Công nghiệp tấn công lừa đảo trong thế giới mã hóa: Khám phá hệ sinh thái Scam-as-a-Service
Kể từ tháng 6 năm 2024, đội ngũ an ninh đã phát hiện nhiều giao dịch lừa đảo trực tuyến tương tự, chỉ trong tháng 6, số tiền liên quan đã vượt quá 55 triệu USD. Đến tháng 8 và 9, các hoạt động lừa đảo liên quan càng trở nên thường xuyên hơn, thể hiện một xu hướng ngày càng gia tăng. Trong toàn bộ quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức tấn công gây ra thiệt hại kinh tế lớn nhất, với 65 cuộc tấn công đã thu về hơn 243 triệu USD. Phân tích cho thấy, các cuộc tấn công lừa đảo thường xuyên gần đây có thể liên quan đến nhóm công cụ lừa đảo nổi tiếng Inferno Drainer. Nhóm này đã tuyên bố "nghỉ hưu" vào cuối năm 2023, nhưng hiện nay dường như lại hoạt động trở lại, tiến hành một loạt các cuộc tấn công quy mô lớn.
Bài viết này sẽ phân tích các phương thức gây án điển hình của các băng nhóm lừa đảo qua mạng như Inferno Drainer, Nova Drainer và liệt kê chi tiết các đặc điểm hành vi của chúng, nhằm giúp người dùng nâng cao khả năng nhận diện và phòng ngừa lừa đảo qua mạng.
Khái niệm Scam-as-a-Service
Trong thế giới mã hóa, một số nhóm lừa đảo đã tạo ra một mô hình độc hại mới có tên là Scam-as-a-Service (lừa đảo như một dịch vụ). Mô hình này đóng gói các công cụ và dịch vụ lừa đảo để cung cấp theo cách hàng hóa cho các tội phạm khác, Inferno Drainer là đại diện trong lĩnh vực này. Trong khoảng thời gian từ tháng 11 năm 2022 đến tháng 11 năm 2023, khi họ lần đầu tiên thông báo ngừng dịch vụ, số tiền lừa đảo đã vượt qua 80 triệu đô la.
Inferno Drainer giúp người mua nhanh chóng phát động các cuộc tấn công bằng cách cung cấp các công cụ và cơ sở hạ tầng lừa đảo sẵn có, bao gồm cả giao diện trước và sau của trang web lừa đảo, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ lừa đảo mua dịch vụ giữ lại phần lớn số tiền lừa đảo, trong khi Inferno Drainer thu phí hoa hồng từ 10%-20%. Mô hình này đã làm giảm đáng kể rào cản kỹ thuật trong việc lừa đảo, khiến cho tội phạm mạng trở nên hiệu quả và quy mô hơn, dẫn đến việc các cuộc tấn công lừa đảo tràn lan trong ngành công nghiệp mã hóa, đặc biệt là những người dùng thiếu nhận thức về bảo mật dễ trở thành mục tiêu tấn công hơn.
Cách thức hoạt động của Scam-as-a-Service
Một ứng dụng phi tập trung (DApp) điển hình thường bao gồm giao diện phía trước và hợp đồng thông minh trên chuỗi khối. Người dùng kết nối đến giao diện phía trước của DApp thông qua ví chuỗi khối, trang giao diện phía trước tạo ra giao dịch chuỗi khối tương ứng và gửi nó đến ví của người dùng. Người dùng sau đó sử dụng ví chuỗi khối để ký phê duyệt giao dịch này, sau khi ký xong, giao dịch được gửi đến mạng chuỗi khối và gọi hợp đồng thông minh tương ứng để thực hiện chức năng cần thiết.
Kẻ tấn công lừa đảo bằng cách thiết kế giao diện front-end và hợp đồng thông minh độc hại, khéo léo dụ dỗ người dùng thực hiện các thao tác không an toàn. Kẻ tấn công thường hướng dẫn người dùng nhấp vào các liên kết hoặc nút độc hại, lừa dối họ phê duyệt các giao dịch độc hại ẩn, thậm chí trực tiếp dụ dỗ người dùng tiết lộ khóa riêng. Khi người dùng đã ký các giao dịch độc hại này hoặc tiết lộ khóa riêng, kẻ tấn công có thể dễ dàng chuyển tài sản của người dùng vào tài khoản của mình.
