большинство этих фишинговых сайтов было сделано некачественно, все же необходимы определенные технические навыки. Поставщики инструментов SaaS, такие как Inferno Drainer, полностью устранили технические барьеры для фишинговых мошенничеств, предоставляя услуги по созданию и хостингу фишинговых сайтов для покупателей, у которых нет соответствующих технических навыков, и извлекая прибыль из полученных от мошенничества средств.

Возвращение Inferno Drainer и механизм разделения добычи

21 мая 2024 года Inferno Drainer опубликовал сообщение о проверке подписи на etherscan, объявив о своем возвращении и создав новый канал в Discord. Наша команда безопасности в последнее время сосредоточила внимание на некоторых фишинговых адресах с аномальным поведением. После анализа и расследования транзакций мы пришли к выводу, что эти транзакции являются перемещением средств и распределением награбленного Inferno Drainer после того, как он обнаружил, что жертва попалась.

В качестве примера одной из сделок процесс атаки следующий:

1. Inferno Drainer создает контракт через CREATE2. CREATE2 — это инструкция в виртуальной машине Ethereum, используемая для создания смарт-контрактов, которая позволяет заранее вычислить адрес контракта на основе байт-кода смарт-контракта и фиксированной соли.

2. Вызовите созданный контракт, чтобы одобрить DAI жертвы для адреса-ловушки (покупателя сервиса Inferno Drainer) и адреса для дележа. Атакующий с помощью различных методов фишинга направляет жертву на то, чтобы она невольно подписала злонамеренное сообщение Permit2.

3. Переведите 3,654 и 7,005 DAI на два адреса распределения, переведите 50,255 DAI покупателю, завершив распределение.

В этой сделке покупатель рыболовных услуг забрал 82,5% от полученной прибыли, в то время как Inferno Drainer оставил себе 17,5%.

Быстрый процесс создания фишинговых сайтов

С помощью SaaS злоумышленники могут легко и быстро создавать фишинговые сайты. Конкретные шаги следующие:

1. Войдите в TG-канал, предоставленный Drainer, и используйте простую команду для создания бесплатного домена и соответствующего IP-адреса.

2. Выберите один из сотен шаблонов, предлагаемых роботом, перейдите в процесс установки, и через несколько минут вы сможете создать интерфейс, который выглядит как настоящий фишинговый сайт.

3. Поиск жертв. Как только жертва зайдет на сайт, поверит мошеннической информации на странице и подключит кошелек для одобрения злонамеренной транзакции, её активы будут переведены.

Весь процесс занимает всего несколько минут, что значительно снижает затраты на преступность.

Рекомендации по безопасности

Чтобы предотвратить подобные фишинговые атаки, пользователи должны:

• Не верьте рекламе вроде "пироги падают с неба", как подозрительным бесплатным airdrop'ам или компенсациям.
• Перед подключением кошелька внимательно проверьте URL сайта, остерегайтесь сайтов, имитирующих известные проекты.
• Используйте инструмент WHOIS для проверки времени регистрации домена; сайты с коротким временем регистрации могут быть мошенническими проектами.
• Не передавайте свои мнемонические фразы, приватные ключи и другую конфиденциальную информацию подозрительным сайтам или приложениям.
• Перед подписанием сообщения или одобрением сделки внимательно проверьте, связаны ли они с операциями Permit или Approve, которые могут привести к потере средств.
• Подписывайтесь на официальные аккаунты, такие как CertiK Alert, чтобы своевременно узнавать о последних тенденциях мошенничества.
• Если вы случайно авторизовали токены на мошеннический адрес, вам следует немедленно отозвать авторизацию или перевести оставшиеся активы на безопасный адрес.