Şifreleme dünyasındaki oltalama saldırıları sanayileşmesi

2024 yılı Haziran ayından itibaren, güvenlik ekibi çok sayıda benzer oltalama ve fon hırsızlığı işlemini izledi, sadece Haziran ayında söz konusu miktar 55 milyon doları aştı. Ağustos ve Eylül aylarına girildiğinde, ilgili oltalama faaliyetleri daha sık hale geldi ve giderek artan bir ivme kazandı. 2024 yılı üçüncü çeyreğinde, oltalama saldırıları en büyük ekonomik kayıplara neden olan saldırı yöntemi haline geldi; saldırganlar 65 eylemde 243 milyon dolardan fazla kazanç sağladı. Analizler, son zamanlarda meydana gelen sık oltalama saldırılarının, kötü şöhretli oltalama aracı ekibi Inferno Drainer ile ilgili olabileceğini gösteriyor. Bu ekip, 2023 yılının sonunda "emekli" olduğunu açıklamıştı, ancak şimdi yeniden aktif hale gelmiş gibi görünüyor ve bir dizi büyük ölçekli saldırı gerçekleştirdi.

Bu yazıda Inferno Drainer, Nova Drainer gibi kimlik avı çetelerinin tipik suç yöntemleri analiz edilecek ve davranış özellikleri detaylı bir şekilde sıralanacaktır. Amaç, kullanıcıların kimlik avı dolandırıcılıklarını tanıma ve önleme yeteneklerini artırmalarına yardımcı olmaktır.

Scam-as-a-Service kavramı

Şifreleme dünyasında, bazı dolandırıcılık ekipleri Scam-as-a-Service (dolandırıcılık hizmeti olarak) adı verilen yeni bir kötü niyetli model geliştirdi. Bu model, dolandırıcılık araçlarını ve hizmetlerini paketleyerek, diğer suçlulara ticari bir şekilde sunmaktadır. Inferno Drainer, bu alandaki tipik bir temsilcidir ve 2022 Kasım'ından 2023 Kasım'ına kadar hizmetini kapattığını ilk duyurduğunda, dolandırıcılık miktarı 80 milyon dolardan fazlaydı.

Inferno Drainer, alıcılara hazır oltalama araçları ve altyapısı sağlayarak, oltalama web sitelerinin ön ve arka uçları, akıllı sözleşmeler ve sosyal medya hesapları dahil olmak üzere, saldırıları hızlı bir şekilde başlatmalarına yardımcı olmaktadır. Hizmet satın alan oltalama uzmanları, elde edilen suç gelirlerinin büyük bir kısmını saklarken, Inferno Drainer %10-%20 komisyon almaktadır. Bu model, dolandırıcılığın teknik engelini büyük ölçüde azaltmakta, siber suçları daha verimli ve ölçeklenebilir hale getirmekte, bu da oltalama saldırılarının şifreleme sektöründe yaygınlaşmasına neden olmakta; özellikle güvenlik bilinci düşük kullanıcılar daha kolay hedef haline gelmektedir.

Scam-as-a-Service'in İşleyiş Mekanizması

SaaS'ı anlamadan önce, tipik bir merkeziyetsiz uygulamanın (DApp) iş akışına bir göz atalım. Tipik bir DApp genellikle bir ön yüz arayüzünden (Web sayfası veya mobil uygulama gibi) ve blok zincirinde bulunan akıllı sözleşmelerden oluşur. Kullanıcı, blok zinciri cüzdanı aracılığıyla DApp'in ön yüz arayüzüne bağlanır, ön yüz sayfası ilgili blok zinciri işlemlerini oluşturur ve bunları kullanıcının cüzdanına gönderir. Kullanıcı daha sonra blok zinciri cüzdanını kullanarak bu işlemi imzalar ve onaylar, imza tamamlandıktan sonra işlem blok zinciri ağına gönderilir ve gerekli işlevleri yerine getirmek için ilgili akıllı sözleşmeleri çağırır.

Balık avı saldırganları, kullanıcıları güvensiz işlemler yapmaya ikna etmek için kötü niyetli bir ön yüz arayüzü ve akıllı sözleşmeler tasarlayarak ustaca bir şekilde hareket ederler. Saldırganlar genellikle kullanıcıları kötü niyetli bağlantılara veya butonlara tıklamaya yönlendirerek, onların bazı gizli kötü niyetli işlemleri onaylamalarını sağlamakta veya bazı durumlarda doğrudan kullanıcıları özel anahtarlarını ifşa etmeye kandırmaktadırlar. Kullanıcı bu kötü niyetli işlemleri imzaladığında veya özel anahtarını ifşa ettiğinde, saldırganlar kullanıcıların varlıklarını kendi hesaplarına kolayca aktarabilirler.

Yaygın oltalama yöntemleri şunlardır:

1. Ünlü projelerin sahte ön yüzü: Saldırganlar, ünlü projelerin resmi web sitelerini titizlikle taklit ederek, kullanıcıların güvenilir bir projeyle etkileşimde bulunduklarını sanmalarını sağlayan, görünüşte yasal bir ön yüz oluştururlar.

2. Token airdrop dolandırıcılığı: Sosyal medyada "ücretsiz airdrop", "erken ön satış", "ücretsiz NFT mintleme" gibi çekici fırsatları iddia eden phishing sitelerini yaymak, mağdurları bağlantılara tıklamaya ve kötü niyetli işlemleri onaylamaya zorlamak.