Các phương pháp phổ biến bao gồm:
Giả mạo giao diện trước của dự án nổi tiếng: Kẻ tấn công tinh vi bắt chước trang web chính thức của dự án nổi tiếng, tạo ra giao diện trước có vẻ hợp pháp, khiến người dùng nhầm tưởng rằng họ đang tương tác với dự án đáng tin cậy, từ đó trở nên lơi lỏng, kết nối ví và thực hiện các thao tác không an toàn.
Lừa đảo airdrop token: Trên mạng xã hội, có nhiều quảng cáo cho các trang web lừa đảo, tuyên bố có những cơ hội hấp dẫn như "airdrop miễn phí", "bán trước sớm", "đúc NFT miễn phí", nhằm lôi kéo nạn nhân nhấp vào liên kết. Khi nạn nhân bị thu hút đến trang web lừa đảo, họ thường vô tình kết nối ví và phê duyệt giao dịch độc hại.
Sự kiện hacker giả mạo và trò lừa đảo thưởng: Tội phạm tuyên bố rằng một dự án nổi tiếng nào đó đã bị tấn công bởi hacker hoặc tài sản bị đóng băng, đang phát tiền bồi thường hoặc thưởng cho người dùng. Họ thu hút người dùng đến các trang web lừa đảo thông qua những tình huống khẩn cấp giả mạo này, dụ dỗ kết nối ví, cuối cùng là đánh cắp tiền của người dùng.
Các nhà cung cấp công cụ SaaS như Inferno Drainer đã hoàn toàn loại bỏ rào cản kỹ thuật của lừa đảo qua mạng, cung cấp dịch vụ tạo và lưu trữ website lừa đảo cho những người mua thiếu kỹ thuật tương ứng, và trích phần lợi nhuận từ số tiền lừa đảo.
Phương thức chia chác giữa Inferno Drainer và người mua SaaS
Ngày 21 tháng 5 năm 2024, Inferno Drainer đã công khai một tin nhắn xác minh chữ ký trên etherscan, tuyên bố trở lại và tạo một kênh Discord mới.
Thông qua việc phân tích một giao dịch điển hình, chúng ta có thể hiểu cách hoạt động của Inferno Drainer:
Inferno Drainer tạo một hợp đồng thông qua CREATE2. CREATE2 là một lệnh trong máy ảo Ethereum, được sử dụng để tạo hợp đồng thông minh, cho phép tính toán trước địa chỉ hợp đồng dựa trên mã byte hợp đồng thông minh và salt cố định. Inferno Drainer tận dụng đặc điểm này để tính toán trước địa chỉ hợp đồng phân chia cho người mua dịch vụ lừa đảo, và khi nạn nhân mắc câu, nó sẽ tạo hợp đồng phân chia để thực hiện việc chuyển token và phân chia.
Gọi hợp đồng đã tạo, phê duyệt mã thông báo của nạn nhân cho địa chỉ lừa đảo (người mua dịch vụ Inferno Drainer) và địa chỉ chia chác. Kẻ tấn công đã dẫn dắt nạn nhân vô tình ký vào thông điệp Permit2 độc hại thông qua các phương thức lừa đảo. Permit2 cho phép người dùng ủy quyền chuyển nhượng mã thông báo thông qua chữ ký mà không cần tương tác trực tiếp với ví.
Chuyển vào hai địa chỉ chia sẻ phần thưởng và người mua một số lượng mã thông báo khác nhau, hoàn tất việc chia sẻ phần thưởng. Trong một giao dịch điển hình, người mua nhận 82,5% số tiền bẩn, trong khi Inferno Drainer giữ lại 17,5%.
Cần lưu ý rằng Inferno Drainer có thể vượt qua một số chức năng chống lừa đảo của ví bằng cách tạo hợp đồng trước khi phân chia phần thưởng, vì hợp đồng chưa được tạo ra khi nạn nhân phê duyệt giao dịch độc hại.
Bước đơn giản để tạo ra trang web lừa đảo
Với sự trợ giúp của SaaS, việc kẻ tấn công tạo ra các trang web lừa đảo trở nên cực kỳ đơn giản:
Vào kênh liên lạc được cung cấp bởi Drainer, sử dụng lệnh đơn giản để tạo tên miền miễn phí và địa chỉ IP tương ứng.
Chọn một trong hàng trăm mẫu có sẵn, vào quy trình cài đặt, chỉ sau vài phút bạn có thể tạo ra một trang web lừa đảo trông có vẻ thật.
