Розкриття індустрії фішингових атак у світі шифрування

У третьому кварталі 2024 року, фішингові атаки стали найбільш збитковим методом атак, отримавши понад 243 мільйони доларів у 65 атаках. Команда безпеки аналізує, що нещодавні фішингові атаки, ймовірно, пов'язані з відомим Inferno Drainer. Ця команда оголосила про "вихід на пенсію" наприкінці 2023 року, але тепер, здається, знову активна, здійснивши низку масових атак.

У цій статті буде проаналізовано методи злочинної діяльності типових груп, що займаються фішингом, а також детально наведено їхні поведенкові характеристики, щоб допомогти користувачам підвищити здатність до розпізнавання та запобігання фішинговим шахрайствам.

Шахрайство як послуга(Scam-as-a-Service)

У світі шифрування команди зловмисників винайшли новий злочинний шаблон, званий "шахрайство як послуга". Цей шаблон упаковує шахрайські інструменти та послуги, пропонуючи їх у товарному вигляді іншим злочинцям. Inferno Drainer є типовим прикладом у цій сфері, під час свого першого запуску сума шахрайства перевищила 80 мільйонів доларів.

Inferno Drainer допомагає покупцям швидко розпочати атаки, надаючи готові інструменти для фішингу та інфраструктуру, включаючи передню та задню частини фішингових сайтів, смарт-контракти та облікові записи в соціальних мережах. Фішери, які купують послуги, залишають більшу частину крадених коштів, тоді як Inferno Drainer стягує комісію у розмірі 10%-20%. Ця модель значно знижує технічний бар'єр для шахрайства, роблячи кіберзлочинність більш ефективною та масштабованою, що призводить до епідемії фішингових атак у сфері шифрування.

Спосіб роботи шахрайства як послуги

Типовий децентралізований застосунок (DApp) зазвичай складається з фронтального інтерфейсу та смарт-контрактів на блокчейні. Користувачі підключаються до фронтального інтерфейсу DApp через гаманець блокчейна, фронтальна сторінка генерує відповідну транзакцію блокчейна та надсилає її до гаманця користувача. Користувачі потім підписують цю транзакцію за допомогою гаманця блокчейна, транзакція надсилається до мережі блокчейна та викликає відповідний смарт-контракт для виконання необхідних функцій.

Зловмисники-фішери за допомогою розробки шкідливих інтерфейсів та смарт-контрактів хитро спонукають користувачів виконувати небезпечні дії. Зловмисники зазвичай направляють користувачів натискати на шкідливі посилання або кнопки, обманюючи їх, щоб ті схвалили деякі приховані шкідливі транзакції, або навіть безпосередньо спонукають користувачів розкрити свої приватні ключі. Як тільки користувач підписує ці шкідливі транзакції або розкриває приватні ключі, зловмисник може легко перевести активи користувача на свій рахунок.

Звичайні методи фішингу включають:

1. Підробка відомих проектів: зловмисники ретельно імітують офіційні веб-сайти відомих проектів, створюючи на перший погляд легітимний інтерфейс, що вводить користувачів в оману, змушуючи їх вірити, що вони взаємодіють з надійним проектом.

2. Схема зловживання токенами: на соціальних мережах активно рекламуються фішингові сайти, які стверджують про "безкоштовний аірдроп", "ранній продаж" та "безкоштовне карбування NFT" як надзвичайно привабливі можливості, спокушаючи жертв натискати на посилання.

3. Фальшиві хакерські інциденти та схеми винагород: заявляючи, що певний відомий проєкт зазнав хакерської атаки або активи заморожені, зараз виплачує компенсацію або винагороду користувачам, використовуючи ці фальшиві термінові ситуації для залучення користувачів на фішингові сайти.

Спосіб розподілу здобичі Inferno Drainer

21 травня 2024 року Inferno Drainer опублікував на etherscan повідомлення про перевірку підпису, оголошуючи про своє повернення, та створив новий канал у Discord. Команда безпеки виявила, що деякі адреси здійснили велику кількість угод з подібними схемами, які вважаються операціями з переміщення коштів та розподілу добутку Inferno Drainer після виявлення жертв.

Процес розподілу здобичі зазвичай включає наступні етапи:

1. Створити контракт за допомогою CREATE2.

2. Викликати створений контракт, надати токени жертви адресі фішингу та адресі для розподілу.

3. Переведіть відповідну частку токенів до адреси розподілу та покупця, щоб завершити розподіл.

Варто зазначити, що Inferno Drainer, створюючи контракти перед розподілом здобичі, певною мірою може обійти деякі функції захисту від фішингу гаманців. У типовому випадку покупець фішингових послуг отримує 82,5% здобичі, тоді як Inferno Drainer залишає 17,5%.

Швидке створення фішингових сайтів

Завдяки шахрайству як послузі, зловмисники можуть швидко та легко створювати фішингові сайти:

1. Увійдіть до комунікаційного каналу постачальника послуг, використовуючи просту команду для створення безкоштовного доменного імені та IP-адреси.

2. Виберіть один із наданих шаблонів та завершіть встановлення сайту за кілька хвилин.

3. Шукати потенційних жертв. Як тільки користувач заходить на сайт і схвалює шкідливу транзакцію, його активи будуть переведені.

Весь процес займає лише кілька хвилин, що значно знижує бар'єри для здійснення фішингових атак.

Рекомендації з безпеки

Щоб запобігти таким фішинговим атакам, користувачі повинні:

• Будьте обережні з рекламою "пиріжків, що падають з неба", наприклад, підозрілими безкоштовними аеродропами або компенсаціями.
• Уважно перевірте URL сайту, остерігайтеся сайтів, що імітують відомі проекти.
• Використовуйте інструмент перевірки доменів WHOIS для перевірки дати реєстрації сайту.
• Не передавайте мнемонічні фрази, приватні ключі та іншу чутливу інформацію жодним підозрілим веб-сайтам чи додаткам.
• Перед затвердженням транзакції уважно перевірте, чи пов'язані з операціями Permit або Approve.
• Уважно слідкуйте за інформацією про попередження безпеки, своєчасно відкликайтесь авторизацію або переміщуйте активи.