Şifreleme dünyasında oltalama saldırılarının sanayileşmesi: "dolandırıcılık hizmeti" ekosisteminin analizi

2024 yılının Haziran ayından itibaren, güvenlik ekipleri benzer birçok phishing işlemi tespit etti, yalnızca Haziran ayında söz konusu miktar 55 milyon doları aştı. Ağustos ve Eylül aylarına girildiğinde, ilgili phishing faaliyetleri daha da sıklaştı ve giderek arttı. 2024 yılının üçüncü çeyreğinde, phishing saldırıları en büyük ekonomik kayıplara neden olan saldırı yöntemi haline geldi, 65 saldırı eyleminde 243 milyon doların üzerinde bir miktar elde edildi. Analizler, son dönemde sıkça yaşanan phishing saldırılarının, kötü ünlü phishing aracı ekibi Inferno Drainer ile ilgili olabileceğini gösteriyor. Bu ekip, 2023 yılının sonunda "emekli" olduğunu duyurmuştu, ancak şimdi yeniden ortaya çıkmış gibi görünüyor ve büyük ölçekli saldırılar planlıyor.

Bu makale Inferno Drainer, Nova Drainer gibi kimlik avı çetelerinin tipik suç yöntemlerini analiz edecek ve kullanıcıların kimlik avı dolandırıcılıklarını tanıma ve önleme yeteneklerini artırmalarına yardımcı olmak için davranış özelliklerini detaylı bir şekilde listeleyecektir.

Dolandırıcılık Hizmeti ( Scam-as-a-Service ) Genel Bakış

Kripto para alanında, bazı oltalama ekipleri "Hizmet Olarak Dolandırıcılık" olarak adlandırılan yeni bir kötü niyetli model geliştirdi. Bu model dolandırıcılık araçlarını ve hizmetlerini paketleyerek diğer suçlulara ticari bir şekilde sunmaktadır. Inferno Drainer, bu alandaki tipik bir temsilcidir ve 2022'nin Kasım ayından 2023'ün Kasım ayına kadar hizmetlerini kapattıklarını ilk kez açıkladıkları dönemde dolandırıcılık miktarı 80 milyon doları aşmıştır.

Inferno Drainer, alıcılara hazır oltalama araçları ve altyapısı sunarak, oltalama web sitelerinin ön ve arka uçları, akıllı sözleşmeler ve sosyal medya hesapları dahil, saldırıları hızlı bir şekilde başlatmalarına yardımcı olmaktadır. Hizmet satın alan oltalama yapanlar, çoğu zaman elde edilen suç gelirinin büyük bir kısmını saklarken, Inferno Drainer %10-%20 komisyon almaktadır. Bu model, dolandırıcılığın teknik engellerini büyük ölçüde düşürerek, siber suçları daha verimli ve ölçeklenebilir hale getirmiştir; bu da oltalama saldırılarının şifreleme sektöründe yaygınlaşmasına ve özellikle güvenlik bilincine sahip olmayan kullanıcıların daha kolay hedef haline gelmesine yol açmıştır.

Dolandırıcılık Hizmeti İşleyiş Mekanizması

Bir dolandırıcılık hizmetini tanıtmadan önce, tipik bir merkeziyetsiz uygulamanın (DApp) çalışma sürecini anlamamız gerekiyor. Tipik bir DApp genellikle bir ön yüz arayüzü (web sayfası veya mobil uygulama gibi) ve blok zincirindeki akıllı sözleşmelerden oluşur. Kullanıcı, blok zinciri cüzdanı aracılığıyla DApp'in ön yüz arayüzüne bağlanır, ön yüz sayfası ilgili blok zinciri işlemini oluşturur ve bunu kullanıcının cüzdanına gönderir. Kullanıcı daha sonra blok zinciri cüzdanını kullanarak bu işlemi imzalar ve onaylar, imza tamamlandıktan sonra işlem blok zinciri ağına gönderilir ve gerekli fonksiyonları yerine getirmek için ilgili akıllı sözleşme çağrılır.

Balık avı saldırganları, kötü niyetli bir ön yüz arayüzü ve akıllı sözleşmeler tasarlayarak, kullanıcıları güvensiz işlemler yapmaya kurnazca yönlendirir. Saldırganlar genellikle kullanıcıları kötü niyetli bağlantılara veya butonlara tıklamaya yönlendirerek, onlara bazı gizli kötü niyetli işlemleri onaylatmak için aldatırlar; bazı durumlarda, kullanıcıları doğrudan özel anahtarlarını ifşa etmeye kandırabilirler. Kullanıcı bu kötü niyetli işlemleri imzaladığında veya özel anahtarını açığa çıkardığında, saldırgan kolayca kullanıcının varlıklarını kendi hesabına aktarabilir.

