Індустріалізація фішингових атак у світі шифрування: розкриття екосистеми Scam-as-a-Service

З червня 2024 року команда безпеки зафіксувала велику кількість схожих фішингових угод, лише в червні сума збитків перевищила 55 мільйонів доларів США. У серпні та вересні відповідна фішингова активність стала ще частішою і набула загрозливого характеру. Протягом третього кварталу 2024 року фішингові атаки стали найбільшою причиною економічних втрат, з 65 атаками було отримано понад 243 мільйони доларів США. Аналіз показує, що нещодавні часті фішингові атаки, ймовірно, пов'язані з сумнозвісною групою фішингових інструментів Inferno Drainer. Ця група оголосила про "вихід на пенсію" наприкінці 2023 року, але тепер, здається, знову активна, розпочавши низку масованих атак.

У цій статті буде проаналізовано типові методи злочинної діяльності фішингових угруповань, таких як Inferno Drainer і Nova Drainer, а також детально наведено їхні поведінкові характеристики, з метою допомогти користувачам підвищити свою здатність до виявлення та запобігання фішинговим шахрайствам.

Концепція Scam-as-a-Service

У світі шифрування деякі фішингові команди створили нову шкідливу модель, відому як Scam-as-a-Service (шахрайство як послуга). Ця модель пакує шахрайські інструменти та послуги та пропонує їх іншим злочинцям в комерційний спосіб, Inferno Drainer є представником цієї сфери. Протягом періоду з листопада 2022 року по листопад 2023 року, коли вони вперше оголосили про закриття служби, сума шахрайства перевищила 80 мільйонів доларів.

Inferno Drainer допомагає покупцям швидко розпочати атаки, надаючи готові інструменти для фішингу та інфраструктуру, включаючи фронтенд та бекенд фішингових сайтів, смарт-контракти та облікові записи в соціальних мережах. Фішери, що купують послуги, зберігають більшість викрадених коштів, тоді як Inferno Drainer стягує комісію у розмірі 10%-20%. Ця модель значно знижує технологічний бар'єр для шахрайства, роблячи кіберзлочинність більш ефективною та масовою, що призводить до розгулу фішингових атак у шифрувальному секторі, особливо ті, хто має низьку обізнаність у безпеці, стають легкими мішенями для нападів.

Як працює Scam-as-a-Service

Типові децентралізовані додатки (DApp) зазвичай складаються з фронтенд-інтерфейсу та смарт-контрактів на блокчейні. Користувачі підключаються до фронтенд-інтерфейсу DApp через блокчейн-гаманець, фронтенд-сторінка генерує відповідну блокчейн-транзакцію та надсилає її до гаманця користувача. Потім користувачі підписують цю транзакцію за допомогою блокчейн-гаманця, після завершення підписання транзакція надсилається до блокчейн-мережі та викликає відповідний смарт-контракт для виконання необхідних функцій.

Атака риболовлі полягає в тому, що зловмисники через створення шкідливих інтерфейсів та смарт-контрактів хитро спонукають користувачів виконувати небезпечні дії. Зазвичай зловмисники направляють користувачів на натискання шкідливих посилань або кнопок, обманюючи їх, щоб вони схвалили приховані шкідливі транзакції, або навіть безпосередньо спонукають користувачів розкрити свої приватні ключі. Як тільки користувач підписує ці шкідливі транзакції або розкриває свої приватні ключі, зловмисники можуть легко перевести активи користувача на свій рахунок.

Звичайні засоби включають:

1. Підробка фронтенду відомих проектів: Зловмисники ретельно імітують офіційні веб-сайти відомих проектів, створюючи нібито легітимні інтерфейси, щоб користувачі помилково вважали, що взаємодіють з надійними проектами, внаслідок чого розслаблюють пильність, підключають гаманці та виконують небезпечні операції.

2. Схема з повітряної роздачі токенів: активне розповсюдження фішингових сайтів у соціальних мережах, що стверджують, що існують привабливі можливості, такі як "безкоштовна роздача", "ранній продаж", "безкоштовне карбування NFT" тощо, щоб заманити жертв натиснути на посилання. Коли жертви потрапляють на фішинговий сайт, вони часто без свідомості підключають свій гаманець і підтверджують шкідливі транзакції.

