Şifreleme dünyasındaki oltalama saldırıları endüstrileşmesi

2024'ün üçüncü çeyreğinde, oltalama saldırıları en fazla ekonomik kayba neden olan saldırı yöntemi haline geldi ve 65 saldırıda 2.43 milyar dolardan fazla kazanç elde edildi. Güvenlik ekipleri, son zamanlarda artan oltalama saldırılarının, kötü şöhretli Inferno Drainer ile ilgili olabileceğini düşünüyor. Bu ekip, 2023 sonunda "emekli" olduğunu duyurmuştu, ancak şimdi yeniden aktif görünerek büyük ölçekli saldırılar düzenledi.

Bu makalede, tipik bir kimlik avı saldırı çetelerinin suç işleme yöntemleri analiz edilecek ve bu çetelerin davranış özellikleri detaylı bir şekilde listelenecek, böylece kullanıcıların kimlik avı dolandırıcılıklarını tanıma ve önleme yeteneklerini artırmalarına yardımcı olunacaktır.

Dolandırıcılık Hizmeti(Scam-as-a-Service)

Şifreleme dünyasında, phishing ekipleri "hizmet olarak dolandırıcılık" olarak adlandırılan yeni bir kötü niyetli model icat ettiler. Bu model, dolandırıcılık araçlarını ve hizmetlerini paketleyerek diğer suçlulara ticari bir şekilde sunmaktadır. Inferno Drainer, bu alandaki tipik bir temsilcidir ve ilk operasyon döneminde dolandırıcılık miktarı 80 milyon doları aşmıştır.

Inferno Drainer, alıcılara hazır oltalama araçları ve altyapısı sunarak, oltalama web sitelerinin ön ve arka uçları, akıllı sözleşmeler ve sosyal medya hesapları dahil olmak üzere, saldırıları hızla başlatmalarına yardımcı olur. Hizmet satın alan oltalama yapanlar, çoğunlukla elde ettikleri hırsızlık paralarının büyük bir kısmını saklarken, Inferno Drainer %10-%20 komisyon alır. Bu model, dolandırıcılığın teknik engellerini büyük ölçüde azaltarak, siber suçları daha verimli ve ölçeklenebilir hale getirmiştir ve bu durum, şifreleme sektöründe oltalama saldırılarının yaygınlaşmasına yol açmıştır.

Dolandırıcılık Hizmeti'nin İşleyiş Biçimi

Tipik bir merkeziyetsiz uygulama ( DApp ) genellikle ön uç arayüzü ve blok zincirindeki akıllı sözleşmelerden oluşur. Kullanıcılar, blok zinciri cüzdanı aracılığıyla DApp'in ön uç arayüzüne bağlanır, ön uç sayfası ilgili blok zinciri işlemlerini oluşturur ve bunları kullanıcının cüzdanına gönderir. Kullanıcı daha sonra blok zinciri cüzdanını kullanarak bu işlemi imzalar ve onaylar, işlem blok zinciri ağına gönderilir ve ilgili akıllı sözleşmelerin gerekli işlevleri yerine getirmesi için çağrılır.

Balıkçı saldırganlar, kötü niyetli bir ön yüz arayüzü ve akıllı sözleşmeler tasarlayarak kullanıcıları güvenli olmayan işlemler yapmaya kurnazca yönlendirir. Saldırganlar genellikle kullanıcıları kötü niyetli bağlantılara veya düğmelere tıklamaya yönlendirerek, onların bazı gizli kötü niyetli işlemleri onaylamalarını veya doğrudan kullanıcıların özel anahtarlarını ifşa etmelerini sağlamak için aldatırlar. Kullanıcı bu kötü niyetli işlemleri imzaladığında veya özel anahtarlarını ifşa ettiğinde, saldırganlar kullanıcıların varlıklarını kolayca kendi hesaplarına transfer edebilirler.

