Раскрытие индустриализации фишинг-атак в мире шифрования

С июня 2024 года ряд подобных фишинговых атак привлек внимание специалистов по безопасности. Только в июне убытки от связанных атак превысили 55 миллионов долларов. С течением времени такие атаки становились всё более частыми, и в августе и сентябре они происходили особенно часто. В третьем квартале 2024 года фишинг стал самым значительным источником экономических потерь, 65 атак вызвали убытки более 243 миллионов долларов. Анализ показывает, что эти атаки, вероятно, связаны с печально известной группой инструментов для фишинга Inferno Drainer. Эта группа объявила о "выходе на пенсию" в конце 2023 года, но, похоже, сейчас она вернулась и начала серию масштабных атак.

В данной статье будет подробно проанализировано типичное поведение групп мошенников, таких как Inferno Drainer и Nova Drainer, с детальным описанием их характеристик, чтобы помочь пользователям улучшить свои способности к распознаванию и предотвращению сетевых мошенничеств.

Появление Scam-as-a-Service

В мире криптовалют возникает новая форма мошеннической бизнес-модели, называемая Scam-as-a-Service (мошенничество как услуга). Эта модель упаковывает инструменты и услуги мошенничества и предлагает их другим преступникам в виде товара. Inferno Drainer является представительской командой в этой области, и в период с ноября 2022 года по ноябрь 2023 года их мошеннические действия составили более 80 миллионов долларов.

Inferno Drainer помогает покупателям быстро инициировать атаки, предоставляя готовые инструменты и инфраструктуру для фишинга, включая фронтенд и бэкенд фишинговых сайтов, смарт-контракты и учетные записи в социальных сетях. Фишеры, покупающие услуги, могут оставить большую часть похищенных средств, а Inferno Drainer взимает комиссию в размере 10%-20%. Эта модель значительно снижает технический барьер для мошенничества, делая киберпреступность более эффективной и масштабируемой, что приводит к распространению фишинг-атак в индустрии шифрования, особенно среди пользователей, не обладающих достаточной безопасностью.

Механизм работы Scam-as-a-Service

Чтобы понять, как работает Scam-as-a-Service, давайте сначала разберем типичный рабочий процесс децентрализованного приложения (DApp). Типичный DApp обычно состоит из фронтального интерфейса (например, веб-страницы или мобильного приложения) и смарт-контрактов на блокчейне. Пользователи подключаются к фронтальному интерфейсу DApp через блокчейн-кошелек, фронтальная страница генерирует соответствующую блокчейн-транзакцию и отправляет ее в кошелек пользователя. Затем пользователь подписывает и одобряет эту транзакцию с помощью блокчейн-кошелька, после завершения подписания транзакция отправляется в блокчейн-сеть и вызывается соответствующий смарт-контракт для выполнения необходимых функций.

Атакующие с помощью фишинга, разрабатывая вредоносные интерфейсы и смарт-контракты, искусно манипулируют пользователями, заставляя их выполнять небезопасные операции. Обычно они направляют пользователей на нажатие вредоносных ссылок или кнопок, обманывая их, чтобы те одобрили скрытые вредоносные транзакции, а в некоторых случаях даже заставляют пользователей раскрывать свои приватные ключи. Как только пользователь подписывает эти вредоносные транзакции или раскрывает приватные ключи, атакующий может легко перевести активы пользователя на свой счет.

Распространенные методы фишинга включают:

1. Подделка известных проектов: злоумышленники тщательно имитируют официальные сайты известных проектов, создавая, казалось бы, легитимные интерфейсы, заставляя пользователей ошибочно полагать, что они взаимодействуют с доверенными проектами.

2. Мошенничество с дропами токенов: злоумышленники активно рекламируют в социальных сетях такие заманчивые возможности, как "бесплатные дропы", "ранние предпродажи", "бесплатная чеканка NFT", чтобы заманить жертв кликнуть по ссылке и подключить кошелек.

3. Ложные хакерские инциденты и схемы вознаграждений: преступники утверждают, что известный проект подвергся хакерской атаке или замораживанию активов, и сейчас выплачивают пользователям компенсации или вознаграждения, чтобы привлечь их на фишинговые сайты.

