揭秘加密世界中的钓鱼攻击产业化

2024年第三季度，钓鱼攻击已成为造成最多经济损失的攻击手段，在65次攻击中获取了超过2.43亿美元。安全团队分析认为，近期频发的钓鱼攻击很可能与臭名昭著的Inferno Drainer有关。该团队曾在2023年底宣布"退休"，但如今似乎再次活跃，制造了一系列大规模攻击。

本文将分析典型的网络钓鱼攻击团伙的作案手法，并详细列举其行为特征，以帮助用户提高对网络钓鱼诈骗的识别和防范能力。

诈骗即服务(Scam-as-a-Service)

在加密世界中，钓鱼团队发明了一种新的恶意模式，称为"诈骗即服务"。这一模式将诈骗工具和服务打包，以商品化的方式提供给其他犯罪分子。Inferno Drainer就是这一领域的典型代表，在其首次运营期间，诈骗金额超过8000万美元。

Inferno Drainer通过向买家提供现成的钓鱼工具和基础设施，包括钓鱼网站前后端、智能合约以及社交媒体账户，帮助他们快速发起攻击。购买服务的钓鱼者保留大部分赃款，而Inferno Drainer收取10%-20%的佣金。这一模式大大降低了诈骗的技术门槛，使得网络犯罪变得更加高效和规模化，导致钓鱼攻击在加密行业内泛滥。

诈骗即服务的运作方式

典型的去中心化应用(DApp)通常由前端界面和区块链上的智能合约组成。用户通过区块链钱包连接到DApp的前端界面，前端页面生成相应的区块链交易，并将其发送至用户的钱包。用户随后使用区块链钱包对这笔交易进行签名批准，交易被发送至区块链网络，并调用相应的智能合约执行所需功能。

钓鱼攻击者通过设计恶意的前端界面和智能合约，巧妙地诱导用户执行不安全的操作。攻击者通常会引导用户点击恶意链接或按钮，从而欺骗他们批准一些隐藏的恶意交易，甚至直接诱骗用户泄露私钥。一旦用户签署了这些恶意交易或暴露了私钥，攻击者就能轻松地将用户的资产转移到自己的账户中。

常见的钓鱼手段包括：

1. 伪造知名项目前端：攻击者精心模仿知名项目的官方网站，创建看似合法的前端界面，让用户误以为自己正在与可信任的项目进行交互。

2. 代币空投骗局：在社交媒体上大肆宣传钓鱼网站，声称有"免费空投"、"早期预售"、"免费铸造NFT"等极具吸引力的机会，引诱受害者点击链接。

3. 虚假黑客事件与奖励骗局：宣称某知名项目遭遇黑客攻击或资产冻结，现正向用户发放补偿或奖励，通过这些虚假的紧急情况吸引用户前往钓鱼网站。

Inferno Drainer的分赃方式

2024年5月21日，Inferno Drainer在etherscan上公开了一条签名验证消息，宣告回归，并创建了新的Discord频道。安全团队发现，某些地址进行了大量具有相似模式的交易，这些交易被认为是Inferno Drainer在检测到受害者上钩后进行资金转移和分赃的操作。

分赃过程通常包括以下步骤：

1. 通过CREATE2创建一个合约。

2. 调用创建的合约，将受害人的代币批准给钓鱼地址和分赃地址。

3. 向分赃地址和买家转入相应比例的代币，完成分赃。

值得注意的是，Inferno Drainer通过分赃前再创建合约的方式，一定程度上能够绕过一些钱包的反钓鱼功能。在一个典型案例中，购买钓鱼服务的买家获得82.5%的赃款，而Inferno Drainer保留17.5%。

钓鱼网站的快速创建

在诈骗即服务的帮助下，攻击者可以轻松快速地创建钓鱼网站：

1. 进入服务提供商的通讯频道，使用简单命令创建免费域名和IP地址。

2. 从提供的模板中选择一个，几分钟内完成网站安装。

3. 寻找潜在受害者。一旦有用户进入网站并批准恶意交易，其资产就会被转移。

整个过程仅需几分钟，大大降低了实施钓鱼攻击的门槛。

安全建议

为防范此类钓鱼攻击，用户应当：

• 警惕"天上掉馅饼"的宣传，如可疑的免费空投或补偿。
• 仔细检查网站URL，警惕模仿知名项目的网站。
• 使用WHOIS域名查询工具检查网站注册时间。
• 不向任何可疑网站或应用提交助记词、私钥等敏感信息。
• 在批准交易前，仔细检查是否涉及Permit或Approve操作。
• 关注安全预警信息，及时撤回授权或转移资产。