Công nghiệp hóa các cuộc tấn công lừa đảo trong thế giới mã hóa: Phân tích hệ sinh thái "lừa đảo dưới dạng dịch vụ"

Kể từ tháng 6 năm 2024, đội ngũ an ninh đã phát hiện ra một số lượng lớn các giao dịch lừa đảo tương tự, chỉ riêng trong tháng 6 đã liên quan đến số tiền hơn 55 triệu đô la. Đến tháng 8 và tháng 9, các hoạt động lừa đảo liên quan càng trở nên thường xuyên hơn và đang gia tăng mạnh mẽ. Trong quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức tấn công gây thiệt hại kinh tế lớn nhất, với 65 cuộc tấn công đã thu về hơn 243 triệu đô la. Phân tích cho thấy, các cuộc tấn công lừa đảo thường xuyên gần đây rất có thể liên quan đến đội ngũ công cụ lừa đảo nổi tiếng Inferno Drainer. Đội ngũ này đã tuyên bố "nghỉ hưu" một cách ồn ào vào cuối năm 2023, nhưng hiện nay dường như đang trở lại, lên kế hoạch cho một loạt các cuộc tấn công quy mô lớn.

Bài viết này sẽ phân tích các phương thức hoạt động điển hình của các băng nhóm lừa đảo trực tuyến như Inferno Drainer, Nova Drainer và liệt kê chi tiết các đặc điểm hành vi của chúng, nhằm giúp người dùng nâng cao khả năng nhận diện và phòng ngừa lừa đảo trực tuyến.

Lừa đảo dưới dạng dịch vụ(Scam-as-a-Service)Tổng quan

Trong lĩnh vực mã hóa, một số nhóm lừa đảo đã phát minh ra một mô hình độc hại mới, được gọi là "lừa đảo dưới dạng dịch vụ". Mô hình này đóng gói các công cụ và dịch vụ lừa đảo, cung cấp cho các tội phạm khác theo cách hàng hóa. Inferno Drainer là đại diện điển hình trong lĩnh vực này, trong khoảng thời gian từ tháng 11 năm 2022 đến tháng 11 năm 2023 khi họ lần đầu tiên thông báo ngừng dịch vụ, số tiền lừa đảo đã vượt quá 80 triệu đô la.

Inferno Drainer giúp người mua nhanh chóng khởi động các cuộc tấn công bằng cách cung cấp các công cụ và cơ sở hạ tầng đánh cá sẵn có, bao gồm cả giao diện trước và sau của trang web đánh cá, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ đánh cá mua dịch vụ giữ lại phần lớn tiền bẩn, trong khi Inferno Drainer thu phí 10%-20%. Mô hình này làm giảm đáng kể rào cản công nghệ cho các vụ lừa đảo, khiến tội phạm mạng trở nên hiệu quả và quy mô hơn, dẫn đến việc các cuộc tấn công đánh cá tràn lan trong ngành mã hóa, đặc biệt là những người dùng thiếu nhận thức về an ninh dễ trở thành mục tiêu tấn công hơn.

Cơ chế hoạt động của lừa đảo như một dịch vụ

Trước khi giới thiệu về dịch vụ lừa đảo, chúng ta hãy hiểu quy trình làm việc của một ứng dụng phi tập trung (DApp) điển hình. Một DApp điển hình thường bao gồm giao diện phía trước (như trang web hoặc ứng dụng di động) và hợp đồng thông minh trên blockchain. Người dùng kết nối đến giao diện phía trước của DApp thông qua ví blockchain, giao diện phía trước tạo ra giao dịch blockchain tương ứng và gửi nó đến ví của người dùng. Sau đó, người dùng sử dụng ví blockchain để ký phê duyệt giao dịch này, sau khi hoàn tất ký, giao dịch được gửi đến mạng blockchain và gọi hợp đồng thông minh tương ứng để thực hiện chức năng cần thiết.

Các kẻ tấn công lừa đảo thông qua việc thiết kế giao diện front-end và hợp đồng thông minh độc hại, khéo léo dụ dỗ người dùng thực hiện các thao tác không an toàn. Kẻ tấn công thường sẽ dẫn dắt người dùng nhấp vào liên kết hoặc nút độc hại, từ đó lừa dối họ phê duyệt một số giao dịch độc hại ẩn giấu, thậm chí trong một số trường hợp, trực tiếp dụ dỗ người dùng tiết lộ khóa riêng của họ. Một khi người dùng đã ký vào những giao dịch độc hại này hoặc tiết lộ khóa riêng, kẻ tấn công có thể dễ dàng chuyển tài sản của người dùng vào tài khoản của mình.

