Khám Phá Ngành Công Nghiệp Lừa Đảo Trong Thế Giới Mã Hóa

Kể từ tháng 6 năm 2024, đội ngũ an ninh đã phát hiện ra một lượng lớn các giao dịch lừa đảo và đánh cắp tiền tương tự, chỉ riêng trong tháng 6, số tiền liên quan đã vượt qua 55 triệu USD. Đến tháng 8 và tháng 9, các hoạt động lừa đảo liên quan ngày càng trở nên thường xuyên hơn, thể hiện một xu hướng gia tăng. Trong quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức tấn công gây thiệt hại kinh tế lớn nhất, với kẻ tấn công đã thu được hơn 243 triệu USD từ 65 hành động. Phân tích cho thấy, các cuộc tấn công lừa đảo thường xuyên gần đây rất có thể liên quan đến đội ngũ công cụ lừa đảo nổi tiếng Inferno Drainer. Đội ngũ này đã tuyên bố "nghỉ hưu" vào cuối năm 2023, nhưng hiện tại dường như đã hoạt động trở lại, tạo ra một loạt các cuộc tấn công quy mô lớn.

Bài viết này sẽ phân tích các phương thức gây án điển hình của các băng nhóm lừa đảo trực tuyến như Inferno Drainer, Nova Drainer, và liệt kê chi tiết các đặc điểm hành vi của chúng, nhằm giúp người dùng nâng cao khả năng nhận diện và phòng ngừa lừa đảo trực tuyến.

Khái niệm Scam-as-a-Service

Trong thế giới mã hóa, một số nhóm lừa đảo đã phát minh ra một mô hình độc hại mới được gọi là Scam-as-a-Service (lừa đảo dưới dạng dịch vụ). Mô hình này đóng gói các công cụ và dịch vụ lừa đảo, cung cấp theo cách hàng hóa cho những kẻ phạm tội khác. Inferno Drainer là đại diện điển hình trong lĩnh vực này, trong khoảng thời gian từ tháng 11 năm 2022 đến tháng 11 năm 2023 khi lần đầu tiên công bố ngừng dịch vụ, số tiền lừa đảo của nó đã vượt quá 80 triệu USD.

Inferno Drainer giúp người mua nhanh chóng khởi động các cuộc tấn công bằng cách cung cấp cho họ các công cụ và cơ sở hạ tầng lừa đảo sẵn có, bao gồm cả front-end và back-end của trang web lừa đảo, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ lừa đảo mua dịch vụ giữ lại phần lớn số tiền lừa đảo, trong khi Inferno Drainer thu phí hoa hồng từ 10%-20%. Mô hình này đã làm giảm đáng kể rào cản kỹ thuật của gian lận, khiến tội phạm mạng trở nên hiệu quả và quy mô hơn, dẫn đến việc các cuộc tấn công lừa đảo tràn lan trong ngành công nghiệp mã hóa, đặc biệt là những người dùng thiếu nhận thức về an ninh thì dễ trở thành mục tiêu tấn công hơn.

Cơ chế hoạt động của Scam-as-a-Service

Trước khi hiểu về SaaS, hãy cùng xem quy trình làm việc của một ứng dụng phi tập trung điển hình (DApp). Một DApp điển hình thường bao gồm giao diện frontend (chẳng hạn như trang web hoặc ứng dụng di động) và hợp đồng thông minh trên blockchain. Người dùng kết nối với giao diện frontend của DApp thông qua ví blockchain, giao diện frontend tạo ra giao dịch blockchain tương ứng và gửi nó đến ví của người dùng. Người dùng sau đó sử dụng ví blockchain để ký phê duyệt giao dịch này, sau khi ký xong, giao dịch được gửi đến mạng blockchain và gọi hợp đồng thông minh tương ứng để thực hiện chức năng cần thiết.

Kẻ tấn công lừa đảo thông qua việc thiết kế giao diện trước và hợp đồng thông minh độc hại, khéo léo dụ dỗ người dùng thực hiện các thao tác không an toàn. Kẻ tấn công thường hướng dẫn người dùng nhấp vào các liên kết hoặc nút độc hại, từ đó đánh lừa họ phê duyệt một số giao dịch độc hại ẩn giấu, thậm chí trong một số trường hợp, trực tiếp dụ dỗ người dùng tiết lộ khóa riêng của mình. Một khi người dùng ký các giao dịch độc hại này hoặc tiết lộ khóa riêng, kẻ tấn công có thể dễ dàng chuyển tài sản của người dùng vào tài khoản của mình.

Các phương pháp lừa đảo phổ biến bao gồm:

1. Giả mạo giao diện trước của dự án nổi tiếng: Kẻ tấn công tinh vi mô phỏng trang web chính thức của các dự án nổi tiếng, tạo ra giao diện trước có vẻ hợp pháp, khiến người dùng nhầm tưởng rằng họ đang tương tác với một dự án đáng tin cậy.

2. Lừa đảo airdrop token: Quảng bá rầm rộ trên mạng xã hội các trang web lừa đảo, tuyên bố có "airdropped miễn phí", "bán trước sớm", "đúc NFT miễn phí" và các cơ hội hấp dẫn khác, dụ dỗ nạn nhân nhấp vào liên kết và phê duyệt giao dịch độc hại.

