Розкриття індустрії фішингових атак у світі шифрування
З червня 2024 року низка подібних фішингових атак привернула увагу експертів з безпеки. Лише за червень втрати від відповідних атак перевищили 55 мільйонів доларів. З часом ці атаки ставали все більш інтенсивними, у серпні та вересні вони відбувалися особливо часто. У третьому кварталі 2024 року фішингові атаки стали найбільшою причиною економічних втрат, 65 атак призвели до втрат понад 243 мільйони доларів. Аналіз показує, що ці атаки, ймовірно, пов'язані з відомою командою фішингових інструментів Inferno Drainer. Ця команда оголосила про "вихід на пенсію" наприкінці 2023 року, але тепер, здається, повернулася, розпочавши низку масштабних атак.
У цій статті буде детально проаналізовано типові методи злочинної діяльності фішингових угрупувань, таких як Inferno Drainer та Nova Drainer, а також буде детально описано їхні поведінкові характеристики, щоб допомогти користувачам підвищити здатність до виявлення та запобігання фішинговим шахрайствам.
Поява Scam-as-a-Service
У світі криптовалют виникає новий тип шахрайської бізнес-моделі, відомий як Scam-as-a-Service (шахрайство як послуга). Ця модель об'єднує шахрайські інструменти та послуги, пропонуючи їх у товарній формі іншим злочинцям. Inferno Drainer є представницькою командою в цій сфері, яка з листопада 2022 року по листопад 2023 року здійснила шахрайство на суму понад 80 мільйонів доларів.
Inferno Drainer допомагає покупцям швидко розпочати атаки, надаючи готові інструменти та інфраструктуру для фішингу, включаючи фронт-енд та бек-енд фішингових сайтів, смарт-контракти та облікові записи в соціальних мережах. Фішери, які купують послуги, можуть зберігати більшу частину викрадених коштів, в той час як Inferno Drainer стягує комісію в розмірі 10%-20%. Ця модель значно знижує технічний бар'єр для шахрайства, роблячи кіберзлочини більш ефективними та масштабованими, що призводить до сплеску фішингових атак у сфері шифрування, особливо серед користувачів, які не мають обізнаності про безпеку.
Механізм роботи Scam-as-a-Service
Щоб зрозуміти, як працює Scam-as-a-Service, спочатку розглянемо типовий робочий процес децентралізованого додатку (DApp). Типовий DApp зазвичай складається з інтерфейсу користувача (наприклад, веб-сторінки або мобільного додатку) та смарт-контрактів на блокчейні. Користувач підключається до інтерфейсу DApp через блокчейн-гаманець, інтерфейс генерує відповідну блокчейн-транзакцію та надсилає її до гаманця користувача. Користувач потім підписує цю транзакцію за допомогою блокчейн-гаманця, після завершення підписання транзакція надсилається до блокчейн-мережі та викликає відповідний смарт-контракт для виконання необхідної функції.
Зловмисники, що займаються фішингом, через створення шкідливого фронтенд-інтерфейсу та смарт-контрактів, майстерно спонукають користувачів виконувати небезпечні дії. Вони зазвичай підштовхують користувачів натискати на шкідливі посилання або кнопки, вводячи в оману користувачів для підтвердження прихованих шкідливих транзакцій, а в деяких випадках, безпосередньо спонукаючи користувачів розкривати приватні ключі. Як тільки користувач підписує ці шкідливі транзакції або розкриває приватні ключі, зловмисники можуть легко перенести активи користувача на свої рахунки.
Звичайні методи фішингу включають:
Підробка відомого проекту: зловмисники ретельно імітують офіційний веб-сайт відомого проекту, створюючи на вигляд легітимний інтерфейс, що змушує користувачів помилково вважати, що вони взаємодіють з надійним проектом.
Схема з аерозольним токеном: зловмисники активно рекламують у соціальних мережах "безкоштовні аерозолі", "ранні попередні продажі", "безкоштовне створення NFT" та інші дуже привабливі можливості, спокушаючи жертв натискати на посилання та підключати свої гаманці.
Фальшиві хакерські інциденти та схеми винагород: злочинці стверджують, що певний відомий проект зазнав хакерської атаки або замороження активів, і зараз виплачують компенсації або винагороди користувачам, щоб залучити їх на фішингові сайти.
Модель Scam-as-a-Service значно знизила технологічний бар'єр для фішингових шахрайств. Раніше зловмисникам щоразу потрібно було готувати стартовий капітал на блокчейні, створювати фронтенд-сайт і смарт-контракт. Незважаючи на те, що більшість фішингових сайтів є низькоякісними, їх обслуговування та дизайн все ж вимагали певних технічних навичок. Постачальники інструментів Scam-as-a-Service, такі як Inferno Drainer, повністю усунули ці технічні бар'єри, пропонуючи послуги зі створення та хостингу фішингових сайтів для покупців, які не мають відповідних навичок, і отримуючи прибуток з шахрайських доходів.