3. Sahte hacker olayları ve ödül dolandırıcılıkları: Belirli bir ünlü projenin hacker saldırısına uğradığını veya varlıklarının dondurulduğunu iddia ederek, kullanıcılara tazminat veya ödül vermekte, sahte acil durumlar aracılığıyla kullanıcıları kimlik avı sitelerine çekmektedir.

SaaS modeli, son iki yılda oltalama dolandırıcılığının giderek artmasının başlıca tetikleyicisidir. SaaS ortaya çıkmadan önce, oltalama saldırganları her saldırı için zincir üzerinde başlatma sermayesi hazırlamak, ön yüz web sitesi ve akıllı sözleşme oluşturmak zorundaydılar. Bu oltalama web siteleri çoğunlukla kalitesiz olsa da, yine de belirli bir teknik engel gerektiriyordu. Inferno Drainer gibi SaaS araçları sağlayıcıları, oltalama dolandırıcılığının teknik engelini tamamen ortadan kaldırarak, ilgili teknik bilgiye sahip olmayan alıcılara oltalama web siteleri oluşturma ve barındırma hizmeti sunmakta ve dolandırıcılıktan elde edilen kazançlardan pay almaktadır.

Inferno Drainer'ın geri dönüşü ve paylaşım mekanizması

2024 yılının 21 Mayısında, Inferno Drainer etherscan üzerinde bir imza doğrulama mesajı yayınlayarak geri döndüğünü duyurdu ve yeni bir Discord kanalı oluşturdu. Güvenlik ekibi son zamanlarda bazı anormal davranış sergileyen phishing adreslerini yoğun bir şekilde izledi, yapılan işlem analizi ve araştırması sonucunda, bu işlemlerin Inferno Drainer'ın mağdurların oltaya geldiğini tespit ettikten sonra fon transferi ve paylaşma işlemleri olduğu sonucuna vardık.

Bir ticareti örnek alarak, saldırı süreci aşağıdaki gibidir:

1. Inferno Drainer, CREATE2 ile bir kontrat oluşturur. CREATE2, Ethereum sanal makinesinde akıllı kontratlar oluşturmak için kullanılan bir komuttur ve akıllı kontrat bayt kodu ve sabit bir salt kullanılarak kontrat adresinin önceden hesaplanmasına olanak tanır.

2. Oluşturulan sözleşmeyi çağırarak, mağdurun DAI'sini oltalama adresine (Inferno Drainer hizmetinin alıcısı) ve paylaşım adresine onaylayın. Saldırgan, çeşitli oltalama yöntemleriyle, mağduru istemeden kötü niyetli Permit2 mesajını imzalamaya yönlendirdi.

3. İki pay alma adresine sırasıyla 3,654 ve 7,005 DAI, alıcıya ise 50,255 DAI transfer edilerek paylaşım tamamlandı.

Bu işlemde, balıkçılık hizmetini satın alan alıcı, 82.5% hırsızlık parasını aldı, Inferno Drainer ise %17.5'ini sakladı.

Hızlı Phishing Sitesi Oluşturma Süreci

SaaS yardımıyla, saldırganlar kolayca ve hızlı bir şekilde phishing siteleri oluşturabilirler. Spesifik adımlar aşağıdaki gibidir:

1. Drainer tarafından sağlanan TG kanalına girin, basit komutları kullanarak ücretsiz alan adı ve karşılık gelen IP adresi oluşturun.

2. Robotun sağladığı yüzlerce şablondan birini seçin, kurulum sürecine girin, birkaç dakika sonra gerçekçi bir sahte web sitesi oluşturabilirsiniz.

3. Kurbanları bul. Bir kez kurban web sitesine girdiğinde, sayfadaki dolandırıcılık bilgilerine inanarak cüzdanını kötü niyetli işlemleri onaylamak için bağladığında, varlıkları transfer edilecektir.

Tüm süreç sadece birkaç dakika alıyor, suç maliyetlerini büyük ölçüde düşürüyor.

Güvenlik Önerileri

Bu tür kimlik avı saldırılarına karşı önlem almak için, kullanıcılar şunları yapmalıdır:

• "Gökyüzünden düşen börek" gibi şüpheli ücretsiz havaleler veya tazminatlar konusunda dikkatli olun.
• Cüzdanı bağlamadan önce web sitesi URL'sini dikkatlice kontrol edin, tanınmış projelerin taklit sitelerine karşı dikkatli olun.
• WHOIS alan adı sorgulama aracı kullanarak web sitesinin kayıt tarihini kontrol edin, kayıt tarihi çok kısa olan web siteleri dolandırıcılık projeleri olabilir.
• Şüpheli web sitelerine veya uygulamalara kurtarma ifadesi, özel anahtar gibi gizli bilgileri göndermeyin.
• İmza mesajı veya işlem onaylamadan önce, olası para kaybına neden olabilecek Permit veya Approve işlemleri ile ilgili olup olmadığını dikkatlice kontrol edin.
• CertiK Alert gibi uyarı bilgilerini yayınlayan resmi hesapları takip edin, en son dolandırıcılık eğilimlerini zamanında öğrenin.
• Dolandırıcılık adresine yanlışlıkla token yetkisi verdiyseniz, yetkiyi derhal geri çekmeli veya kalan varlıkları güvenli bir adrese transfer etmelisiniz.