Tìm kiếm nạn nhân. Một khi ai đó truy cập vào trang web, tin tưởng vào thông tin lừa đảo trên trang, và kết nối ví để phê duyệt giao dịch độc hại, tài sản của họ sẽ bị chuyển đi.
Toàn bộ quá trình chỉ mất vài phút, giảm đáng kể chi phí phạm tội.
Tóm tắt và đề xuất phòng ngừa
Sự trở lại của Inferno Drainer mang đến nguy cơ an ninh lớn cho người dùng trong ngành. Người dùng khi tham gia giao dịch mã hóa cần phải cảnh giác và nhớ những điểm sau:
Cảnh giác với "bánh nướng rơi từ trên trời": đừng tin tưởng bất kỳ airdrop miễn phí hoặc bồi thường nào nghi ngờ, chỉ tin tưởng các trang web chính thức hoặc các dự án đã qua kiểm toán chuyên nghiệp.
Kiểm tra liên kết mạng: Trước khi kết nối ví, hãy kiểm tra kỹ URL và cảnh giác với các trang web giả mạo các dự án nổi tiếng. Có thể sử dụng công cụ tra cứu tên miền WHOIS để xem thời gian đăng ký, các trang web có thời gian đăng ký quá ngắn có thể là dự án lừa đảo.
Bảo vệ thông tin cá nhân: Không bao giờ gửi từ khóa gợi nhớ, khóa riêng cho các trang web hoặc ứng dụng nghi ngờ. Trước khi ví yêu cầu ký hoặc phê duyệt giao dịch, hãy kiểm tra kỹ xem có liên quan đến giao dịch Permit hoặc Approve có thể dẫn đến mất tiền hay không.
Theo dõi cập nhật thông tin lừa đảo: Theo dõi tài khoản mạng xã hội chính thức công bố thông tin cảnh báo định kỳ. Nếu phát hiện không may ủy quyền token cho địa chỉ lừa đảo, hãy kịp thời thu hồi quyền ủy quyền hoặc chuyển tài sản còn lại đến địa chỉ an toàn khác.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Mã hóa thế giới ngành câu cá: Khám phá mô hình hoạt động của Scam-as-a-Service và Inferno Drainer
Công nghiệp tấn công lừa đảo trong thế giới mã hóa: Khám phá hệ sinh thái Scam-as-a-Service
Kể từ tháng 6 năm 2024, đội ngũ an ninh đã phát hiện nhiều giao dịch lừa đảo trực tuyến tương tự, chỉ trong tháng 6, số tiền liên quan đã vượt quá 55 triệu USD. Đến tháng 8 và 9, các hoạt động lừa đảo liên quan càng trở nên thường xuyên hơn, thể hiện một xu hướng ngày càng gia tăng. Trong toàn bộ quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức tấn công gây ra thiệt hại kinh tế lớn nhất, với 65 cuộc tấn công đã thu về hơn 243 triệu USD. Phân tích cho thấy, các cuộc tấn công lừa đảo thường xuyên gần đây có thể liên quan đến nhóm công cụ lừa đảo nổi tiếng Inferno Drainer. Nhóm này đã tuyên bố "nghỉ hưu" vào cuối năm 2023, nhưng hiện nay dường như lại hoạt động trở lại, tiến hành một loạt các cuộc tấn công quy mô lớn.
Bài viết này sẽ phân tích các phương thức gây án điển hình của các băng nhóm lừa đảo qua mạng như Inferno Drainer, Nova Drainer và liệt kê chi tiết các đặc điểm hành vi của chúng, nhằm giúp người dùng nâng cao khả năng nhận diện và phòng ngừa lừa đảo qua mạng.
Khái niệm Scam-as-a-Service
Trong thế giới mã hóa, một số nhóm lừa đảo đã tạo ra một mô hình độc hại mới có tên là Scam-as-a-Service (lừa đảo như một dịch vụ). Mô hình này đóng gói các công cụ và dịch vụ lừa đảo để cung cấp theo cách hàng hóa cho các tội phạm khác, Inferno Drainer là đại diện trong lĩnh vực này. Trong khoảng thời gian từ tháng 11 năm 2022 đến tháng 11 năm 2023, khi họ lần đầu tiên thông báo ngừng dịch vụ, số tiền lừa đảo đã vượt qua 80 triệu đô la.
