揭祕加密世界中的釣魚攻擊產業化

2024年第三季度，釣魚攻擊已成爲造成最多經濟損失的攻擊手段，在65次攻擊中獲取了超過2.43億美元。安全團隊分析認爲，近期頻發的釣魚攻擊很可能與臭名昭著的Inferno Drainer有關。該團隊曾在2023年底宣布"退休"，但如今似乎再次活躍，制造了一系列大規模攻擊。

本文將分析典型的網絡釣魚攻擊團夥的作案手法，並詳細列舉其行爲特徵，以幫助用戶提高對網絡釣魚詐騙的識別和防範能力。

詐騙即服務(Scam-as-a-Service)

在加密世界中，釣魚團隊發明了一種新的惡意模式，稱爲"詐騙即服務"。這一模式將詐騙工具和服務打包，以商品化的方式提供給其他犯罪分子。Inferno Drainer就是這一領域的典型代表，在其首次運營期間，詐騙金額超過8000萬美元。

Inferno Drainer通過向買家提供現成的釣魚工具和基礎設施，包括釣魚網站前後端、智能合約以及社交媒體帳戶，幫助他們快速發起攻擊。購買服務的釣魚者保留大部分贓款，而Inferno Drainer收取10%-20%的佣金。這一模式大大降低了詐騙的技術門檻，使得網路犯罪變得更加高效和規模化，導致釣魚攻擊在加密行業內泛濫。

詐騙即服務的運作方式

典型的去中心化應用(DApp)通常由前端界面和區塊鏈上的智能合約組成。用戶通過區塊鏈錢包連接到DApp的前端界面，前端頁面生成相應的區塊鏈交易，並將其發送至用戶的錢包。用戶隨後使用區塊鏈錢包對這筆交易進行籤名批準，交易被發送至區塊鏈網路，並調用相應的智能合約執行所需功能。

釣魚攻擊者通過設計惡意的前端界面和智能合約，巧妙地誘導用戶執行不安全的操作。攻擊者通常會引導用戶點擊惡意連結或按鈕，從而欺騙他們批準一些隱藏的惡意交易，甚至直接誘騙用戶泄露私鑰。一旦用戶簽署了這些惡意交易或暴露了私鑰，攻擊者就能輕鬆地將用戶的資產轉移到自己的帳戶中。

常見的釣魚手段包括：

1. 僞造知名項目前端：攻擊者精心模仿知名項目的官方網站，創建看似合法的前端界面，讓用戶誤以爲自己正在與可信任的項目進行交互。

2. 代幣空投騙局：在社交媒體上大肆宣傳釣魚網站，聲稱有"免費空投"、"早期預售"、"免費鑄造NFT"等極具吸引力的機會，引誘受害者點擊連結。

3. 虛假黑客事件與獎勵騙局：宣稱某知名項目遭遇黑客攻擊或資產凍結，現正向用戶發放補償或獎勵，通過這些虛假的緊急情況吸引用戶前往釣魚網站。

Inferno Drainer的分贓方式

2024年5月21日，Inferno Drainer在etherscan上公開了一條籤名驗證消息，宣告回歸，並創建了新的Discord頻道。安全團隊發現，某些地址進行了大量具有相似模式的交易，這些交易被認爲是Inferno Drainer在檢測到受害者上鉤後進行資金轉移和分贓的操作。

分贓過程通常包括以下步驟：

1. 通過CREATE2創建一個合約。

2. 調用創建的合約，將受害人的代幣批準給釣魚地址和分贓地址。

3. 向分贓地址和買家轉入相應比例的代幣，完成分贓。

值得注意的是，Inferno Drainer通過分贓前再創建合約的方式，一定程度上能夠繞過一些錢包的反釣魚功能。在一個典型案例中，購買釣魚服務的買家獲得82.5%的贓款，而Inferno Drainer保留17.5%。

釣魚網站的快速創建

在詐騙即服務的幫助下，攻擊者可以輕鬆快速地創建釣魚網站：

1. 進入服務提供商的通訊頻道，使用簡單命令創建免費域名和IP地址。

2. 從提供的模板中選擇一個，幾分鍾內完成網站安裝。

3. 尋找潛在受害者。一旦有用戶進入網站並批準惡意交易，其資產就會被轉移。

整個過程僅需幾分鍾，大大降低了實施釣魚攻擊的門檻。

安全建議

爲防範此類釣魚攻擊，用戶應當：

• 警惕"天上掉餡餅"的宣傳，如可疑的免費空投或補償。
• 仔細檢查網站URL，警惕模仿知名項目的網站。
• 使用WHOIS域名查詢工具檢查網站註冊時間。
• 不向任何可疑網站或應用提交助記詞、私鑰等敏感信息。
• 在批準交易前，仔細檢查是否涉及Permit或Approve操作。
• 關注安全預警信息，及時撤回授權或轉移資產。