Şifreleme dünyasındaki phishing saldırıları sanayileşmesi

2024 yılının Haziran ayından itibaren, bir dizi benzer kimlik avı saldırısı güvenlik uzmanlarının dikkatini çekti. Sadece Haziran ayında, ilgili saldırıların neden olduğu kayıplar 55 milyon doları aştı. Zamanla bu tür saldırılar arttı ve Ağustos ile Eylül aylarında daha da sık gerçekleşti. 2024 yılının üçüncü çeyreğinde, kimlik avı saldırıları en büyük ekonomik kayıplara neden olan saldırı yöntemi haline geldi; 65 saldırı eylemi toplamda 243 milyon dolardan fazla kayba yol açtı. Analizler, bu saldırıların muhtemelen kötü şöhretli kimlik avı aracı ekibi Inferno Drainer ile ilgili olduğunu gösteriyor. Bu ekip, 2023 yılının sonunda "emekli" olduğunu duyurmuştu, ancak şimdi yeniden ortaya çıkmış gibi görünüyor ve bir dizi büyük ölçekli saldırı başlattı.

Bu makale, Inferno Drainer, Nova Drainer gibi siber dolandırıcılık çetelerinin tipik yöntemlerini derinlemesine analiz edecek, davranış özelliklerini detaylı bir şekilde tanıtacak ve kullanıcıların siber dolandırıcılık tanıma ve önleme yeteneklerini artırmalarına yardımcı olacaktır.

Scam-as-a-Service'in Ortaya Çıkışı

Kripto para dünyasında, Scam-as-a-Service (Hizmet Olarak Dolandırıcılık) olarak adlandırılan yeni bir kötü niyetli iş modeli ortaya çıkıyor. Bu model, dolandırıcılık araçlarını ve hizmetlerini paketleyerek diğer suçlulara ticari bir şekilde sunuyor. Inferno Drainer, bu alandaki temsilci ekiplerden biridir ve 2022 Kasım'dan 2023 Kasım'a kadar dolandırıcılık miktarı 80 milyon doları aşmıştır.

Inferno Drainer, alıcılara hazır oltalama araçları ve altyapısı sunarak, oltalama web sitelerinin ön ve arka uçları, akıllı sözleşmeler ve sosyal medya hesapları dahil olmak üzere, saldırıları hızlı bir şekilde başlatmalarına yardımcı olmaktadır. Hizmet satın alan oltalama yapanlar, büyük çoğunluğunu çaldıkları paranın saklayabilirken, Inferno Drainer %10-%20 komisyon almaktadır. Bu model, dolandırıcılığın teknik engelini büyük ölçüde düşürmekte, siber suçları daha verimli ve ölçeklenebilir hale getirmekte, özellikle güvenlik bilinci düşük kullanıcıların daha kolay hedef haline gelmesine yol açmaktadır.

Scam-as-a-Service'in işletim mekanizması

Scam-as-a-Service'in çalışma şeklini anlamak için önce tipik bir merkeziyetsiz uygulamanın (DApp) iş akışını inceleyelim. Tipik bir DApp genellikle bir ön uç arayüzü (örneğin, web sayfası veya mobil uygulama) ve blok zincirindeki akıllı sözleşmelerden oluşur. Kullanıcı, blok zinciri cüzdanı aracılığıyla DApp'in ön uç arayüzüne bağlanır, ön uç sayfası ilgili blok zinciri işlemini oluşturur ve bunu kullanıcının cüzdanına gönderir. Kullanıcı, blok zinciri cüzdanını kullanarak bu işlemi imzalar ve onaylar, imza tamamlandığında işlem blok zinciri ağına gönderilir ve gerekli işlevi yerine getirmek için ilgili akıllı sözleşme çağrılır.

Balık avı saldırganları, kötü niyetli bir ön yüz arayüzü ve akıllı sözleşmeler tasarlayarak, kullanıcıları güvensiz işlemler gerçekleştirmeye ince bir şekilde yönlendirir. Genellikle, kullanıcıları kötü niyetli bağlantılara veya düğmelere tıklamaya yönlendirerek, kullanıcıları gizli kötü niyetli işlemleri onaylamaya kandırırlar; bazı durumlarda, doğrudan kullanıcıların özel anahtarlarını ifşa etmelerini sağlamak için kandırırlar. Kullanıcı bu kötü niyetli işlemleri imzaladığında veya özel anahtarlarını ifşa ettiğinde, saldırganlar kullanıcıların varlıklarını kolayca kendi hesaplarına aktarabilir.