3. Фальшиві хакерські інциденти та схеми винагород: злочинці стверджують, що певний відомий проєкт зазнав хакерської атаки або замороження активів, і зараз виплачує компенсацію або винагороду користувачам. Вони залучають користувачів на фішингові сайти через ці фальшиві надзвичайні ситуації, спонукаючи підключити гаманець, в результаті чого крадуть кошти користувачів.

Постачальники SaaS інструментів, такі як Inferno Drainer, повністю усунули технологічний бар'єр для фішингових шахрайств, надаючи послуги зі створення та хостингу фішингових сайтів для покупців, які не мають відповідних технологій, і отримуючи прибуток з шахрайських доходів.

Спосіб поділу здобичі між Inferno Drainer та покупцями SaaS

21 травня 2024 року Inferno Drainer опублікував повідомлення про перевірку підпису на etherscan, оголосивши про повернення та створив новий канал у Discord.

Аналізуючи типову угоду, ми можемо зрозуміти, як працює Inferno Drainer:

1. Inferno Drainer створює контракт через CREATE2. CREATE2 — це команда в віртуальній машині Ethereum, яка використовується для створення смарт-контрактів, що дозволяє заздалегідь обчислити адресу контракту на основі байт-коду смарт-контракту та фіксованого salt. Inferno Drainer використовує цю особливість, щоб заздалегідь обчислити адресу контракту для розподілу злочинних доходів для покупців фішингових послуг, і лише після того, як жертва потрапить у пастку, створює контракт для розподілу злочинних доходів, завершуючи передачу токенів та операцію розподілу.

2. Виклик створеного контракту, затвердження токенів жертви для фішингової адреси (купця послуги Inferno Drainer) та адреси розподілу. Зловмисник за допомогою фішингу спонукає жертву ненавмисно підписати шкідливе повідомлення Permit2. Permit2 дозволяє користувачам авторизувати передачу токенів за допомогою підпису, не взаємодіючи безпосередньо з гаманцем.

3. Переведіть різну кількість токенів на дві адреси розподілу і покупця, завершивши розподіл. У типовій угоді покупець отримує 82,5% коштів, тоді як Inferno Drainer зберігає 17,5%.

Варто зазначити, що Inferno Drainer, створюючи контракт перед розподілом здобичі, певною мірою може обійти деякі функції захисту від фішингу в гаманцях, оскільки в момент затвердження жертвою зловмисної транзакції контракт ще не був створений.

Простий кроки для створення фішингового сайту

За допомогою SaaS зловмисникам стало надзвичайно просто створювати фішингові сайти:

1. Увійти до комунікаційного каналу, наданого Drainer, і створити безкоштовний домен та відповідну IP-адресу за допомогою простих команд.

2. Виберіть один із сотень наданих шаблонів, перейдіть до процесу установки, і через кілька хвилин ви зможете створити сайт, що виглядає як справжній фішинговий сайт.

3. Шукати жертв. Як тільки хтось заходить на цей сайт, вірить шахрайській інформації на сторінці та дозволяє підключення гаманця для схвалення зловмисних транзакцій, його активи будуть переведені.

Весь процес займає лише кілька хвилин, що значно знижує витрати на злочини.

Підсумок та рекомендації щодо запобігання

Повернення Inferno Drainer створює великі ризики безпеки для користувачів галузі. Користувачам, які беруть участь у торгах криптовалютою, слід бути насторожі та пам'ятати про такі моменти:

• Будьте обережні з "пиріжками, що падають з неба": не довіряйте жодним підозрілим безкоштовним аірдропам або компенсаціям, довіряйте лише офіційним веб-сайтам або проектам, що пройшли професійний аудит.

• Перевірте мережеве з'єднання: ретельно перевірте URL перед підключенням гаманця, будьте обережні з сайтами, які імітують відомі проекти. Можна використати WHOIS інструмент для перевірки доменів, щоб побачити дату реєстрації; сайти з коротким терміном реєстрації можуть бути шахрайськими проектами.

• Захист інформації про конфіденційність: ніколи не подавайте мнемонічні фрази або приватні ключі на підозрілі веб-сайти чи додатки. Перед підписанням або затвердженням транзакції в гаманці уважно перевірте, чи не стосується це транзакцій Permit або Approve, які можуть призвести до втрати коштів.

• Слідкуйте за оновленнями інформації про шахрайство: стежте за офіційними акаунтами в соціальних мережах, які регулярно публікують інформацію про попередження. Якщо ви виявите, що ненавмисно надали токени шахрайському адресу, терміново відкличте авторизацію або перемістіть залишкові активи на іншу безпечну адресу.