Повернення Inferno Drainer та механізм розподілу здобичі
21 травня 2024 року Inferno Drainer опублікував на etherscan повідомлення про перевірку підпису, оголосивши про повернення, та створив новий канал Discord. Один з основних фішингових адрес, що використовуються ними, - 0x0000db5c8b030ae20308ac975898e09741e70000.
Аналізуючи транзакції за цією адресою, ми можемо зрозуміти механізм розподілу здобичі Inferno Drainer:
Inferno Drainer створює контракт за допомогою CREATE2. CREATE2 – це інструкція в віртуальній машині Ethereum, яка використовується для створення смарт-контрактів. Вона дозволяє заздалегідь обчислити адресу контракту на основі байт-коду смарт-контракту та фіксованого salt. Inferno Drainer використовує цю особливість, щоб заздалегідь обчислити адресу угоди про розподіл здобичі для покупців фішингових послуг, а потім створює контракт, коли жертва потрапляє в пастку, завершуючи передачу токенів та операції з розподілом здобичі.
Виклик створеного контракту, надаючи токени жертви адресі фішингу (покупцеві послуг Inferno Drainer) та адресі розподілу. Зловмисник за допомогою різних фішингових методів спонукає жертву ненавмисно підписати шкідливе повідомлення Permit2. Permit2 дозволяє користувачам авторизувати передачу токенів за допомогою підпису, без необхідності безпосередньо взаємодіяти з гаманцем.
Переведіть відповідну частку токенів на адресу розподілу та покупця, щоб завершити розподіл. У конкретному випадку покупець отримав 82,5% прибутку, а Inferno Drainer залишив 17,5%.
Варто відзначити, що Inferno Drainer, створюючи контракт перед розподілом здобичі, в певній мірі може обійти деякі функції захисту від фішингу гаманців, що ще більше знижує настороженість жертви. Оскільки, коли жертва схвалює шкідливу угоду, контракт навіть ще не був створений, отже, про аналіз та розслідування цієї адреси не може бути й мови.
Простi кроки для створення фішингового сайту
За допомогою Scam-as-a-Service зловмисникам стало надзвичайно просто створювати фішингові сайти:
Увійдіть до Telegram-каналу, наданого Drainer, використовуючи просту команду, щоб створити безкоштовний домен та відповідну IP-адресу.
Виберіть один з сотень шаблонів, які пропонує робот, і через кілька хвилин ви зможете створити професійний сайт-улов.
Шукати жертв. Як тільки хтось заходить на сайт і підключає гаманець для підтвердження шкідливої угоди, активи жертви будуть переведені.
Весь процес займає лише кілька хвилин, значно знижуючи витрати на злочинність та технологічний бар'єр.
Підсумок та рекомендації щодо запобігання
Повернення Inferno Drainer створює величезні загрози безпеці для користувачів шифрування. Користувачі, беручи участь у торгах шифруванням, повинні бути постійно насторожі та пам'ятати про такі моменти:
Не вірте ніякій рекламі на кшталт "пиріжок падає з неба", наприклад, підозрілим безкоштовним аірдропам, компенсаціям, довіряйте лише офіційним веб-сайтам або проектам, що пройшли професійний аудит.
Уважно перевірте URL перед підключенням гаманця, остерігайтеся підроблених сайтів відомих проектів. Можна використовувати інструменти перевірки доменів WHOIS, щоб дізнатися дату реєстрації сайту; сайти з коротким терміном реєстрації можуть бути шахрайськими.
Не надсилайте мнемонічні фрази або приватні ключі на будь-які підозрілі сайти чи додатки. Перед тим, як гаманець вимагатиме підписати повідомлення або затвердити транзакцію, уважно перевірте, чи не пов'язані це з операціями, такими як Permit або Approve, які можуть призвести до втрати коштів.
Слідкуйте за інформацією про безпеку. Якщо ви випадково надали токени шахрайському адресу, негайно відкличте авторизацію або перемістіть залишкові активи на іншу безпечну адресу.
Завдяки підвищенню обізнаності про безпеку та вжиттю необхідних запобіжних заходів, користувачі можуть краще захистити себе від дедалі складніших фішингових атак.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
9
Поділіться
Прокоментувати
0/400
TestnetFreeloader
· 4год тому
Це рибалка стає все більш конкурентною.
Переглянути оригіналвідповісти на0
TokenomicsTherapist
· 16год тому
З такими здібностями ви взагалі вирішили повернутися?