Yaygın oltalama yöntemleri şunlardır:

1. Sahte Ünlü Proje Ön Yüzü: Saldırganlar, tanınmış projelerin resmi web sitelerini özenle taklit ederek, kullanıcıların güvenilir projelerle etkileşimde bulunduklarını sanmalarını sağlayan, görünebilir yasal bir ön yüz oluştururlar.

2. Token airdrop dolandırıcılığı: Sosyal medyada, "ücretsiz airdrop", "erken satış", "ücretsiz NFT mintleme" gibi son derece cazip fırsatlar sunduğunu iddia eden sahte web sitelerini yayarak kurbanları linklere tıklamaya teşvik ediyor.

3. Sahte hack olayları ve ödül dolandırıcılıkları: Bilinen bir projenin hack saldırısına uğradığını veya varlıklarının dondurulduğunu iddia ederek, şu anda kullanıcılara tazminat veya ödül dağıttıklarını söyleyerek, bu sahte acil durumlar aracılığıyla kullanıcıları phishing sitelerine çekmektedirler.

Inferno Drainer'ın paylaşım yöntemi

21 Mayıs 2024'te, Inferno Drainer etherscan'da bir imza doğrulama mesajı yayınlayarak geri döndüğünü duyurdu ve yeni bir Discord kanalı oluşturdu. Güvenlik ekibi, bazı adreslerin benzer bir modelde çok sayıda işlem gerçekleştirdiğini fark etti. Bu işlemlerin, Inferno Drainer'ın kurbanların bait'e takıldığını tespit ettikten sonra fonları transfer etme ve paylaşma işlemleri olduğu düşünülüyor.

Paylaşım süreci genellikle aşağıdaki adımları içerir:

1. CREATE2 ile bir sözleşme oluşturun.

2. Oluşturulan sözleşmeyi çağırarak, mağdurun tokenlerini dolandırıcılık adresine ve paylaşım adresine onaylayın.

3. Paylaşım adresine ve alıcıya ilgili oranda token gönderin, paylaşımı tamamlayın.

Dikkat çekici olan, Inferno Drainer'ın malları paylaşmadan önce sözleşme oluşturarak belirli bir ölçüde bazı cüzdanların anti-phishing işlevlerini aşabilmesidir. Tipik bir durumda, phishing hizmetini satın alan alıcı, çalıntı paranın %82,5'ini alırken, Inferno Drainer %17,5'ini saklamaktadır.

Hızlı Phishing Sitesi Oluşturma

Sahtekarlık hizmetleri sayesinde, saldırganlar kolayca ve hızlı bir şekilde kimlik avı siteleri oluşturabilir:

1. Hizmet sağlayıcının iletişim kanalına girin, basit komutları kullanarak ücretsiz alan adı ve IP adresi oluşturun.

2. Sağlanan şablondan birini seçin, birkaç dakika içinde web sitesi kurulumunu tamamlayın.

3. Potansiyel mağdurları bulun. Bir kullanıcı siteye girdiğinde ve kötü niyetli bir işlemi onayladığında, varlıkları transfer edilir.

Tüm süreç sadece birkaç dakika sürüyor, bu da oltalama saldırılarının uygulanma eşiğini önemli ölçüde düşürüyor.

Güvenlik Önerileri

Bu tür kimlik avı saldırılarını önlemek için kullanıcılar şunları yapmalıdır:

• Şüpheli ücretsiz hava damlatmaları veya tazminatlar gibi "gökten düşen çörek" propagandasına dikkat edin.
• Web sitesi URL'sini dikkatlice kontrol edin, tanınmış projelerin taklit sitelerine karşı dikkatli olun.
• WHOIS alan adı sorgulama aracını kullanarak web sitesinin kayıt tarihini kontrol edin.
• Şüpheli web sitelerine veya uygulamalara yardım kelimeleri, özel anahtarlar gibi hassas bilgiler göndermeyin.
• İşlem onaylanmadan önce, Permit veya Approve işlemlerinin olup olmadığını dikkatlice kontrol edin.
• Güvenlik uyarı bilgilerine dikkat edin, yetkileri zamanında geri çekin veya varlıkları transfer edin.