Шифрование мира: промышленность фишинг-атак: анализ экосистемы "мошенничество как услуга"

С июня 2024 года команда безопасности зафиксировала большое количество аналогичных фишинговых сделок, только в июне сумма ущерба превысила 55 миллионов долларов. В августе и сентябре связанная с этим фишинговая активность стала еще более частой, приняв угрожающий характер. В третьем квартале 2024 года фишинговые атаки стали способом, наносящим наибольшие экономические потери, в 65 атаках было украдено более 243 миллионов долларов. Анализ показывает, что недавние частые фишинговые атаки, вероятно, связаны с печально известной командой фишинговых инструментов Inferno Drainer. Эта команда громко объявила о "выходе на пенсию" в конце 2023 года, но теперь, похоже, вернулась с целым рядом масштабных атак.

В данной статье будет проанализировано типичное поведение таких групп, как Inferno Drainer и Nova Drainer, занимающихся фишингом, а также подробно перечислены их характерные черты, чтобы помочь пользователям повысить свои навыки распознавания и предотвращения фишинговых мошенничеств.

Мошенничество как услуга(Обзор

В области шифрования криптовалюты некоторые фишинговые группы изобрели новый злонамеренный подход, называемый "мошенничество как услуга". Этот подход пакует инструменты и услуги мошенничества и предлагает их другим преступникам в товарной форме. Inferno Drainer является типичным представителем этой области, в период с ноября 2022 года по ноябрь 2023 года, когда они впервые объявили о закрытии услуг, сумма мошенничества превысила 80 миллионов долларов.

Inferno Drainer помогает покупателям быстро начать атаки, предоставляя готовые инструменты и инфраструктуру для фишинга, включая фронт- и бэкенд фишинговых сайтов, смарт-контракты и учетные записи в социальных сетях. Фишеры, покупающие услуги, сохраняют большую часть похищенных средств, в то время как Inferno Drainer взимает комиссию в размере 10%-20%. Эта модель значительно снижает технический порог для мошенничества, делая киберпреступность более эффективной и масштабируемой, что приводит к распространению фишинговых атак в индустрии шифрования, особенно среди пользователей, которые не осознают рисков безопасности.

![Раскрытие экосистемы Scam-as-a-Service: индустриализация фишинговых атак в мире шифрования])https://img-cdn.gateio.im/webp-social/moments-31ebce45c9c02effbe933263e3e79253.webp(

Механизм работы мошенничества как услуги

Перед тем как представить мошенничество как услугу, давайте сначала рассмотрим типичный процесс работы децентрализованного приложения (DApp). Типичное DApp обычно состоит из интерфейса (например, веб-страницы или мобильного приложения) и смарт-контракта на блокчейне. Пользователи подключаются к фронтенд-интерфейсу DApp через блокчейн-кошелек, интерфейс генерирует соответствующую блокчейн-транзакцию и отправляет ее в кошелек пользователя. Затем пользователи подписывают и одобряют эту транзакцию с помощью блокчейн-кошелька, после завершения подписи транзакция отправляется в блокчейн-сеть, и вызывается соответствующий смарт-контракт для выполнения требуемой функции.

Атакующие с помощью фишинга искусно вводят пользователей в заблуждение, разрабатывая вредоносные интерфейсы и смарт-контракты, чтобы заставить их выполнять небезопасные действия. Обычно атакующие направляют пользователей на нажатие вредоносных ссылок или кнопок, обманывая их на одобрение скрытых вредоносных транзакций, а в некоторых случаях даже напрямую заставляя пользователей раскрыть свои приватные ключи. Как только пользователь подписывает эти вредоносные транзакции или раскрывает приватный ключ, атакующие могут легко перевести активы пользователя на свои счета.

Распространенные методы фишинга включают:

1. Подделка интерфейса известных проектов: злоумышленники тщательно подражают официальным сайтам известных проектов, создавая на вид легитимные интерфейсы, заставляя пользователей думать, что они взаимодействуют с надежным проектом, в результате чего они теряют бдительность, подключают свои кошельки и выполняют небезопасные операции.