Переглянути оригіналвідповісти на0
Web3Educator
· 07-16 18:02
фантастичне випадок, чесно кажучи... я буду висвітлювати цей точний сценарій на семінарі з безпеки блокчейну наступного тижня *підправляє окуляри*
Переглянути оригіналвідповісти на0
BlockDetective
· 07-14 19:58
Справжня абсурдність, знову старі обличчя
Переглянути оригіналвідповісти на0
FunGibleTom
· 07-14 19:57
Знову ж знову ж знову зірвали персики.
Переглянути оригіналвідповісти на0
RektButStillHere
· 07-14 19:56
Ай, ця група невдах знову прийшла грабувати!
Переглянути оригіналвідповісти на0
ContractCollector
· 07-14 19:56
Ще один про був пограбований.
Переглянути оригіналвідповісти на0
ZenMiner
· 07-14 19:45
Ця риболовля провалилася на пенсії
Переглянути оригіналвідповісти на0
DaoResearcher
· 07-14 19:42
З існуючих даних ланцюга можна зробити висновок, що ризик цього типу атак вже значно перевищує Ліквідність. Рекомендуємо спочатку ознайомитися з протоколом Satoshi6.0.
Inferno Drainer повертається: розкриття індустрії риболовлі в світі шифрування
Розкриття індустрії фішингових атак у світі шифрування
З червня 2024 року низка подібних фішингових атак привернула увагу експертів з безпеки. Лише за червень втрати від відповідних атак перевищили 55 мільйонів доларів. З часом ці атаки ставали все більш інтенсивними, у серпні та вересні вони відбувалися особливо часто. У третьому кварталі 2024 року фішингові атаки стали найбільшою причиною економічних втрат, 65 атак призвели до втрат понад 243 мільйони доларів. Аналіз показує, що ці атаки, ймовірно, пов'язані з відомою командою фішингових інструментів Inferno Drainer. Ця команда оголосила про "вихід на пенсію" наприкінці 2023 року, але тепер, здається, повернулася, розпочавши низку масштабних атак.
У цій статті буде детально проаналізовано типові методи злочинної діяльності фішингових угрупувань, таких як Inferno Drainer та Nova Drainer, а також буде детально описано їхні поведінкові характеристики, щоб допомогти користувачам підвищити здатність до виявлення та запобігання фішинговим шахрайствам.
Поява Scam-as-a-Service
У світі криптовалют виникає новий тип шахрайської бізнес-моделі, відомий як Scam-as-a-Service (шахрайство як послуга). Ця модель об'єднує шахрайські інструменти та послуги, пропонуючи їх у товарній формі іншим злочинцям. Inferno Drainer є представницькою командою в цій сфері, яка з листопада 2022 року по листопад 2023 року здійснила шахрайство на суму понад 80 мільйонів доларів.
Inferno Drainer допомагає покупцям швидко розпочати атаки, надаючи готові інструменти та інфраструктуру для фішингу, включаючи фронт-енд та бек-енд фішингових сайтів, смарт-контракти та облікові записи в соціальних мережах. Фішери, які купують послуги, можуть зберігати більшу частину викрадених коштів, в той час як Inferno Drainer стягує комісію в розмірі 10%-20%. Ця модель значно знижує технічний бар'єр для шахрайства, роблячи кіберзлочини більш ефективними та масштабованими, що призводить до сплеску фішингових атак у сфері шифрування, особливо серед користувачів, які не мають обізнаності про безпеку.
Механізм роботи Scam-as-a-Service
Щоб зрозуміти, як працює Scam-as-a-Service, спочатку розглянемо типовий робочий процес децентралізованого додатку (DApp). Типовий DApp зазвичай складається з інтерфейсу користувача (наприклад, веб-сторінки або мобільного додатку) та смарт-контрактів на блокчейні. Користувач підключається до інтерфейсу DApp через блокчейн-гаманець, інтерфейс генерує відповідну блокчейн-транзакцію та надсилає її до гаманця користувача. Користувач потім підписує цю транзакцію за допомогою блокчейн-гаманця, після завершення підписання транзакція надсилається до блокчейн-мережі та викликає відповідний смарт-контракт для виконання необхідної функції.
Зловмисники, що займаються фішингом, через створення шкідливого фронтенд-інтерфейсу та смарт-контрактів, майстерно спонукають користувачів виконувати небезпечні дії. Вони зазвичай підштовхують користувачів натискати на шкідливі посилання або кнопки, вводячи в оману користувачів для підтвердження прихованих шкідливих транзакцій, а в деяких випадках, безпосередньо спонукаючи користувачів розкривати приватні ключі. Як тільки користувач підписує ці шкідливі транзакції або розкриває приватні ключі, зловмисники можуть легко перенести активи користувача на свої рахунки.