Inferno Drainer giúp người mua nhanh chóng phát động các cuộc tấn công bằng cách cung cấp các công cụ và cơ sở hạ tầng lừa đảo sẵn có, bao gồm cả giao diện trước và sau của trang web lừa đảo, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ lừa đảo mua dịch vụ giữ lại phần lớn số tiền lừa đảo, trong khi Inferno Drainer thu phí hoa hồng từ 10%-20%. Mô hình này đã làm giảm đáng kể rào cản kỹ thuật trong việc lừa đảo, khiến cho tội phạm mạng trở nên hiệu quả và quy mô hơn, dẫn đến việc các cuộc tấn công lừa đảo tràn lan trong ngành công nghiệp mã hóa, đặc biệt là những người dùng thiếu nhận thức về bảo mật dễ trở thành mục tiêu tấn công hơn.
Cách thức hoạt động của Scam-as-a-Service
Một ứng dụng phi tập trung (DApp) điển hình thường bao gồm giao diện phía trước và hợp đồng thông minh trên chuỗi khối. Người dùng kết nối đến giao diện phía trước của DApp thông qua ví chuỗi khối, trang giao diện phía trước tạo ra giao dịch chuỗi khối tương ứng và gửi nó đến ví của người dùng. Người dùng sau đó sử dụng ví chuỗi khối để ký phê duyệt giao dịch này, sau khi ký xong, giao dịch được gửi đến mạng chuỗi khối và gọi hợp đồng thông minh tương ứng để thực hiện chức năng cần thiết.
Kẻ tấn công lừa đảo bằng cách thiết kế giao diện front-end và hợp đồng thông minh độc hại, khéo léo dụ dỗ người dùng thực hiện các thao tác không an toàn. Kẻ tấn công thường hướng dẫn người dùng nhấp vào các liên kết hoặc nút độc hại, lừa dối họ phê duyệt các giao dịch độc hại ẩn, thậm chí trực tiếp dụ dỗ người dùng tiết lộ khóa riêng. Khi người dùng đã ký các giao dịch độc hại này hoặc tiết lộ khóa riêng, kẻ tấn công có thể dễ dàng chuyển tài sản của người dùng vào tài khoản của mình.
Các phương pháp phổ biến bao gồm:
Giả mạo giao diện trước của dự án nổi tiếng: Kẻ tấn công tinh vi bắt chước trang web chính thức của dự án nổi tiếng, tạo ra giao diện trước có vẻ hợp pháp, khiến người dùng nhầm tưởng rằng họ đang tương tác với dự án đáng tin cậy, từ đó trở nên lơi lỏng, kết nối ví và thực hiện các thao tác không an toàn.
Lừa đảo airdrop token: Trên mạng xã hội, có nhiều quảng cáo cho các trang web lừa đảo, tuyên bố có những cơ hội hấp dẫn như "airdrop miễn phí", "bán trước sớm", "đúc NFT miễn phí", nhằm lôi kéo nạn nhân nhấp vào liên kết. Khi nạn nhân bị thu hút đến trang web lừa đảo, họ thường vô tình kết nối ví và phê duyệt giao dịch độc hại.
Sự kiện hacker giả mạo và trò lừa đảo thưởng: Tội phạm tuyên bố rằng một dự án nổi tiếng nào đó đã bị tấn công bởi hacker hoặc tài sản bị đóng băng, đang phát tiền bồi thường hoặc thưởng cho người dùng. Họ thu hút người dùng đến các trang web lừa đảo thông qua những tình huống khẩn cấp giả mạo này, dụ dỗ kết nối ví, cuối cùng là đánh cắp tiền của người dùng.
Các nhà cung cấp công cụ SaaS như Inferno Drainer đã hoàn toàn loại bỏ rào cản kỹ thuật của lừa đảo qua mạng, cung cấp dịch vụ tạo và lưu trữ website lừa đảo cho những người mua thiếu kỹ thuật tương ứng, và trích phần lợi nhuận từ số tiền lừa đảo.
Phương thức chia chác giữa Inferno Drainer và người mua SaaS
Ngày 21 tháng 5 năm 2024, Inferno Drainer đã công khai một tin nhắn xác minh chữ ký trên etherscan, tuyên bố trở lại và tạo một kênh Discord mới.