Các phương pháp lừa đảo phổ biến bao gồm:

1. Giả mạo giao diện trước của các dự án nổi tiếng: Kẻ tấn công tinh vi bắt chước trang web chính thức của các dự án nổi tiếng, tạo ra giao diện trước có vẻ hợp pháp, khiến người dùng nhầm tưởng rằng họ đang tương tác với một dự án đáng tin cậy, từ đó làm giảm cảnh giác, kết nối ví và thực hiện các thao tác không an toàn.

2. Lừa đảo airdrop token: Kẻ tấn công quảng bá rầm rộ các trang web lừa đảo trên mạng xã hội, tuyên bố có "airdrop miễn phí", "bán trước sớm", "đúc NFT miễn phí" và những cơ hội hấp dẫn khác để dụ dỗ nạn nhân nhấp vào liên kết. Nạn nhân khi bị thu hút đến trang web lừa đảo thường sẽ vô tình kết nối ví và phê duyệt giao dịch độc hại.

3. Sự cố hack giả mạo và lừa đảo thưởng: Tội phạm mạng tuyên bố một dự án nổi tiếng bị tấn công bởi hacker hoặc tài sản bị đóng băng, hiện đang phát tiền bồi thường hoặc thưởng cho người dùng. Họ thu hút người dùng đến các trang web lừa đảo thông qua các tình huống khẩn cấp giả mạo này, dụ dỗ họ kết nối ví, cuối cùng đánh cắp tài sản của người dùng.

Có thể nói, lừa đảo qua email không phải là phương thức mới, mà đã khá phổ biến trước năm 2020, nhưng mô hình lừa đảo như dịch vụ phần lớn là động lực chính khiến lừa đảo qua email gia tăng nghiêm trọng trong hai năm qua. Trước khi mô hình lừa đảo như dịch vụ xuất hiện, các kẻ tấn công lừa đảo mỗi lần thực hiện tấn công đều phải chuẩn bị vốn khởi động trên chuỗi, tạo trang web phía trước và hợp đồng thông minh. Mặc dù hầu hết các trang web lừa đảo này đều được làm sơ sài, nhưng bằng cách sử dụng một bộ mẫu và thực hiện một số chỉnh sửa đơn giản, có thể tái tạo các dự án lừa đảo mới, nhưng việc vận hành trang web và thiết kế trang vẫn cần một ngưỡng kỹ thuật nhất định. Các nhà cung cấp công cụ lừa đảo như dịch vụ như Inferno Drainer đã hoàn toàn loại bỏ ngưỡng kỹ thuật của lừa đảo qua email, cung cấp dịch vụ tạo và lưu trữ trang web lừa đảo cho những người mua thiếu kỹ thuật tương ứng, và lấy một phần lợi nhuận từ số tiền lừa đảo.

Cơ chế chia sẻ lợi nhuận của Inferno Drainer

Vào ngày 21 tháng 5 năm 2024, Inferno Drainer đã công khai một thông điệp xác minh chữ ký trên etherscan, tuyên bố trở lại và tạo ra một kênh truyền thông xã hội mới.

Một địa chỉ đã thực hiện một lượng lớn giao dịch có mô hình tương tự, sau khi phân tích và điều tra các giao dịch, chúng tôi cho rằng, loại giao dịch này chính là giao dịch mà Inferno Drainer thực hiện để chuyển tiền và phân chia chiến lợi phẩm sau khi phát hiện nạn nhân đã bị mắc bẫy. Ví dụ về một giao dịch được thực hiện từ địa chỉ đó:

1. Inferno Drainer tạo một hợp đồng thông qua CREATE2. CREATE2 là một lệnh trong máy ảo Ethereum, dùng để tạo ra hợp đồng thông minh, so với lệnh CREATE truyền thống, lệnh CREATE2 cho phép tính toán trước địa chỉ hợp đồng dựa trên mã byte của hợp đồng thông minh và salt cố định. Inferno Drainer đã lợi dụng tính chất của lệnh CREATE2, tính toán trước địa chỉ của hợp đồng phân chia cho người mua dịch vụ lừa đảo, và khi nạn nhân mắc bẫy, hợp đồng phân chia sẽ được tạo ra để hoàn tất việc chuyển token và phân chia.

2. Gọi hợp đồng đã tạo, phê duyệt token của nạn nhân cho địa chỉ lừa đảo (người mua dịch vụ Inferno Drainer) và địa chỉ chia chác. Kẻ tấn công thông qua nhiều thủ đoạn lừa đảo, dẫn dắt nạn nhân vô tình ký các thông điệp Permit2 độc hại. Permit2 cho phép người dùng ủy quyền chuyển token thông qua chữ ký mà không cần tương tác trực tiếp với ví. Vì vậy, nạn nhân nhầm tưởng rằng họ chỉ đang tham gia vào các giao dịch thông thường hoặc ủy quyền cho một số hoạt động vô hại, thực tế họ đã vô tình ủy quyền token của mình cho địa chỉ do kẻ tấn công kiểm soát.

