Şifreleme dünyasında oltalama saldırılarının sanayileşmesi: Scam-as-a-Service ekosisteminin sırları

2024 yılının Haziran ayından itibaren, güvenlik ekipleri benzer çok sayıda kimlik avı işlemi tespit etti; sadece Haziran ayında söz konusu miktar 55 milyon doları geçti. Ağustos ve Eylül aylarına girildiğinde, ilgili kimlik avı faaliyetleri daha da sıklaştı ve giderek artan bir tehdit haline geldi. 2024 yılının üçüncü çeyreğinde, kimlik avı saldırıları en büyük ekonomik kayıplara neden olan saldırı biçimi haline geldi ve 65 saldırı eyleminde 243 milyon dolardan fazla kazanım sağlandı. Analizler, son zamanlarda meydana gelen sık kimlik avı saldırılarının, ünlü kimlik avı aracı ekibi Inferno Drainer ile ilgili olabileceğini göstermektedir. Bu ekip, 2023 yılının sonunda "emekli" olduğunu duyurmuştu ancak şimdi yeniden aktif hale gelmiş gibi görünüyor ve bir dizi büyük ölçekli saldırı gerçekleştirmiştir.

Bu makalede Inferno Drainer, Nova Drainer gibi kimlik avı çetelerinin tipik suç yöntemleri analiz edilecek ve davranış özellikleri detaylı bir şekilde listelenecektir. Amaç, kullanıcıların kimlik avı dolandırıcılığını tanıma ve önleme yeteneklerini artırmalarına yardımcı olmaktır.

Scam-as-a-Service kavramı

Şifreleme dünyasında, bazı phishing ekipleri Scam-as-a-Service (Dolandırıcılık hizmeti olarak) adında yeni bir kötü niyetli model oluşturdu. Bu model, dolandırıcılık araçları ve hizmetlerini paketleyerek, diğer suçlulara bir ürün olarak sunuyor; Inferno Drainer bu alandaki temsilcilerden biri. 2022 Kasım ile 2023 Kasım arasında hizmetlerini kapattıklarını ilk kez duyurdukları dönemde, dolandırıcılık miktarı 80 milyon doları geçti.

Inferno Drainer, alıcılara hazır oltalama araçları ve altyapısı sağlayarak, oltalama web sitelerinin ön ve arka uçları, akıllı sözleşmeler ve sosyal medya hesapları dahil olmak üzere, saldırıları hızlı bir şekilde başlatmalarına yardımcı olur. Hizmet satın alan oltalama uzmanları, elde edilen hırsızlık gelirinin çoğunu saklarken, Inferno Drainer %10-%20 komisyon alır. Bu model, dolandırıcılığın teknik engellerini büyük ölçüde düşürerek, siber suçları daha verimli ve ölçeklenebilir hale getirmiştir; bu da oltalama saldırılarının şifreleme sektöründe yaygınlaşmasına ve özellikle güvenlik bilincinden yoksun kullanıcıların daha kolay hedef haline gelmesine yol açmıştır.

Scam-as-a-Service'ın Çalışma Şekli

Tipik bir merkeziyetsiz uygulama (DApp) genellikle bir ön yüz arayüzü ve blok zincirindeki akıllı sözleşmelerden oluşur. Kullanıcılar, blok zinciri cüzdanı aracılığıyla DApp'in ön yüz arayüzüne bağlanır, ön yüz sayfası ilgili blok zinciri işlemini oluşturur ve bunu kullanıcının cüzdanına gönderir. Kullanıcı daha sonra blok zinciri cüzdanı ile bu işlemi imzalar ve onaylar, imzalama tamamlandığında işlem blok zinciri ağına gönderilir ve gerekli işlevi yerine getirmek için ilgili akıllı sözleşme çağrılır.

Balıkçı saldırganları, kötü niyetli bir ön uç arayüzü ve akıllı sözleşmeler tasarlayarak, kullanıcıları güvensiz işlemler yapmaya kışkırtır. Saldırganlar genellikle kullanıcıları kötü niyetli bağlantılara veya butonlara tıklamaya yönlendirir, onları gizli kötü niyetli işlemleri onaylamaya kandırır ve hatta doğrudan kullanıcıları özel anahtarlarını ifşa etmeye teşvik eder. Kullanıcı bu kötü niyetli işlemleri imzaladığında veya özel anahtarını ifşa ettiğinde, saldırgan kullanıcı varlıklarını kolayca kendi hesaplarına aktarabilir.

Yaygın yöntemler şunlardır:

1. Tanınmış projelerin sahte ön yüzü: Saldırganlar, tanınmış projelerin resmi web sitelerini titizlikle taklit ederek, kullanıcıların güvenilir bir proje ile etkileşimde bulunduğunu düşünmelerini sağlayan, meşru görünen bir ön yüz oluştururlar. Bu şekilde kullanıcılar dikkatlerini dağıtır, cüzdanlarını bağlayarak güvensiz işlemler yaparlar.

2. Token airdrop dolandırıcılığı: Sosyal medyada "ücretsiz airdrop", "erken satış", "ücretsiz NFT mintleme" gibi çekici fırsatları vaad eden sahte web sitelerini geniş bir şekilde tanıtarak, kurbanları bağlantılara tıklamaya yönlendirir. Kurbanlar, sahte web sitesine çekildiklerinde, genellikle cüzdanlarını bağlayıp kötü niyetli işlemleri onaylamadan duramazlar.