Thông qua việc phân tích một giao dịch điển hình, chúng ta có thể hiểu cách hoạt động của Inferno Drainer:
Inferno Drainer tạo một hợp đồng thông qua CREATE2. CREATE2 là một lệnh trong máy ảo Ethereum, được sử dụng để tạo hợp đồng thông minh, cho phép tính toán trước địa chỉ hợp đồng dựa trên mã byte hợp đồng thông minh và salt cố định. Inferno Drainer tận dụng đặc điểm này để tính toán trước địa chỉ hợp đồng phân chia cho người mua dịch vụ lừa đảo, và khi nạn nhân mắc câu, nó sẽ tạo hợp đồng phân chia để thực hiện việc chuyển token và phân chia.
Gọi hợp đồng đã tạo, phê duyệt mã thông báo của nạn nhân cho địa chỉ lừa đảo (người mua dịch vụ Inferno Drainer) và địa chỉ chia chác. Kẻ tấn công đã dẫn dắt nạn nhân vô tình ký vào thông điệp Permit2 độc hại thông qua các phương thức lừa đảo. Permit2 cho phép người dùng ủy quyền chuyển nhượng mã thông báo thông qua chữ ký mà không cần tương tác trực tiếp với ví.
Chuyển vào hai địa chỉ chia sẻ phần thưởng và người mua một số lượng mã thông báo khác nhau, hoàn tất việc chia sẻ phần thưởng. Trong một giao dịch điển hình, người mua nhận 82,5% số tiền bẩn, trong khi Inferno Drainer giữ lại 17,5%.
Cần lưu ý rằng Inferno Drainer có thể vượt qua một số chức năng chống lừa đảo của ví bằng cách tạo hợp đồng trước khi phân chia phần thưởng, vì hợp đồng chưa được tạo ra khi nạn nhân phê duyệt giao dịch độc hại.
Bước đơn giản để tạo ra trang web lừa đảo
Với sự trợ giúp của SaaS, việc kẻ tấn công tạo ra các trang web lừa đảo trở nên cực kỳ đơn giản:
Vào kênh liên lạc được cung cấp bởi Drainer, sử dụng lệnh đơn giản để tạo tên miền miễn phí và địa chỉ IP tương ứng.
Chọn một trong hàng trăm mẫu có sẵn, vào quy trình cài đặt, chỉ sau vài phút bạn có thể tạo ra một trang web lừa đảo trông có vẻ thật.
Tìm kiếm nạn nhân. Một khi ai đó truy cập vào trang web, tin tưởng vào thông tin lừa đảo trên trang, và kết nối ví để phê duyệt giao dịch độc hại, tài sản của họ sẽ bị chuyển đi.
Toàn bộ quá trình chỉ mất vài phút, giảm đáng kể chi phí phạm tội.
Tóm tắt và đề xuất phòng ngừa
Sự trở lại của Inferno Drainer mang đến nguy cơ an ninh lớn cho người dùng trong ngành. Người dùng khi tham gia giao dịch mã hóa cần phải cảnh giác và nhớ những điểm sau:
Cảnh giác với "bánh nướng rơi từ trên trời": đừng tin tưởng bất kỳ airdrop miễn phí hoặc bồi thường nào nghi ngờ, chỉ tin tưởng các trang web chính thức hoặc các dự án đã qua kiểm toán chuyên nghiệp.
Kiểm tra liên kết mạng: Trước khi kết nối ví, hãy kiểm tra kỹ URL và cảnh giác với các trang web giả mạo các dự án nổi tiếng. Có thể sử dụng công cụ tra cứu tên miền WHOIS để xem thời gian đăng ký, các trang web có thời gian đăng ký quá ngắn có thể là dự án lừa đảo.
Bảo vệ thông tin cá nhân: Không bao giờ gửi từ khóa gợi nhớ, khóa riêng cho các trang web hoặc ứng dụng nghi ngờ. Trước khi ví yêu cầu ký hoặc phê duyệt giao dịch, hãy kiểm tra kỹ xem có liên quan đến giao dịch Permit hoặc Approve có thể dẫn đến mất tiền hay không.
Theo dõi cập nhật thông tin lừa đảo: Theo dõi tài khoản mạng xã hội chính thức công bố thông tin cảnh báo định kỳ. Nếu phát hiện không may ủy quyền token cho địa chỉ lừa đảo, hãy kịp thời thu hồi quyền ủy quyền hoặc chuyển tài sản còn lại đến địa chỉ an toàn khác.