Звичайні методи фішингу включають:
Підробка відомого проекту: зловмисники ретельно імітують офіційний веб-сайт відомого проекту, створюючи на вигляд легітимний інтерфейс, що змушує користувачів помилково вважати, що вони взаємодіють з надійним проектом.
Схема з аерозольним токеном: зловмисники активно рекламують у соціальних мережах "безкоштовні аерозолі", "ранні попередні продажі", "безкоштовне створення NFT" та інші дуже привабливі можливості, спокушаючи жертв натискати на посилання та підключати свої гаманці.
Фальшиві хакерські інциденти та схеми винагород: злочинці стверджують, що певний відомий проект зазнав хакерської атаки або замороження активів, і зараз виплачують компенсації або винагороди користувачам, щоб залучити їх на фішингові сайти.
Модель Scam-as-a-Service значно знизила технологічний бар'єр для фішингових шахрайств. Раніше зловмисникам щоразу потрібно було готувати стартовий капітал на блокчейні, створювати фронтенд-сайт і смарт-контракт. Незважаючи на те, що більшість фішингових сайтів є низькоякісними, їх обслуговування та дизайн все ж вимагали певних технічних навичок. Постачальники інструментів Scam-as-a-Service, такі як Inferno Drainer, повністю усунули ці технічні бар'єри, пропонуючи послуги зі створення та хостингу фішингових сайтів для покупців, які не мають відповідних навичок, і отримуючи прибуток з шахрайських доходів.
Повернення Inferno Drainer та механізм розподілу здобичі
21 травня 2024 року Inferno Drainer опублікував на etherscan повідомлення про перевірку підпису, оголосивши про повернення, та створив новий канал Discord. Один з основних фішингових адрес, що використовуються ними, - 0x0000db5c8b030ae20308ac975898e09741e70000.
Аналізуючи транзакції за цією адресою, ми можемо зрозуміти механізм розподілу здобичі Inferno Drainer:
Inferno Drainer створює контракт за допомогою CREATE2. CREATE2 – це інструкція в віртуальній машині Ethereum, яка використовується для створення смарт-контрактів. Вона дозволяє заздалегідь обчислити адресу контракту на основі байт-коду смарт-контракту та фіксованого salt. Inferno Drainer використовує цю особливість, щоб заздалегідь обчислити адресу угоди про розподіл здобичі для покупців фішингових послуг, а потім створює контракт, коли жертва потрапляє в пастку, завершуючи передачу токенів та операції з розподілом здобичі.
Виклик створеного контракту, надаючи токени жертви адресі фішингу (покупцеві послуг Inferno Drainer) та адресі розподілу. Зловмисник за допомогою різних фішингових методів спонукає жертву ненавмисно підписати шкідливе повідомлення Permit2. Permit2 дозволяє користувачам авторизувати передачу токенів за допомогою підпису, без необхідності безпосередньо взаємодіяти з гаманцем.
Переведіть відповідну частку токенів на адресу розподілу та покупця, щоб завершити розподіл. У конкретному випадку покупець отримав 82,5% прибутку, а Inferno Drainer залишив 17,5%.
Варто відзначити, що Inferno Drainer, створюючи контракт перед розподілом здобичі, в певній мірі може обійти деякі функції захисту від фішингу гаманців, що ще більше знижує настороженість жертви. Оскільки, коли жертва схвалює шкідливу угоду, контракт навіть ще не був створений, отже, про аналіз та розслідування цієї адреси не може бути й мови.
Простi кроки для створення фішингового сайту
За допомогою Scam-as-a-Service зловмисникам стало надзвичайно просто створювати фішингові сайти:
Увійдіть до Telegram-каналу, наданого Drainer, використовуючи просту команду, щоб створити безкоштовний домен та відповідну IP-адресу.
Виберіть один з сотень шаблонів, які пропонує робот, і через кілька хвилин ви зможете створити професійний сайт-улов.
Шукати жертв. Як тільки хтось заходить на сайт і підключає гаманець для підтвердження шкідливої угоди, активи жертви будуть переведені.
Весь процес займає лише кілька хвилин, значно знижуючи витрати на злочинність та технологічний бар'єр.
Підсумок та рекомендації щодо запобігання
Повернення Inferno Drainer створює величезні загрози безпеці для користувачів шифрування. Користувачі, беручи участь у торгах шифруванням, повинні бути постійно насторожі та пам'ятати про такі моменти:
Завдяки підвищенню обізнаності про безпеку та вжиттю необхідних запобіжних заходів, користувачі можуть краще захистити себе від дедалі складніших фішингових атак.