Шифрування світу: промислова експлуатація фішингових атак: аналіз екосистеми "шахрайство як послуга"

З червня 2024 року команда безпеки зафіксувала велику кількість подібних фішингових транзакцій, лише за червень сума, що підлягає розгляду, перевищила 55 мільйонів доларів США. У серпні та вересні пов'язані з фішингом дії стали ще більш частими і набули загрозливого характеру. У третьому кварталі 2024 року фішингові атаки стали найбільшою причиною економічних втрат, в ході 65 атак було отримано понад 243 мільйони доларів США. Аналіз показує, що нещодавні часті фішингові атаки, ймовірно, пов'язані з відомою командою фішингових інструментів Inferno Drainer. Ця команда у кінці 2023 року гучно оголосила про "відставку", але тепер, здається, повернулася, спланувавши ряд масштабних атак.

Ця стаття проаналізує типові методи злочинної діяльності таких фішингових угруповань, як Inferno Drainer і Nova Drainer, а також детально перераховує їхні поведінкові характеристики, щоб допомогти користувачам підвищити здатність до виявлення та запобігання фішинговим шахрайствам.

Шахрайство як послуга(Scam-as-a-Service)Огляд

У сфері шифрування валют деякі команди фішингу винайшли нову зловмисну модель, яка називається "шахрайство як послуга". Ця модель упаковує шахрайські інструменти та послуги, пропонуючи їх іншим злочинцям у товарній формі. Inferno Drainer є типовим представником цієї сфери, під час першого оголошення про закриття служби з листопада 2022 року по листопад 2023 року сума шахрайства перевищила 80 мільйонів доларів.

Inferno Drainer допомагає покупцям швидко розпочати атаки, надаючи готові рибальські інструменти та інфраструктуру, включаючи рибальські веб-сайти з фронт- та бекендом, смарт-контракти та акаунти в соціальних мережах. Рибалки, які купують послуги, зберігають більшість здобичі, тоді як Inferno Drainer стягує комісію в розмірі 10%-20%. Ця модель значно знижує технічний поріг для шахрайства, роблячи кіберзлочинність більш ефективною та масштабованою, що призводить до поширення рибальських атак в сфері шифрування, особливо ті користувачі, які не мають обізнаності в питаннях безпеки, стають легшими мішенями для атак.

Механізм роботи шахрайства як послуги

Перед тим як представити шахрайство як послугу, спершу розглянемо типовий робочий процес децентралізованих додатків (DApp). Типовий DApp зазвичай складається з фронтенд-інтерфейсу (наприклад, веб-сторінки або мобільного додатку) та смарт-контрактів на блокчейні. Користувач підключається до фронтенд-інтерфейсу DApp через гаманець блокчейна, фронтенд-сторінка генерує відповідну транзакцію блокчейна та надсилає її до гаманця користувача. Користувач потім використовує гаманець блокчейна для підписання та затвердження цієї транзакції, після завершення підписання транзакція надсилається до мережі блокчейна та викликає відповідний смарт-контракт для виконання необхідних функцій.

Зловмисники, які займаються риболовлею, за допомогою розробки шкідливих фронтенд-інтерфейсів та смарт-контрактів, хитро спонукають користувачів виконувати небезпечні операції. Зловмисники зазвичай спонукають користувачів натискати на шкідливі посилання або кнопки, обманюючи їх, щоб вони затвердили деякі приховані шкідливі транзакції, а в деяких випадках навіть безпосередньо спонукають користувачів розкрити свої приватні ключі. Як тільки користувач підписує ці шкідливі транзакції або розкриває свій приватний ключ, зловмисники можуть легко перевести активи користувача на свої рахунки.

Поширені методи фішингу включають:

1. Підробка відомого проекту: зловмисники ретельно імітують офіційний веб-сайт відомих проектів, створюючи на перший погляд легітимний інтерфейс, що вводить користувачів в оману, змушуючи їх вірити, що вони взаємодіють з надійним проектом, внаслідок чого вони втрачають пильність, підключають гаманці та виконують небезпечні дії.

2. Схема з повітряними токенами: зловмисники активно рекламують фішингові сайти в соціальних мережах, стверджуючи про "безкоштовні повітряні роздачі", "ранні продажі", "безкоштовне карбування NFT" та інші дуже привабливі можливості, спокушаючи жертв натиснути на посилання. Жертви, потрапивши на фішинговий сайт, часто несвідомо підключають гаманець і затверджують шкідливі транзакції.

3. Фальшиві хакерські події та схеми винагород: кіберзлочинці стверджують, що певний відомий проект зазнав хакерської атаки або замороження активів, і тепер виплачує компенсацію або винагороду користувачам. Вони використовують ці фальшиві термінові ситуації, щоб залучити користувачів на фішингові сайти, спокушаючи їх підключити свої гаманці, в результаті чого крадуть кошти користувачів.

Можна сказати, що фішинг-шахрайство не є чимось новим, воно було досить поширеним ще до 2020 року, але модель шахрайства як послуги в значній мірі стала основним двигуном, що призвело до зростання фішинг-шахрайства останніми роками. До появи шахрайства як послуги, фішинг-атакувальникам щоразу потрібно було готувати стартовий капітал на блокчейні, створювати фронтенд-сайти та смарт-контракти. Хоча ці фішингові сайти зазвичай були низької якості, використовуючи набір шаблонів та проводячи прості модифікації, можна було створити новий шахрайський проект, але обслуговування сайту та дизайн сторінок все ще вимагали певних технічних навичок. Постачальники інструментів шахрайства як послуги, такі як Inferno Drainer, повністю усунули технічний бар'єр фішинг-шахрайства, надаючи послуги зі створення та хостингу фішингових сайтів для покупців, які не мають відповідних технічних навичок, та отримуючи прибуток з шахрайських доходів.