3. Chuyển một số lượng nhất định mã hóa vào hai địa chỉ chia sẻ, chuyển mã hóa còn lại cho người mua, hoàn thành việc chia sẻ.

Đáng chú ý là hiện nay có nhiều ví blockchain đã triển khai các chức năng chống lừa đảo hoặc các chức năng tương tự, nhưng nhiều chức năng chống lừa đảo của ví được thực hiện thông qua danh sách đen tên miền hoặc địa chỉ blockchain. Inferno Drainer bằng cách tạo hợp đồng trước khi phân chia tiền bẩn, có thể vượt qua những chức năng chống lừa đảo này ở một mức độ nào đó, giảm bớt sự cảnh giác của nạn nhân. Bởi vì khi nạn nhân phê duyệt giao dịch độc hại, hợp đồng thậm chí chưa được tạo ra, nên không thể phân tích và điều tra địa chỉ đó. Trong giao dịch này, người mua dịch vụ lừa đảo đã lấy đi 82,5% tiền bẩn, trong khi Inferno Drainer giữ lại 17,5%.

Các bước đơn giản để tạo trang web lừa đảo

Với sự trợ giúp của dịch vụ lừa đảo, kẻ tấn công tạo ra một trang web lừa đảo trở nên cực kỳ đơn giản:

1. Vào kênh mạng xã hội của nhà cung cấp dịch vụ, chỉ cần một lệnh đơn giản, bạn có thể tạo ra một tên miền miễn phí và địa chỉ IP tương ứng.

2. Chọn một trong hàng trăm mẫu được cung cấp bởi nhà cung cấp dịch vụ, sau đó tiến vào quy trình cài đặt, chỉ sau vài phút, một giao diện giống như trang web lừa đảo đã được tạo ra.

3. Tìm kiếm nạn nhân. Một khi có nạn nhân vào trang web đó, tin tưởng vào thông tin lừa đảo trên trang, và kết nối ví để chấp thuận giao dịch độc hại, tài sản của nạn nhân sẽ bị chuyển đi.

Kẻ tấn công tạo ra một trang web lừa đảo như vậy với sự trợ giúp của dịch vụ lừa đảo, chỉ cần ba bước và thời gian chỉ mất vài phút.

Tóm tắt và lời khuyên an toàn

Sự trở lại của Inferno Drainer chắc chắn mang đến một mối đe dọa an ninh lớn cho người dùng trong ngành, với các tính năng mạnh mẽ, phương thức tấn công ẩn giấu và chi phí phạm tội cực thấp, khiến nó trở thành một trong những công cụ hàng đầu cho tội phạm mạng thực hiện các cuộc tấn công lừa đảo và trộm cắp tài sản.

Người dùng khi tham gia giao dịch mã hóa cần luôn giữ cảnh giác và ghi nhớ những điểm sau:

• Cảnh giác với bữa trưa miễn phí: Đừng tin vào bất kỳ quảng cáo nào về "bánh rơi từ trên trời", chẳng hạn như airdrop miễn phí hoặc bồi thường nghi ngờ, chỉ tin tưởng vào trang web chính thức hoặc các dự án đã được dịch vụ kiểm toán chuyên nghiệp.
• Kiểm tra kỹ lưỡng đường liên kết mạng: Trước khi kết nối ví trên bất kỳ trang web nào, hãy kiểm tra kỹ URL, xem nó có mô phỏng các dự án nổi tiếng hay không, và cố gắng sử dụng công cụ tra cứu tên miền WHOIS để xem thời gian đăng ký, các trang web có thời gian đăng ký quá ngắn rất có thể là các dự án lừa đảo.
• Bảo vệ thông tin riêng tư: Không gửi cụm từ khôi phục hoặc khóa riêng của bạn cho bất kỳ trang web hoặc ứng dụng đáng ngờ nào. Trước khi ví yêu cầu ký bất kỳ tin nhắn nào hoặc phê duyệt giao dịch, hãy kiểm tra kỹ xem giao dịch đó có phải là giao dịch Permit hoặc Approve có thể dẫn đến mất tiền hay không.
• Theo dõi cập nhật thông tin lừa đảo: Theo dõi các tài khoản mạng xã hội chính thức phát thông tin cảnh báo định kỳ, nếu phát hiện mình vô tình cấp quyền cho địa chỉ lừa đảo, hãy kịp thời thu hồi quyền hoặc chuyển tài sản còn lại đến địa chỉ an toàn khác.