Mengungkap Industrialisasi Serangan Phishing di Dunia Enkripsi

Sejak Juni 2024, serangkaian serangan phishing serupa telah menarik perhatian para ahli keamanan. Hanya dalam bulan Juni, kerugian akibat serangan terkait telah melebihi 55 juta dolar. Seiring berjalannya waktu, serangan semacam ini semakin meningkat, dan pada bulan Agustus dan September, terjadi lebih sering. Pada kuartal ketiga tahun 2024, serangan phishing telah menjadi metode serangan yang menyebabkan kerugian ekonomi terbesar, dengan 65 tindakan serangan yang menyebabkan kerugian lebih dari 243 juta dolar. Analisis menunjukkan bahwa serangan ini kemungkinan besar terkait dengan tim alat phishing yang terkenal, Inferno Drainer. Tim tersebut pernah mengumumkan "pensiun" pada akhir 2023, tetapi sekarang tampaknya kembali dengan meluncurkan serangkaian serangan besar-besaran.

Artikel ini akan menganalisis secara mendalam metode khas yang digunakan oleh kelompok phishing seperti Inferno Drainer, Nova Drainer, serta menjelaskan karakteristik perilaku mereka secara rinci untuk membantu pengguna meningkatkan kemampuan mereka dalam mengenali dan mencegah penipuan phishing.

Munculnya Scam-as-a-Service

Di dunia cryptocurrency, sebuah model bisnis jahat yang baru sedang muncul, yang dikenal sebagai Scam-as-a-Service. Model ini mengemas alat dan layanan penipuan dan menawarkan mereka kepada pelanggar hukum lainnya dengan cara yang terkomodifikasi. Inferno Drainer adalah tim perwakilan di bidang ini, yang pada periode November 2022 hingga November 2023, jumlah penipuannya melebihi 80 juta dolar.

Inferno Drainer membantu pembeli dengan menyediakan alat dan infrastruktur memancing yang siap pakai, termasuk front-end dan back-end situs phishing, kontrak pintar, serta akun media sosial, sehingga mereka dapat dengan cepat mel发起 serangan. Penipu yang membeli layanan dapat mempertahankan sebagian besar hasil curian, sementara Inferno Drainer mengenakan komisi sebesar 10%-20%. Model ini sangat menurunkan ambang teknis untuk penipuan, membuat kejahatan siber menjadi lebih efisien dan terukur, menyebabkan serangan phishing merajalela di industri enkripsi, terutama pengguna yang kurang sadar keamanan menjadi sasaran serangan yang lebih mudah.

Mekanisme Operasi Scam-as-a-Service

Untuk memahami cara kerja Scam-as-a-Service, mari kita mulai dengan memahami alur kerja aplikasi terdesentralisasi (DApp) yang khas. DApp yang khas biasanya terdiri dari antarmuka depan (seperti halaman web atau aplikasi seluler) dan kontrak pintar di blockchain. Pengguna terhubung ke antarmuka depan DApp melalui dompet blockchain, halaman depan menghasilkan transaksi blockchain yang sesuai dan mengirimkannya ke dompet pengguna. Pengguna kemudian menggunakan dompet blockchain untuk menandatangani dan menyetujui transaksi ini, setelah penandatanganan selesai, transaksi dikirim ke jaringan blockchain dan memanggil kontrak pintar yang sesuai untuk menjalankan fungsi yang diperlukan.

Pelaku serangan phishing dengan cerdik mendesain antarmuka depan dan kontrak pintar yang berbahaya untuk mengarahkan pengguna melakukan tindakan yang tidak aman. Mereka biasanya mengarahkan pengguna untuk mengklik tautan atau tombol berbahaya, sehingga menipu pengguna untuk menyetujui transaksi berbahaya yang tersembunyi, bahkan dalam beberapa kasus, secara langsung menipu pengguna untuk mengungkapkan kunci pribadi mereka. Begitu pengguna menandatangani transaksi berbahaya ini atau mengungkapkan kunci pribadi, pelaku dapat dengan mudah memindahkan aset pengguna ke akun mereka sendiri.

Metode phishing yang umum termasuk:

1. Frontend proyek terkenal palsu: Penyerang dengan cermat meniru situs web resmi proyek terkenal, menciptakan antarmuka frontend yang tampak sah, sehingga pengguna salah mengira sedang berinteraksi dengan proyek tepercaya.

2. Penipuan Airdrop Token: Penyerang secara besar-besaran mempromosikan "airdrop gratis", "presale awal", "mint NFT gratis" dan peluang menarik lainnya di media sosial, menggoda korban untuk mengklik tautan dan menghubungkan dompet.

3. Insiden peretasan palsu dan penipuan hadiah: Penjahat mengklaim bahwa suatu proyek terkenal telah mengalami serangan peretasan atau pembekuan aset, dan sedang memberikan kompensasi atau hadiah kepada pengguna, untuk menarik pengguna ke situs phishing.