3. Sự kiện hack giả mạo và lừa đảo thưởng: Tuyên bố rằng một dự án nổi tiếng nào đó đã bị tấn công bởi hacker hoặc tài sản bị đóng băng, đang phát tiền bồi thường hoặc thưởng cho người dùng, thu hút người dùng đến các trang web lừa đảo thông qua tình huống khẩn cấp giả.

Mô hình SaaS là động lực chính cho sự gia tăng của các vụ lừa đảo qua mạng trong hai năm qua. Trước khi có SaaS, những kẻ tấn công lừa đảo mỗi lần thực hiện tấn công đều cần chuẩn bị vốn khởi động trên chuỗi, tạo ra trang web giao diện và hợp đồng thông minh. Mặc dù hầu hết các trang web lừa đảo này đều thô sơ, nhưng vẫn yêu cầu một ngưỡng kỹ thuật nhất định. Các nhà cung cấp công cụ SaaS như Inferno Drainer hoàn toàn loại bỏ ngưỡng kỹ thuật của lừa đảo qua mạng, cung cấp dịch vụ tạo dựng và lưu trữ trang web lừa đảo cho những người mua thiếu kỹ thuật tương ứng, và rút lợi nhuận từ những gì thu được từ lừa đảo.

Sự trở lại của Inferno Drainer và cơ chế phân chia chiến lợi phẩm

Vào ngày 21 tháng 5 năm 2024, Inferno Drainer đã công khai một thông điệp xác minh chữ ký trên etherscan, tuyên bố trở lại và tạo ra một kênh Discord mới. Đội ngũ an ninh gần đây đã tập trung theo dõi một số địa chỉ lừa đảo có hành vi bất thường, sau khi phân tích và điều tra các giao dịch, chúng tôi tin rằng, các giao dịch này chính là giao dịch mà Inferno Drainer thực hiện để chuyển tiền và chia tiền sau khi phát hiện nạn nhân đã mắc câu.

Lấy một giao dịch làm ví dụ, quá trình tấn công như sau:

1. Inferno Drainer tạo ra một hợp đồng thông qua CREATE2. CREATE2 là một lệnh trong máy ảo Ethereum, dùng để tạo ra hợp đồng thông minh, cho phép tính toán trước địa chỉ của hợp đồng dựa trên mã byte của hợp đồng thông minh và một salt cố định.

2. Gọi hợp đồng đã tạo, cho phép DAI của nạn nhân cho địa chỉ lừa đảo (người mua dịch vụ Inferno Drainer) và địa chỉ phân chia. Kẻ tấn công thông qua nhiều phương pháp lừa đảo khác nhau, dẫn dắt nạn nhân vô tình ký vào thông điệp Permit2 độc hại.

3. Chuyển vào hai địa chỉ chia sẻ lần lượt 3,654 và 7,005 DAI, chuyển cho người mua 50,255 DAI, hoàn thành việc chia sẻ.

Trong giao dịch này, người mua dịch vụ câu cá đã lấy 82,5% số tiền bất hợp pháp, trong khi Inferno Drainer giữ lại 17,5%.

Quy trình tạo nhanh trang web lừa đảo

Với sự trợ giúp của SaaS, kẻ tấn công có thể dễ dàng và nhanh chóng tạo ra các trang web lừa đảo. Các bước cụ thể như sau:

1. Vào kênh TG do Drainer cung cấp, sử dụng lệnh đơn giản để tạo tên miền miễn phí và địa chỉ IP tương ứng.

2. Chọn một mẫu trong số hàng trăm mẫu mà robot cung cấp, vào quy trình cài đặt, chỉ sau vài phút có thể tạo ra một trang web lừa đảo giống như thật.

3. Tìm kiếm nạn nhân. Một khi có nạn nhân vào trang web, tin vào thông tin lừa đảo trên trang và kết nối ví để chấp thuận giao dịch độc hại, tài sản của họ sẽ bị chuyển đi.

Toàn bộ quá trình chỉ mất vài phút, giảm thiểu đáng kể chi phí tội phạm.

Gợi ý an toàn

Để phòng ngừa các cuộc tấn công lừa đảo như vậy, người dùng nên:

• Đừng tin vào những quảng cáo kiểu "bánh bao rơi từ trên trời", như các airdrop miễn phí hoặc bồi thường nghi ngờ.
• Kiểm tra kỹ URL của trang web trước khi kết nối ví, cảnh giác với các trang web giả mạo các dự án nổi tiếng.
• Sử dụng công cụ tra cứu tên miền WHOIS để kiểm tra thời gian đăng ký của trang web, những trang web có thời gian đăng ký quá ngắn có thể là dự án lừa đảo.
• Không gửi từ khóa phục hồi, khóa riêng và các thông tin riêng tư khác cho các trang web hoặc ứng dụng nghi ngờ.
• Trước khi ký tin nhắn hoặc phê duyệt giao dịch, hãy kiểm tra cẩn thận xem có liên quan đến các thao tác Permit hoặc Approve có thể dẫn đến mất tiền hay không.
• Theo dõi các tài khoản chính thức như CertiK Alert để cập nhật kịp thời những thông tin cảnh báo về xu hướng lừa đảo mới nhất.
• Nếu phát hiện vô tình cấp quyền cho địa chỉ lừa đảo, nên ngay lập tức thu hồi quyền hoặc chuyển tài sản còn lại sang địa chỉ an toàn.