Dévoiler l'industrialisation des attaques de phishing dans le monde du chiffrement

Au troisième trimestre 2024, les attaques de phishing sont devenues le moyen d'attaque causant le plus de pertes économiques, avec plus de 243 millions de dollars obtenus lors de 65 attaques. L'équipe de sécurité analyse que les attaques de phishing récentes sont très probablement liées au tristement célèbre Inferno Drainer. Cette équipe avait annoncé "sa retraite" à la fin de 2023, mais semble maintenant de nouveau active, produisant une série d'attaques à grande échelle.

Cet article analysera les méthodes d'opération des groupes typiques d'attaques de phishing et énumérera en détail leurs caractéristiques comportementales, afin d'aider les utilisateurs à améliorer leur capacité à identifier et à se prémunir contre les fraudes de phishing.

Escroquerie en tant que service(Scam-as-a-Service)

Dans le monde du chiffrement, les équipes de phishing ont inventé un nouveau mode malveillant, appelé "escroquerie en tant que service". Ce mode regroupe des outils et des services d'escroquerie pour les proposer de manière commercialisée à d'autres criminels. Inferno Drainer est un exemple typique dans ce domaine, ayant escroqué plus de 80 millions de dollars lors de sa première opération.

Inferno Drainer aide les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing prêts à l'emploi, y compris des sites Web de phishing front-end et back-end, des contrats intelligents et des comptes de réseaux sociaux. Les phishers qui achètent des services conservent la majorité des fonds volés, tandis qu'Inferno Drainer prélève une commission de 10 à 20 %. Ce modèle réduit considérablement le seuil technique pour la fraude, rendant le cybercrime plus efficace et à plus grande échelle, ce qui entraîne une prolifération des attaques de phishing dans le secteur du chiffrement.

Fonctionnement de la fraude en tant que service

Une application décentralisée typique (DApp) est généralement composée d'une interface frontale et de contrats intelligents sur la blockchain. Les utilisateurs se connectent à l'interface frontale de l'application via un portefeuille blockchain, la page frontale génère la transaction blockchain correspondante et l'envoie au portefeuille de l'utilisateur. L'utilisateur utilise ensuite le portefeuille blockchain pour signer et approuver cette transaction, qui est envoyée au réseau blockchain et appelle le contrat intelligent correspondant pour exécuter la fonction requise.

Les attaquants par phishing incitent habilement les utilisateurs à effectuer des actions non sécurisées en concevant une interface frontale malveillante et des contrats intelligents. Les attaquants guident généralement les utilisateurs à cliquer sur des liens ou des boutons malveillants, les trompant ainsi pour qu'ils approuvent des transactions malveillantes cachées, voire en les incitant directement à divulguer leur clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur sur son propre compte.

Les méthodes de phishing courantes incluent :

1. Faux front-end de projets connus : Les attaquants imitent soigneusement le site officiel de projets connus, créant une interface frontale qui semble légitime, amenant les utilisateurs à croire qu'ils interagissent avec un projet de confiance.

2. Arnaque par airdrop de tokens : faire la promotion sur les réseaux sociaux de sites de phishing, prétendant offrir des opportunités très attractives telles que "airdrop gratuit", "prévente anticipée", "minting gratuit de NFT", afin d'inciter les victimes à cliquer sur les liens.

3. Événements de hacking faux et arnaques aux récompenses : prétendant qu'un projet connu a subi une attaque de hacker ou que des actifs sont gelés, et qu'il distribue maintenant des compensations ou des récompenses aux utilisateurs, attirant ainsi les utilisateurs vers des sites de phishing par le biais de ces fausses urgences.

Méthode de partage des gains d'Inferno Drainer

Le 21 mai 2024, Inferno Drainer a publié un message de vérification de signature sur etherscan, annonçant son retour, et a créé un nouveau canal Discord. L'équipe de sécurité a découvert que certaines adresses avaient effectué un grand nombre de transactions avec des modèles similaires, ces transactions étant considérées comme des opérations de transfert de fonds et de partage du butin par Inferno Drainer après avoir détecté que des victimes avaient mordu à l'hameçon.

Le processus de partage des gains comprend généralement les étapes suivantes :

1. Créer un contrat via CREATE2.

2. Appeler le contrat créé, approuver les jetons de la victime à l'adresse de phishing et à l'adresse de partage des gains.

3. Transférer des jetons proportionnels à l'adresse de partage et aux acheteurs pour compléter la répartition.

Il est à noter qu'Inferno Drainer, en créant des contrats avant le partage du butin, peut contourner dans une certaine mesure certaines fonctions anti-phishing des portefeuilles. Dans un cas typique, l'acheteur des services de phishing obtient 82,5 % du butin, tandis qu'Inferno Drainer conserve 17,5 %.

Création rapide de sites de phishing

Avec l'aide de la fraude en tant que service, les attaquants peuvent facilement et rapidement créer des sites de phishing :

1. Entrez dans le canal de communication du fournisseur de services et utilisez une commande simple pour créer un nom de domaine et une adresse IP gratuits.

2. Choisissez un modèle fourni et terminez l'installation du site Web en quelques minutes.

3. Chercher des victimes potentielles. Une fois qu'un utilisateur entre sur le site et approuve une transaction malveillante, ses actifs seront transférés.

Le processus ne prend que quelques minutes, ce qui réduit considérablement le seuil d'implémentation des attaques de phishing.

Conseils de sécurité

Pour prévenir ce type d'attaque par phishing, les utilisateurs doivent :

• Méfiez-vous des promesses de "gâteau tombant du ciel", comme les airdrops gratuits ou les compensations suspects.
• Vérifiez attentivement l'URL du site Web et restez vigilant face aux sites imitant des projets connus.
• Utilisez l'outil de recherche de domaine WHOIS pour vérifier la date d'enregistrement du site.
• Ne soumettez pas de mots de passe mnémotechniques, de clés privées ou d'autres informations sensibles à des sites ou applications douteux.
• Avant d'approuver la transaction, vérifiez soigneusement s'il s'agit d'une opération de Permit ou d'Approve.
• Suivez les informations d'alerte de sécurité, retirez rapidement les autorisations ou transférez des actifs.