Розкриття індустрії риболовлі в світі шифрування

З червня 2024 року команда безпеки зафіксувала велику кількість подібних фішингових та крадіжкових угод, лише в червні сума, що підлягає розгляду, перевищила 55 мільйонів доларів США. У серпні та вересні активність фішингових атак ще більше зросла, набуваючи все більшого масштабу. У третьому кварталі 2024 року фішингові атаки стали найбільшою причиною економічних втрат, зловмисники отримали понад 243 мільйони доларів США у 65 операціях. Аналіз показує, що нещодавно часті фішингові атаки, ймовірно, пов'язані з відомою командою фішингових інструментів Inferno Drainer. Ця команда оголосила про "вихід на пенсію" наприкінці 2023 року, але тепер, здається, знову активна, здійснюючи серію масових атак.

У цій статті буде проаналізовано典型ні методи злочинної діяльності фішингових угруповань, таких як Inferno Drainer, Nova Drainer, а також детально наведено їхні поведінкові характеристики, з метою допомогти користувачам підвищити здатність до розпізнавання та запобігання фішинговим шахрайствам.

Концепція Scam-as-a-Service

У світі шифрування деякі фішингові команди винайшли нову зловмисну модель під назвою Scam-as-a-Service (шахрайство як послуга). Ця модель упаковує інструменти та послуги шахрайства, пропонуючи їх у комерційний спосіб іншим злочинцям. Inferno Drainer є типовим представником цієї сфери, за час свого існування з листопада 2022 року по листопад 2023 року його шахрайські операції перевищили 80 мільйонів доларів.

Inferno Drainer допомагає покупцям швидко розпочати атаки, пропонуючи готові риболовні інструменти та інфраструктуру, включаючи риболовні вебсайти, бекенд та фронтенд, смарт-контракти та облікові записи в соціальних мережах. Рибалки, які купують послуги, зберігають більшість здобичі, в той час як Inferno Drainer стягує комісію в розмірі 10%-20%. Ця модель значно знижує технічний бар'єр для шахрайства, роблячи кіберзлочинність більш ефективною та масштабною, що призводить до розгулу риболовних атак у сфері шифрування, особливо серед користувачів, які не мають достатньої обізнаності про безпеку, які стають легкими мішенями для атак.

Механізм роботи Scam-as-a-Service

Перш ніж розглянути SaaS, давайте спочатку подивимося на типовий робочий процес децентралізованого додатку (DApp). Типовий DApp зазвичай складається з фронтенд-інтерфейсу (такого як веб-сторінка або мобільний додаток) та смарт-контрактів на блокчейні. Користувач підключається до фронтенд-інтерфейсу DApp через блокчейн-гаманець, фронтенд-сторінка генерує відповідну блокчейн-транзакцію та надсилає її до гаманця користувача. Користувач потім підписує цю транзакцію через блокчейн-гаманець для схвалення, після завершення підпису транзакція надсилається до блокчейн-мережі та викликає відповідний смарт-контракт для виконання необхідних функцій.

Атакувальники за допомогою розробки шкідливого фронт-енду та смарт-контрактів вміло спокушають користувачів виконувати небезпечні дії. Атакувальники зазвичай змушують користувачів натискати на шкідливі посилання або кнопки, обманюючи їх, щоб вони схвалювали деякі приховані шкідливі транзакції, а в деяких випадках навіть безпосередньо спокушають користувачів розкрити свої приватні ключі. Як тільки користувач підписує ці шкідливі транзакції або викриває свої приватні ключі, атакувальник може легко перевести активи користувача на свій рахунок.

Звичайні методи риболовлі включають:

1. Підробка відомих проектів: зловмисники ретельно імітують офіційні сайти відомих проектів, створюючи на вигляд легітимні інтерфейси, щоб користувачі помилково вважали, що взаємодіють з надійним проектом.

2. Схема з повітряними токенами: активна реклама фішингових веб-сайтів у соціальних мережах, що стверджують про "безкоштовні повітряні токени", "доброчинні продажі на ранніх стадіях", "безкоштовне карбування NFT" та інші привабливі можливості, що спонукають жертв натискати на посилання та затверджувати шкідливі транзакції.