Yaygın oltalama yöntemleri şunlardır:

1. Tanınmış projelerin sahte ön yüzü: Saldırganlar, tanınmış projelerin resmi web sitelerini özenle taklit ederek, kullanıcıların güvenilir bir projeyle etkileşimde bulunduğunu düşünmesine neden olan görünüşte yasal bir ön yüz oluştururlar. Bu durum, kullanıcıların dikkatlerini dağıtarak cüzdanlarını bağlamalarına ve güvensiz işlemler gerçekleştirmelerine yol açar.

2. Token airdrop dolandırıcılığı: Saldırganlar sosyal medyada "ücretsiz airdrop", "erken ön satış", "ücretsiz NFT mintleme" gibi son derece cazip fırsatlar sunduklarını iddia eden phishing sitelerini yaygın bir şekilde tanıtarak kurbanları bağlantıya tıklamaya teşvik ederler. Kurbanlar phishing sitesine çekildiklerinde, genellikle cüzdanlarını bağlayıp kötü niyetli işlemleri onaylamaya gönülsüzce gidebilirler.

3. Sahte hacker olayları ve ödül dolandırıcılıkları: Siber suçlular, tanınmış bir projenin bir hacker saldırısına uğradığını veya varlıklarının dondurulduğunu iddia ederek, kullanıcılarına tazminat veya ödül dağıttıklarını söylerler. Bu sahte acil durumlar aracılığıyla kullanıcıları phishing sitelerine çekerek, cüzdanlarını bağlamaya ikna ederler ve sonuçta kullanıcıların fonlarını çalarlar.

Diyebilirim ki, oltalama dolandırıcılığı yeni bir yöntem değil, 2020'den önce de oldukça yaygındı; ancak dolandırıcılık hizmeti modeli, son iki yılda oltalama dolandırıcılığının artmasının en büyük etkeni olmuştur. Dolandırıcılık hizmeti ortaya çıkmadan önce, oltalama saldırganları her saldırı için zincir üzerinde başlatma sermayesi hazırlamak, ön yüz web sitesi ve akıllı sözleşme oluşturmak zorundaydılar. Bu oltalama siteleri genellikle kalitesiz olsa da, bir şablon kullanarak basit değişiklikler yaparak yeni dolandırıcılık projeleri oluşturmak mümkün oluyordu; ancak web sitesi işletimi ve sayfa tasarımı belirli bir teknik engel gerektiriyordu. Inferno Drainer gibi dolandırıcılık hizmeti sağlayıcıları, oltalama dolandırıcılığındaki teknik engeli tamamen ortadan kaldırarak, gerekli teknik bilgiye sahip olmayan alıcılara oltalama web siteleri oluşturma ve barındırma hizmeti sunmakta ve dolandırıcılıktan elde edilen kazançlardan pay almaktadır.

Inferno Drainer'ın paylaşım mekanizması

21 Mayıs 2024'te, Inferno Drainer etherscan'da bir imza doğrulama mesajı yayımladı, geri dönüşünü ilan etti ve yeni sosyal medya kanalları oluşturdu.

Belirli bir adres, benzer bir modelde çok sayıda işlem gerçekleştirmiştir. İşlemlerin analizi ve araştırılması sonucunda, bu tür işlemlerin Inferno Drainer'ın kurbanları kandırdığını tespit ettikten sonra fon transferi ve paylaşım işlemleri gerçekleştirdiği işlemler olduğunu düşünüyoruz. Bu adreste gerçekleştirilen işlemlerden birine örnek olarak:

1. Inferno Drainer, CREATE2 kullanarak bir sözleşme oluşturur. CREATE2, Ethereum sanal makinesinde bulunan bir talimattır ve akıllı sözleşme oluşturmak için kullanılır. Geleneksel CREATE talimatına kıyasla, CREATE2 talimatı akıllı sözleşme bayt kodu ve sabit bir salt kullanarak sözleşmenin adresini önceden hesaplamaya olanak tanır. Inferno Drainer, CREATE2 talimatının doğasını kullanarak, oltaya düşecek kurbanların için önceden yağma sözleşmesinin adresini hesaplar ve kurban oltaya düştüğünde yağma sözleşmesini oluşturur, token transferi ve yağma işlemini tamamlar.

2. Oluşturulan akıllı sözleşmeyi çağırarak, mağdurun token'larını oltalama adresine (Inferno Drainer hizmetinin alıcısı) ve paylaşım adresine onaylatıyor. Saldırgan, çeşitli oltalama yöntemleriyle mağdurları kötü niyetli Permit2 mesajını imzalamaya yönlendiriyor. Permit2, kullanıcıların imza ile token transferini yetkilendirmesine izin verir, böylece cüzdanla doğrudan etkileşimde bulunmadan. Bu nedenle, mağdurlar sadece sıradan bir işlem yapıyor veya bazı zararsız işlemleri yetkilendiriyor gibi düşünerek, aslında istemeden token'larını saldırganın kontrolündeki bir adrese yetkilendirmiş oluyorlar.