Модель Scam-as-a-Service значительно снизила технический порог для фишинговых атак. Ранее злоумышленникам приходилось каждый раз готовить стартовый капитал на блокчейне, создавать фронтенд-сайты и смарт-контракты. Хотя большинство фишинговых сайтов сделаны кустарным способом, их обслуживание и дизайн страниц все же требуют определенных технических навыков. Поставщики инструментов Scam-as-a-Service, такие как Inferno Drainer, полностью устранили эти технические барьеры, предлагая услуги по созданию и хостингу фишинговых сайтов для покупателей, которым не хватает соответствующих навыков, и извлекая прибыль из доходов от мошенничества.

Возвращение Inferno Drainer и механизм дележа добычи

21 мая 2024 года Inferno Drainer опубликовал сообщение о проверке подписи на etherscan, объявив о своем возвращении, и создал новый канал в Discord. Один из основных фишинговых адресов, который они использовали, это 0x0000db5c8b030ae20308ac975898e09741e70000.

Анализируя транзакции этого адреса, мы можем понять механизм распределения добычи Inferno Drainer:

1. Inferno Drainer создает контракт через CREATE2. CREATE2 - это команда в виртуальной машине Ethereum, предназначенная для создания смарт-контрактов. Она позволяет заранее вычислить адрес контракта на основе байт-кода смарт-контракта и фиксированного salt. Inferno Drainer использует эту особенность, чтобы заранее вычислить адрес контракта о распределении добычи для покупателей фишинговых услуг, а затем, когда жертва попадается, создать контракт, завершив операцию передачи токенов и распределения добычи.

2. Вызов созданного контракта, одобрение токенов жертвы для фишингового адреса (покупателя сервиса Inferno Drainer) и адреса раздела добычи. Нападающий с помощью различных фишинговых методов направляет жертву на подписание вредоносного сообщения Permit2. Permit2 позволяет пользователям авторизовать перевод токенов через подпись, не взаимодействуя напрямую с кошельком.

3. Переведите соответствующее количество токенов на адрес для распределения и покупателю, завершив распределение. В конкретном случае покупатель получил 82,5% украденных средств, в то время как Inferno Drainer оставил 17,5%.

Стоит отметить, что Inferno Drainer, создавая контракты до распределения добычи, в определенной степени может обойти некоторые функции противодействия фишингу в кошельках, что дополнительно снижает бдительность жертвы. Поскольку в момент одобрения жертвой злонамеренной сделки этот контракт даже еще не был создан, анализ и расследование данного адреса становятся невозможными.

Простой шаги по созданию фишингового сайта

С помощью Scam-as-a-Service злоумышленникам стало необычайно просто создавать фишинговые сайты:

1. Войдите в Telegram-канал, предоставленный Drainer, и с помощью простой команды вы сможете создать бесплатное доменное имя и соответствующий IP-адрес.

2. Выберите один из сотен шаблонов, предоставленных роботом, и через несколько минут вы сможете сгенерировать сайт-уловку, который выглядит профессионально.

3. Поиск жертв. Как только кто-то заходит на сайт и подключает кошелек для одобрения злонамеренной сделки, активы жертвы будут переведены.

Весь процесс занимает всего несколько минут, что значительно снижает затраты на преступление и технический порог.

Резюме и рекомендации по предотвращению

Возвращение Inferno Drainer представляет собой огромную угрозу безопасности для пользователей шифрования. Пользователи, участвующие в сделках с шифрованием, должны постоянно быть настороже и помнить о следующих моментах:

• Не верьте никакой рекламе в стиле "пироги с неба", такой как подозрительные бесплатные раздачи или компенсации, доверяйте только официальным сайтам или проектам, прошедшим профессиональный аудит.
• Тщательно проверяйте URL перед подключением кошелька, будьте осторожны с сайтами, имитирующими известные проекты. Вы можете использовать инструмент WHOIS для проверки даты регистрации домена, сайты с коротким сроком регистрации, вероятно, являются мошенническими проектами.
• Не передавайте свои мнемонические фразы или приватные ключи на какие-либо подозрительные сайты или приложения. Перед тем как кошелек запросит подписать сообщение или подтвердить транзакцию, внимательно проверьте, не связаны ли это с операциями, такими как Permit или Approve, которые могут привести к потере средств.
• Обратите внимание на информацию о предупреждении безопасности. Если вы случайно предоставили токены мошенническому адресу, немедленно отмените авторизацию или переместите оставшиеся активы на другой безопасный адрес.

Повышая осведомленность о безопасности и принимая необходимые меры предосторожности, пользователи могут лучше защитить себя от все более сложных атак фишинга.