3. Sahte hacker olayları ve ödül dolandırıcılıkları: Suçlular, bilinen bir projenin hacker saldırısına uğradığını veya varlıklarının dondurulduğunu iddia ederek kullanıcılara tazminat veya ödül dağıttıklarını söylemektedirler. Bu sahte acil durumlar aracılığıyla kullanıcıları oltalama sitelerine yönlendirerek cüzdanlarını bağlamaya ikna etmekte ve nihayetinde kullanıcı fonlarını çalmaktadırlar.

Inferno Drainer gibi SaaS araçları sağlayıcıları, oltalama dolandırıcılığının teknik engelini tamamen ortadan kaldırarak, ilgili teknik bilgiye sahip olmayan alıcılara oltalama siteleri oluşturma ve barındırma hizmeti sunmakta ve dolandırıcılıktan elde edilen kazançlardan pay almaktadır.

Inferno Drainer ve SaaS alıcılarının paylaşım yöntemi

21 Mayıs 2024'te, Inferno Drainer etherscan'da bir imza doğrulama mesajı yayımlayarak geri döndüğünü duyurdu ve yeni bir Discord kanalı oluşturdu.

Bir tipik işlemi analiz ederek Inferno Drainer'ın nasıl çalıştığını anlayabiliriz:

1. Inferno Drainer, CREATE2 kullanarak bir sözleşme oluşturur. CREATE2, Ethereum sanal makinesindeki bir komut olup, akıllı sözleşmeler oluşturmak için kullanılır ve akıllı sözleşme byte kodu ve sabit bir salt'a dayanarak sözleşme adresini önceden hesaplamaya olanak tanır. Inferno Drainer, bu özelliği kullanarak, oltaya düşen kurbanların adresini önceden hesaplar ve kurban oltaya düştüğünde, yağma sözleşmesini oluşturur ve token transferi ile yağma işlemini tamamlar.

2. Oluşturulan sözleşmeyi çağırarak, mağdurun tokenlerini phishing adresine (Inferno Drainer hizmetinin alıcısı) ve paylaşılan adrese onaylayın. Saldırgan, mağduru istemeden kötü niyetli Permit2 mesajını imzalamaya yönlendirmek için phishing yöntemlerini kullanır. Permit2, kullanıcıların imza ile token transferini yetkilendirmesine izin verir, bu da doğrudan cüzdanla etkileşimde bulunmayı gerektirmez.

3. İki pay adresine ve alıcıya farklı miktarlarda token aktararak paylaşımı tamamlayın. Tipik bir işlemde, alıcı %82,5'lik bir pay alırken, Inferno Drainer %17,5'ini saklar.

Dikkate değer olan, Inferno Drainer'ın, ganimeti bölmeden önce sözleşme oluşturarak bazı cüzdanların anti-phishing özelliklerini bir ölçüde aşabilmesidir. Çünkü kurban kötü niyetli işlemi onayladığında, sözleşme henüz oluşturulmamış durumda.

Basit Bir Phishing Sitesi Oluşturma Adımları

SaaS'ın yardımıyla, saldırganların oltalama siteleri oluşturması son derece kolay hale geliyor:

1. Drainer tarafından sağlanan iletişim kanalına girin, basit komutları kullanarak ücretsiz bir alan adı ve ilgili IP adresi oluşturun.

2. Sağlanan yüzlerce şablondan birini seçin, kurulum sürecine girin, birkaç dakika içinde gerçekçi görünen bir oltalama web sitesi oluşturabilirsiniz.

3. Kurbanları bulmak. Birisi bu siteye girdiğinde, sayfadaki dolandırıcılık bilgilerine güveniyor ve cüzdanını kötü niyetli işlemleri onaylayacak şekilde bağlıyorsa, varlıkları transfer edilecektir.

Tüm süreç sadece birkaç dakika sürüyor ve suç maliyetlerini büyük ölçüde azaltıyor.

Özet ve Önleme Önerileri

Inferno Drainer'ın geri dönüşü, sektör kullanıcıları için büyük bir güvenlik tehdidi oluşturuyor. Kullanıcıların şifreleme para birimi işlemlerine katılırken dikkatli olmaları ve aşağıdaki noktalara dikkat etmeleri gerekiyor:

• Dikkat edin "gökten düşen börek" : Herhangi bir şüpheli ücretsiz airdrop veya tazminata güvenmeyin, sadece resmi web sitelerine veya profesyonel denetimden geçmiş projelere güvenin.

• Ağ bağlantısını kontrol edin: Cüzdanı bağlamadan önce URL'yi dikkatlice kontrol edin, tanınmış projelerin taklit sitelerine dikkat edin. Kayıt süresini görmek için WHOIS alan adı sorgulama aracını kullanabilirsiniz, kayıt süresi çok kısa olan siteler dolandırıcılık projeleri olabilir.

• Gizlilik bilgilerini koruyun: Şüpheli web sitelerine veya uygulamalara kurtarma kelimelerini, özel anahtarları göndermeyin. Cüzdan, işlem imzası veya onayı talep etmeden önce, olası maddi kayıplara neden olabilecek Permit veya Approve işlemlerini dikkatlice kontrol edin.

• Dolandırıcılık bilgisi güncellemelerini takip etme: Düzenli olarak uyarı bilgilerini paylaşan resmi sosyal medya hesaplarını takip edin. Eğer yanlışlıkla dolandırıcılık adresine token yetkisi verdiyseniz, yetkiyi derhal geri alın veya kalan varlıkları başka bir güvenli adrese transfer edin.