Раскрытие индустриализации фишинговых атак в мире шифрования

В третьем квартале 2024 года фишинг-атаки стали наиболее убыточными средствами атаки, получив более 243 миллиона долларов в 65 атаках. Команда безопасности проанализировала информацию и считает, что недавние частые фишинг-атаки, скорее всего, связаны с печально известным Inferno Drainer. Эта команда объявила о "выходе на пенсию" в конце 2023 года, но сейчас, похоже, снова активна, совершая серию массовых атак.

В этой статье будет проанализирован типичный способ действий группировок, занимающихся фишингом, и подробно перечислены их поведенческие характеристики, чтобы помочь пользователям повысить свои навыки распознавания и предотвращения фишинговых мошенничеств.

Мошенничество как услуга(Scam-as-a-Service)

В мире криптовалют фишинговые команды изобрели новую вредоносную модель под названием «мошенничество как услуга». Эта модель упаковывает мошеннические инструменты и услуги и делает их доступными для других преступников в товарной форме. Inferno Drainer является ярким примером этого пространства, с более чем 80 миллионами долларов мошенничества во время его первоначальной работы.

Inferno Drainer помогает покупателям быстро начать атаки, предоставляя готовые инструменты и инфраструктуру для фишинга, включая фронт- и бэкэнд фишинг-сайтов, смарт-контракты и аккаунты в социальных сетях. Фишеры, покупающие услуги, оставляют себе большую часть украденных средств, в то время как Inferno Drainer взимает комиссию в размере 10%-20%. Эта модель значительно снижает технический порог для мошенничества, делая киберпреступность более эффективной и масштабируемой, что приводит к распространению фишинговых атак в сфере шифрования.

Способы работы мошенничества как услуги

Типичное децентрализованное приложение ( DApp ) обычно состоит из фронтенд-интерфейса и смарт-контрактов на блокчейне. Пользователи подключаются к фронтенд-интерфейсу DApp через блокчейн-кошелек, фронтенд-страница генерирует соответствующую блокчейн-транзакцию и отправляет её в кошелек пользователя. Затем пользователь подписывает и подтверждает эту транзакцию с помощью блокчейн-кошелька, транзакция отправляется в блокчейн-сеть и вызывает соответствующий смарт-контракт для выполнения необходимых функций.

Атакующие с помощью фишинга создают вредоносный интерфейс и смарт-контракты, чтобы ловко побудить пользователей выполнять небезопасные операции. Атакующие обычно направляют пользователей к щелчку на вредоносные ссылки или кнопки, тем самым обманывая их, чтобы они одобрили некоторые скрытые вредоносные транзакции или даже прямо заставляя пользователей раскрывать свои приватные ключи. Как только пользователь подписывает эти вредоносные транзакции или раскрывает приватные ключи, атакующий может легко перевести активы пользователя на свой счет.

Распространенные методы фишинга включают:

1. Подделка известных проектов: злоумышленники тщательно имитируют официальные сайты известных проектов, создавая на вид законные интерфейсы, заставляя пользователей ошибочно полагать, что они взаимодействуют с доверенным проектом.

2. Мошенничество с аирдропами токенов: активно рекламируя фишинговые сайты в социальных сетях, утверждая, что есть "бесплатные аирдропы", "ранние предпродажи", "бесплатная чеканка NFT" и другие привлекательные возможности, чтобы заманить жертв кликнуть по ссылке.

3. Ложные хакерские инциденты и схемы вознаграждений: утверждают, что известный проект подвергся хакерской атаке или заморозке активов, и сейчас выплачивают компенсации или вознаграждения пользователям, привлекая их на фишинговые сайты через эти ложные экстренные ситуации.

Способ распределения добычи Inferno Drainer

21 мая 2024 года Inferno Drainer опубликовал сообщение о проверке подписи на etherscan, объявив о своем возвращении и создав новый канал в Discord. Команда безопасности обнаружила, что некоторые адреса проводили множество транзакций с похожими паттернами, которые считаются операциями по переводу средств и дележу добычи после того, как Inferno Drainer обнаружил, что жертвы попались на крючок.

Процесс распределения добычи обычно включает в себя следующие этапы:

1. Создайте контракт с помощью CREATE2.

2. Вызовите созданный контракт, чтобы разрешить токены жертвы фишинговому адресу и адресу распределения.

3. Переведите соответствующее количество токенов на адрес распределения и покупателя, завершив распределение.

Стоит отметить, что Inferno Drainer может в определенной степени обойти антифишинговую функцию некоторых кошельков, создав контракт перед распределением добычи. В типичном случае покупатель, купивший фишинговый сервис, получил 82,5% украденных денег, в то время как Inferno Drainer оставил себе 17,5%.

Быстрое создание фишинговых сайтов

С помощью мошенничества как услуги злоумышленники могут легко и быстро создавать фишинговые сайты:

1. Войдите в коммуникационный канал провайдера услуг и используйте простую команду для создания бесплатного доменного имени и IP-адреса.

2. Выберите один из предоставленных шаблонов и завершите установку сайта за несколько минут.

3. Поиск потенциальных жертв. Как только пользователь заходит на сайт и одобряет злонамеренную транзакцию, его активы будут переведены.

Весь процесс занимает всего несколько минут, что значительно снижает порог для осуществления фишинговых атак.

Рекомендации по безопасности

Чтобы предотвратить такие фишинговые атаки, пользователи должны:

• Будьте осторожны с рекламой "пирогов, падающих с неба", такой как подозрительные бесплатные раздачи или компенсации.
• Тщательно проверяйте URL сайта, будьте осторожны с сайтами, имитирующими известные проекты.
• Используйте инструмент проверки доменов WHOIS для проверки времени регистрации сайта.
• Не передавайте свои мнемонические фразы, приватные ключи и другую чувствительную информацию сомнительным сайтам или приложениям.
• Перед одобрением транзакции внимательно проверьте, включает ли она операции Permit или Approve.
• Обратите внимание на информацию о предупреждении безопасности, своевременно отзывайте разрешения или переводите активы.