2. Мошенничество с airdrop токенов: злоумышленники активно рекламируют фишинговые сайты в социальных сетях, утверждая, что существуют привлекательные возможности, такие как "бесплатный airdrop", "ранняя продажа", "бесплатная чеканка NFT" и т.д., чтобы заманить жертв кликнуть по ссылке. Жертвы, привлеченные на фишинговый сайт, часто неосознанно подключают свои кошельки и утверждают злонамеренные транзакции.

3. Ложные хакерские инциденты и мошеннические схемы с вознаграждениями: киберпреступники утверждают, что известный проект подвергся хакерской атаке или заморозке активов и теперь выплачивает компенсации или вознаграждения пользователям. Они используют эти ложные экстренные ситуации, чтобы привлечь пользователей на фишинговые сайты, обманом заставляя их подключать кошельки, в конечном итоге похищая средства пользователей.

Можно сказать, что фишинг-мошенничество не является чем-то новым, оно было довольно распространено еще до 2020 года, но модель мошенничества как услуги в значительной степени стала главным двигателем роста фишинг-мошенничества за последние два года. До появления мошенничества как услуги, фишинг-атакующие каждый раз, когда они совершали атаки, должны были подготовить стартовый капитал на блокчейне, создать фронтенд-сайт и смарт-контракт. Хотя большинство этих фишинг-сайтов было сделано наспех, используя набор шаблонов и делая простые изменения, создание и обслуживание сайта все же требовало определенного уровня технических навыков. Поставщики инструментов мошенничества как услуги, такие как Inferno Drainer, полностью устранили технический барьер для фишинг-мошенничества, предлагая услуги по созданию и хостингу фишинг-сайтов для покупателей, у которых нет соответствующих технических навыков, и извлекая прибыль из полученной от мошенничества.

![Раскрытие экосистемы Scam-as-a-Service: индустриализация фишинговых атак в мире шифрования])https://img-cdn.gateio.im/webp-social/moments-71339ab524e62b1626101960c5a90035.webp(

Механизм распределения прибыли Inferno Drainer

21 мая 2024 года Inferno Drainer опубликовал сообщение о проверке подписи на etherscan, объявив о возвращении и создав новый канал в социальных сетях.

Некоторый адрес провел большое количество сделок с похожей моделью. После анализа и расследования сделок мы пришли к выводу, что такие сделки являются транзакциями Inferno Drainer, который осуществляет перевод средств и распределение добычи после того, как жертва попалась на крючок. В качестве примера одной из сделок, проведенных с этим адресом:

1. Inferno Drainer создает контракт с помощью CREATE2. CREATE2 — это команда в виртуальной машине Ethereum, используемая для создания смарт-контрактов. В отличие от традиционной команды CREATE, команда CREATE2 позволяет заранее вычислить адрес контракта на основе байт-кода смарт-контракта и фиксированного salt. Inferno Drainer использует свойства команды CREATE2, чтобы заранее вычислить адрес контракта по разделу для покупателей фишинга, а затем, когда жертва попадается, создает контракт по разделу, завершая операцию перевода токенов и раздела.

2. Вызовите созданный контракт, чтобы разрешить токены жертвы фишинговому адресу (покупателю сервиса Inferno Drainer) и адресу распределения. Злоумышленники с помощью различных фишинговых методов направляют жертву на подписание злонамеренного сообщения Permit2. Permit2 позволяет пользователям авторизовать перевод токенов с помощью подписи, не взаимодействуя напрямую с кошельком. Таким образом, жертва ошибочно полагает, что она просто участвует в обычной сделке или авторизует какие-либо безобидные действия, на самом деле же она незаметно разрешает злоумышленнику контролировать свои токены.