3. Фальшиві хакерські події та шахрайство з нагородами: стверджують, що певний відомий проєкт зазнав хакерської атаки або замороження активів, і тепер виплачують компенсацію або нагороду користувачам, залучаючи їх на фішингові сайти через фальшиву екстрену ситуацію.

Модель SaaS є основним каталізатором зростання фішингових шахрайств за останні два роки. Перед появою SaaS фішингові атаки вимагали від шахраїв підготовки стартового капіталу на ланцюзі, створення фронтальних веб-сайтів і смарт-контрактів; хоча ці фішингові сайти здебільшого були низької якості, все ж існував певний технічний бар'єр. Постачальники інструментів SaaS, такі як Inferno Drainer, повністю усунули технічний бар'єр для фішингових шахрайств, надаючи послуги зі створення та хостингу фішингових веб-сайтів для покупців, які не мають відповідних технічних знань, і отримуючи прибуток від шахрайських доходів.

Повернення Inferno Drainer та механізм розподілу здобичі

21 травня 2024 року Inferno Drainer опублікував повідомлення про перевірку підписів на etherscan, оголосивши про повернення та створивши новий канал Discord. Нещодавно команда безпеки зосередила увагу на деяких фішингових адресах з аномальною поведінкою, і після аналізу та розслідування транзакцій ми вважаємо, що ці транзакції є переміщенням коштів та їх розподілом Inferno Drainer після виявлення жертви.

В якості прикладу одного з угод, процес атаки виглядає так:

1. Inferno Drainer створює контракт за допомогою CREATE2. CREATE2 - це інструкція в віртуальній машині Ethereum, яка використовується для створення смарт-контрактів, що дозволяє заздалегідь розрахувати адресу контракту на основі байткоду смарт-контракту та фіксованої salt.

2. Виклик створеного контракту, щоб дозволити DAI жертви фішинговій адресі (покупець послуги Inferno Drainer) та адресі розподілу. Зловмисник за допомогою різних фішингових методів направляє жертву на підписання шкідливого повідомлення Permit2.

3. Переведіть по черзі на два адреси для розподілу 3,654 та 7,005 DAI, переведіть 50,255 DAI покупцеві, завершивши розподіл.

У цій угоді покупець риболовних послуг забрав 82,5% доходу від злочину, тоді як Inferno Drainer залишив собі 17,5%.

Швидкий процес створення фішингових сайтів

Завдяки SaaS зловмисники можуть швидко і легко створювати фішингові сайти. Конкретні кроки такі:

1. Увійдіть у TG-канал, наданий Drainer, і використовуйте просту команду для створення безкоштовного домену та відповідної IP-адреси.

2. Виберіть один з сотень шаблонів, наданих роботом, перейдіть до процесу встановлення, через кілька хвилин ви зможете створити реалістичний фішинговий сайт.

3. Шукати жертв. Як тільки жертва потрапляє на сайт, вірить у шахрайську інформацію на сторінці та підключає гаманець для підтвердження зловмисної транзакції, її активи будуть переведені.

Увесь процес займає лише кілька хвилин, що значно знижує витрати на злочинність.

Рекомендації з безпеки

Щоб запобігти таким фішинговим атакам, користувачі повинні:

• Не вірте рекламам на кшталт "пиріжки з неба", таких як підозрілі безкоштовні аеродроми або компенсації.
• Перед підключенням гаманця уважно перевірте URL сайту, будьте обережні з сайтами, що імітують відомі проекти.
• Використовуйте інструмент WHOIS для перевірки дати реєстрації веб-сайту, сайти з короткою датою реєстрації можуть бути шахрайськими проектами.
• Не передавайте свої мнемонічні фрази, приватні ключі та іншу конфіденційну інформацію підозрілим сайтам або додаткам.
• Перед підписанням повідомлення або схваленням транзакції уважно перевірте, чи не включає це операції Permit або Approve, які можуть призвести до втрати коштів.
• Слідкуйте за офіційними акаунтами, такими як CertiK Alert, які публікують попереджувальну інформацію, щоб вчасно дізнаватися про останні тенденції шахрайства.
• Якщо ви випадково надали токени шахрайській адресі, негайно відкличте авторизацію або перемістіть залишкові активи на безпечну адресу.