3. İki paylaştırma adresine sırasıyla belirli miktarda token aktarın, alıcıya kalan tokenleri aktarın ve paylaşımı tamamlayın.

Dikkate değer bir nokta, şu anda birçok blok zinciri cüzdanının phishing veya benzeri işlevleri uygulamış olmasıdır, ancak birçok cüzdanın phishing işlevi, alan adı veya blok zinciri adresi kara listesi yöntemiyle gerçekleştirilmiştir. Inferno Drainer, paylaşılan suç ürünlerini dağıtmadan önce sözleşme oluşturarak, bu phishing işlevlerini bir ölçüde aşabilmekte ve kurbanların dikkatini daha da azaltmaktadır. Çünkü kurban kötü niyetli işlemi onayladığında, o sözleşme bile henüz oluşturulmamıştır, bu yüzden o adresin analiz edilmesi ve araştırılması mümkün olmamaktadır. Bu işlemde, phishing hizmetini satın alan alıcı, çalıntı paranın %82.5'ini alırken, Inferno Drainer %17.5'ini saklamıştır.

Basit Bir Phishing Sitesi Oluşturma Adımları

Sahtekarlık hizmetleri sayesinde, saldırganların bir phishing sitesi oluşturması son derece kolay hale geliyor:

1. Hizmet sağlayıcısının sosyal medya kanalına girin, sadece basit bir komut ile ücretsiz bir alan adı ve karşılık gelen IP adresi oluşturabilirsiniz.

2. Hizmet sağlayıcısının sunduğu yüzlerce şablondan birini seçin, ardından kurulum sürecine girin, birkaç dakika içinde, oldukça gerçekçi bir kimlik avı sitesi oluşturulmuş olacak.

3. Mağdurları bulmak. Bir mağdur bu web sitesine girdiğinde, sayfadaki dolandırıcılık bilgilerine inandığında ve cüzdanını kötü niyetli bir işlemi onaylamak için bağladığında, mağdurun varlıkları transfer edilir.

Saldırganlar, dolandırıcılık hizmetlerinin yardımıyla, böyle bir kimlik avı sitesini yalnızca üç adımda, harcanan zaman ise sadece birkaç dakika içinde oluşturabilir.

Özet ve Güvenlik Önerileri

Inferno Drainer'ın geri dönüşü, sektör kullanıcıları için büyük bir güvenlik tehdidi oluşturuyor. Güçlü yetenekleri, gizli saldırı yöntemleri ve çok düşük suç işleme maliyeti ile, siber suçlular için kimlik avı saldırıları ve para hırsızlığı gerçekleştirmek adına tercih edilen araçlardan biri haline geliyor.

Kullanıcılar kripto para ticaretine katılırken her zaman dikkatli olmalı ve aşağıdaki noktaları unutmamalıdır:

• Ücretsiz öğle yemeğine dikkat: Herhangi bir "gökten düşen börek" reklamına inanmayın, örneğin şüpheli ücretsiz airdrop'lar, tazminatlar; yalnızca resmi web sitelerine veya profesyonel denetim hizmeti almış projelere güvenin.
• Ağa bağlantısını dikkatlice kontrol edin: Herhangi bir web sitesine cüzdan bağlamadan önce, URL'yi dikkatlice kontrol edin, tanınmış projeleri taklit edip etmediğini kontrol edin ve mümkünse WHOIS alan adı sorgulama aracını kullanarak kayıt tarihini kontrol edin. Kayıt tarihi çok kısa olan web siteleri büyük olasılıkla dolandırıcılık projeleridir.
• Gizli bilgileri koruyun: Şüpheli web sitelerine veya uygulamalara kendi hatırlatıcı kelimenizi, özel anahtarınızı göndermeyin, cüzdanın herhangi bir mesajı imzalamasını veya işlemi onaylamasını istemeden önce, işlemin potansiyel olarak fon kaybına yol açabilecek bir Permit veya Approve işlemi olup olmadığını dikkatlice kontrol edin.
• Dolandırıcılık bilgileri güncellemelerini takip edin: Zamanında uyarı bilgilerini yayınlayan resmi sosyal medya hesaplarını takip edin, eğer dolandırıcılık adresine yanlışlıkla token yetkisi verdiğinizi fark ederseniz, yetkiyi derhal geri alın veya kalan varlıkları başka bir güvenli adrese aktarın.