3. Перевести определенное количество токенов на два адреса для распределения, а оставшиеся токены перевести покупателю, завершив распределение.

Стоит отметить, что в настоящее время многие блокчейн-кошельки реализовали функции защиты от фишинга или аналогичные функции, но многие из них делают это с помощью черных списков доменов или адресов блокчейна. Inferno Drainer, создавая контракт перед распределением украденного, в определенной степени может обойти эти функции защиты от фишинга, тем самым снижая бдительность жертв. Поскольку контракт даже не создается в момент одобрения жертвой злонамеренной транзакции, о его анализе и расследовании не может быть и речи. В этой сделке покупатель фишинговых услуг забрал 82.5% украденных средств, в то время как Inferno Drainer оставил себе 17.5%.

![Раскрытие экосистемы Scam-as-a-Service: индустриализация фишинговых атак в мире шифрования])https://img-cdn.gateio.im/webp-social/moments-daeee0e1e38cead78e0479f0e9997f2a.webp(

Простые шаги для создания фишингового сайта

С помощью мошенничества как услуги злоумышленникам стало необычно просто создать фишинговый сайт:

1. Войдите в социальные медиа-каналы поставщика услуг, и всего лишь одной простой командой вы сможете создать бесплатное доменное имя и соответствующий IP-адрес.

2. Выберите один из сотен шаблонов, предлагаемых поставщиком услуг, затем перейдите к процессу установки, и через несколько минут интерфейс, похожий на настоящий фишинговый сайт, будет создан.

3. Поиск жертвы. Как только жертва попадает на сайт, верит мошеннической информации на странице и подключает кошелек для одобрения вредоносной транзакции, активы жертвы будут переведены.

Атакующий с помощью мошенничества как услуги создает такой фишинговый сайт всего за три шага, затрачивая всего несколько минут.

![Раскрытие экосистемы Scam-as-a-Service: индустриализация фишинговых атак в мире шифрования])https://img-cdn.gateio.im/webp-social/moments-0d22fc86dc5998c22f0eb33adf31cea3.webp(

Итоги и рекомендации по безопасности

Возвращение Inferno Drainer, безусловно, создало огромные риски безопасности для пользователей в отрасли. Его мощные функции, скрытые методы атаки и крайне низкие затраты на преступление делают его одним из предпочтительных инструментов для киберпреступников при осуществлении фишинг-атак и похищении средств.

Пользователи, участвующие в торговле шифрованием, должны постоянно быть настороже и помнить о следующих моментах:

• Берегитесь бесплатного обеда: не верьте никакой рекламе "пирогов, падающих с неба", например, подозрительным бесплатным аирдропам, компенсациям, доверяйте только официальным сайтам или проектам, прошедшим профессиональный аудит.
• Тщательно проверьте сетевое соединение: перед подключением кошелька к любому сайту внимательно проверьте URL, чтобы убедиться, что он не имитирует известные проекты, и старайтесь использовать инструменты WHOIS для проверки доменного имени, чтобы узнать дату регистрации; сайты с слишком коротким сроком регистрации с большой вероятностью являются мошенническими проектами.
• Защита конфиденциальной информации: не предоставляйте свои мнемонические фразы или приватные ключи никаким подозрительным веб-сайтам или приложениям, внимательно проверяйте, является ли транзакция, требующая подписи сообщения или одобрения транзакции, возможно, ведущей к потере средств транзакцией Permit или Approve.
• Следите за обновлениями о мошенничестве: подписывайтесь на официальные аккаунты в социальных сетях, которые регулярно публикуют предупреждения. Если вы обнаружите, что случайно авторизовали токены на мошеннический адрес, немедленно отозовите авторизацию или переведите оставшиеся активы на другой безопасный адрес.

![Раскрытие экосистемы Scam-as-a-Service: индустриализация фишинга в мире шифрования])https://img-cdn.gateio.im/webp-social/moments-778ec30657bca8d7c8d23eecba03d2f1.webp(