Механізм розподілу прибутку Inferno Drainer

21 травня 2024 року Inferno Drainer опублікував на etherscan повідомлення про перевірку підпису, оголосивши про своє повернення та створивши новий канал у соціальних мережах.

Деяка адреса провела велику кількість транзакцій з подібними патернами, після аналізу та розслідування транзакцій ми вважаємо, що такі транзакції є угодами з переміщення коштів і розподілу здобичі, які Inferno Drainer здійснює після виявлення жертви. Наприклад, розглянемо одну з угод, проведених за цією адресою:

1. Inferno Drainer створює контракт за допомогою CREATE2. CREATE2 - це інструкція в віртуальній машині Ethereum, яка використовується для створення смарт-контрактів. На відміну від традиційної інструкції CREATE, інструкція CREATE2 дозволяє заздалегідь обчислити адресу контракту на основі байтового коду смарт-контракту та фіксованого salt. Inferno Drainer використовує властивості інструкції CREATE2, щоб заздалегідь обчислити адресу контракту для покупців фішингових послуг. Коли жертва попадається на гачок, контракт для розподілу здобутку створюється, завершуючи операції з перенесення токенів та розподілу здобутку.

2. Виклик створеного контракту, надаючи токени жертви адресі риболовлі (покупцю послуг Inferno Drainer) та адресі розподілу. Зловмисник за допомогою різних риболовних методів спрямовує жертву на підписання шкідливого повідомлення Permit2. Permit2 дозволяє користувачам авторизувати передачу токенів через підпис, без необхідності безпосередньо взаємодіяти з гаманцем. Таким чином, жертва помилково вважає, що бере участь у звичайній транзакції або авторизує якісь безпечні дії, в реальності ж без їх відома надає свої токени адресі, контрольованій зловмисником.

3. Перекладіть певну кількість токенів спочатку на дві адреси розподілу прибутку, а потім переказуйте залишок токенів покупцеві, завершуючи розподіл.

Варто зазначити, що в даний час багато криптовалютних гаманців реалізували функції захисту від фішингу або подібні функції, але багато гаманців реалізують функції захисту від фішингу за допомогою чорного списку доменів або адрес блокчейну. Inferno Drainer, створюючи контракт перед поділом коштів, в певній мірі може обійти ці функції захисту від фішингу, ще більше знижуючи настороженість жертв. Оскільки під час затвердження жертвою злочинної транзакції, цей контракт навіть не був створений, аналізувати та розслідувати цю адресу неможливо. У цій транзакції покупець фішингових послуг отримав 82,5% вкрадених коштів, а Inferno Drainer залишив собі 17,5%.

Простий кроки для створення фішингового сайту

За допомогою шахрайства як послуги зловмисникам надзвичайно легко створити фішинговий сайт:

1. Увійдіть до каналу соціальних медіа постачальника послуг, всього лише одним простим командою ви зможете створити безкоштовний домен та відповідну IP-адресу.

2. Оберіть один з сотень шаблонів, наданих постачальником послуг, а потім перейдіть до процесу установки; через кілька хвилин буде створено інтерфейс, що нагадує фішинговий сайт.

3. Шукати жертв. Як тільки жертва заходить на цей веб-сайт, вірить шахрайській інформації на сторінці і підключає гаманець для схвалення шкідливої угоди, активи жертви будуть переведені.

Зловмисники за допомогою шахрайства як послуги створюють таку фішингову веб-сторінку всього за три кроки, витрачаючи лише кілька хвилин.

Підсумок та рекомендації з безпеки

Повернення Inferno Drainer безсумнівно створило величезну загрозу безпеці для користувачів галузі, його потужні можливості, приховані методи атаки та надзвичайно низькі витрати на злочинність роблять його одним із найпопулярніших інструментів для кіберзлочинців при здійсненні фішингових атак та крадіжки коштів.

Користувачі, беручи участь у торгівлі криптовалютами, повинні завжди бути насторожі та пам'ятати про такі моменти:

• Бережіть безкоштовний обід: не вірте жодній рекламі "пиріжка, що падає з неба", такій як підозрілі безкоштовні аеродропи, компенсації, довіряйте лише офіційним веб-сайтам або проектам, які пройшли професійний аудит.
• Уважно перевірте мережеве з'єднання: перед підключенням гаманця до будь-якого веб-сайту уважно перевірте URL, чи імітує він відомі проекти, і намагайтеся використовувати інструменти перевірки доменів WHOIS, щоб дізнатися дату реєстрації; веб-сайти з надто коротким терміном реєстрації, швидше за все, є шахрайськими проектами.
• Захист приватної інформації: не надавайте свої мнемонічні фрази, приватні ключі жодним підозрілим сайтам або додаткам. Перед підписанням будь-якого повідомлення або затвердженням транзакції в гаманці уважно перевірте, чи є ця транзакція Permit або Approve, яка може призвести до втрати коштів.
• Слідкуйте за оновленнями інформації про шахрайство: підписуйтеся на офіційні акаунти в соціальних мережах, які регулярно публікують попереджувальну інформацію. Якщо ви виявили, що випадково надали токени шахрайському адресату, терміново відкличте дозвіл або перемістіть залишкові активи на іншу безпечну адресу.