Model Scam-as-a-Service secara signifikan mengurangi ambang teknis untuk penipuan phishing. Sebelumnya, penyerang perlu menyiapkan modal awal di blockchain, membuat situs web frontend dan kontrak pintar untuk setiap serangan, meskipun sebagian besar situs phishing dibuat dengan buruk, pemeliharaan situs dan desain halaman tetap memerlukan kemampuan teknis tertentu. Penyedia alat Scam-as-a-Service seperti Inferno Drainer sepenuhnya menghilangkan hambatan teknis ini, menyediakan layanan untuk pembeli yang kekurangan keterampilan yang sesuai dalam membuat dan menghosting situs web phishing, dan mengambil keuntungan dari hasil penipuan.

Kembalinya Inferno Drainer dan Mekanisme Pembagian Hasil

Pada 21 Mei 2024, Inferno Drainer mempublikasikan pesan verifikasi tanda tangan di etherscan yang mengumumkan kembali, dan membuat saluran Discord baru. Salah satu alamat phishing utama yang mereka gunakan adalah 0x0000db5c8b030ae20308ac975898e09741e70000.

Dengan menganalisis transaksi dari alamat tersebut, kita dapat memahami mekanisme pembagian hasil dari Inferno Drainer:

1. Inferno Drainer membuat kontrak menggunakan CREATE2. CREATE2 adalah instruksi dalam mesin virtual Ethereum yang digunakan untuk membuat kontrak pintar. Ini memungkinkan alamat kontrak dihitung sebelumnya berdasarkan bytecode kontrak pintar dan salt tetap. Inferno Drainer memanfaatkan fitur ini untuk menghitung alamat kontrak pembagian hasil sebelumnya untuk pembeli layanan phishing, dan setelah korban terjebak, kontrak dibuat untuk menyelesaikan transfer token dan operasi pembagian hasil.

2. Memanggil kontrak yang telah dibuat, memberikan persetujuan token korban kepada alamat phishing (pembeli layanan Inferno Drainer) dan alamat bagi hasil. Penyerang menggunakan berbagai metode phishing untuk mengarahkan korban agar tanpa sadar menandatangani pesan Permit2 yang berbahaya. Permit2 memungkinkan pengguna untuk memberi otorisasi transfer token melalui tanda tangan, tanpa perlu berinteraksi langsung dengan dompet.

3. Transfer token dalam proporsi yang sesuai ke alamat distribusi hasil dan pembeli, selesaikan distribusi hasil. Dalam satu kasus konkret, pembeli menerima 82,5% dari hasil curian, sementara Inferno Drainer menyimpan 17,5%.

Perlu dicatat bahwa Inferno Drainer dapat menghindari beberapa fungsi anti-phishing dompet dengan cara membuat kontrak sebelum membagi hasil, sehingga dapat mengurangi kewaspadaan korban. Karena saat korban menyetujui transaksi jahat, kontrak tersebut bahkan belum dibuat, sehingga analisis dan penyelidikan terhadap alamat tersebut tidak mungkin dilakukan.

Langkah-langkah sederhana untuk membuat situs phishing

Dengan bantuan Scam-as-a-Service, penyerang dapat dengan mudah membuat situs phishing:

1. Masuk ke saluran Telegram yang disediakan oleh Drainer, gunakan satu perintah sederhana untuk membuat domain gratis dan alamat IP yang sesuai.

2. Pilih salah satu dari ratusan template yang disediakan oleh robot, dalam beberapa menit Anda dapat menghasilkan situs web phishing yang terlihat profesional.

3. Mencari korban. Begitu seseorang masuk ke situs web dan menghubungkan dompet untuk menyetujui transaksi jahat, aset korban akan dipindahkan.

Seluruh proses hanya memerlukan beberapa menit, yang secara signifikan mengurangi biaya kejahatan dan ambang teknologi.

Ringkasan dan Saran Pencegahan

Kembalinya Inferno Drainer membawa risiko keamanan besar bagi pengguna enkripsi. Pengguna yang terlibat dalam perdagangan enkripsi perlu selalu waspada dan mengingat hal-hal berikut:

• Jangan percaya pada segala bentuk promosi "uang jatuh dari langit", seperti airdrop gratis yang mencurigakan atau kompensasi, hanya percayalah pada situs resmi atau proyek yang telah menjalani layanan audit profesional.
• Periksa URL dengan cermat sebelum menghubungkan dompet, waspada terhadap situs yang meniru proyek terkenal. Anda dapat menggunakan alat pencari nama domain WHOIS untuk memeriksa tanggal pendaftaran situs, situs yang terdaftar dalam waktu yang terlalu singkat kemungkinan besar adalah proyek penipuan.
• Jangan mengirimkan frasa pemulihan atau kunci pribadi ke situs atau aplikasi yang mencurigakan. Sebelum dompet meminta untuk menandatangani pesan atau menyetujui transaksi, periksa dengan cermat apakah ada operasi yang melibatkan Permit atau Approve yang dapat menyebabkan kehilangan dana.
• Perhatikan informasi peringatan keamanan. Jika Anda tidak sengaja memberikan otorisasi token ke alamat penipuan, segera cabut otorisasi atau pindahkan sisa aset ke alamat aman lainnya.

Dengan meningkatkan kesadaran keamanan dan mengambil langkah pencegahan yang diperlukan, pengguna dapat lebih baik melindungi diri mereka dari serangan phishing yang semakin kompleks.