Yaygın oltalama yöntemleri şunlardır:

1. Tanınmış projelerin sahte ön yüzü: Saldırganlar, tanınmış projelerin resmi web sitelerini titizlikle taklit ederek, kullanıcıların güvenilir projelerle etkileşimde bulunduklarını sanmalarını sağlayan, yasal gibi görünen ön yüzler oluştururlar.

2. Token airdrop dolandırıcılığı: Saldırganlar sosyal medyada "ücretsiz airdrop", "erken ön satış", "ücretsiz NFT mintleme" gibi son derece çekici fırsatları büyük bir şekilde tanıtarak, mağdurları bağlantılara tıklamaya ve cüzdanlarını bağlamaya teşvik ediyor.

3. Sahte hacker olayları ve ödül dolandırıcılığı: Suçlular, tanınmış bir projenin hacker saldırısına uğradığını veya varlıklarının dondurulduğunu iddia ederek, kullanıcıları tazminat veya ödül dağıttıklarına inandırarak, kullanıcıları oltalama sitelerine yönlendirmeye çalışıyor.

Scam-as-a-Service modeli, oltalama dolandırıcılığının teknik engellerini büyük ölçüde azaltmıştır. Daha önce, saldırganların her saldırı gerçekleştirmeden önce zincir üstü başlangıç fonu hazırlaması, ön yüz web sitesi ve akıllı sözleşme oluşturması gerekiyordu. Çoğu oltalama web sitesi kalitesiz olsa da, web sitesinin işletilmesi ve sayfa tasarımı yine de belirli bir teknik bilgi gerektiriyordu. Inferno Drainer gibi Scam-as-a-Service araç sağlayıcıları bu teknik engelleri tamamen ortadan kaldırarak, ilgili becerilerden yoksun alıcılara oltalama web siteleri oluşturma ve barındırma hizmeti sunmakta ve dolandırıcılıktan elde edilen gelirden pay almaktadır.

Inferno Drainer'ın geri dönüşü ve paylaştırma mekanizması

2024 yılının 21 Mayısında, Inferno Drainer etherscan'da bir imza doğrulama mesajı yayınlayarak geri döndüğünü duyurdu ve yeni bir Discord kanalı oluşturdu. Kullandıkları ana oltalama adreslerinden biri 0x0000db5c8b030ae20308ac975898e09741e70000.

Bu adresin işlemlerini analiz ederek Inferno Drainer'ın paylaşım mekanizmasını anlayabiliriz:

1. Inferno Drainer, CREATE2 ile bir sözleşme oluşturur. CREATE2, akıllı sözleşmeler oluşturmak için kullanılan Ethereum sanal makinesindeki bir komuttur. Akıllı sözleşme byte kodu ve sabit bir salt kullanarak sözleşmenin adresini önceden hesaplamaya olanak tanır. Inferno Drainer, bu özelliği kullanarak dolandırıcılık hizmetinin alıcıları için yağma sözleşmesinin adresini önceden hesaplar, kurban oltaya düştüğünde sözleşmeyi oluşturur ve token transferi ile yağma işlemini tamamlar.

2. Oluşturulan sözleşmeyi çağırarak, mağdurun token'ını oltalama adresine (Inferno Drainer hizmetinin alıcısı) ve yağma adresine onaylayın. Saldırgan, çeşitli oltalama yöntemleriyle mağduru kötü niyetli Permit2 mesajını istemeden imzalamaya yönlendiriyor. Permit2, kullanıcının imza ile token transferini yetkilendirmesine olanak tanır, cüzdan ile doğrudan etkileşimde bulunulmasına gerek kalmadan.

3. Paylaşım adresine ve alıcıya ilgili oranda token transfer edin, paylaşımı tamamlayın. Bir somut örnekte, alıcı %82.5'lik bir pay aldı, Inferno Drainer ise %17.5'ini sakladı.

Dikkate değer olan, Inferno Drainer'ın ganimeti paylaşmadan önce sözleşme oluşturma yöntemiyle, belirli bir ölçüde bazı cüzdanların anti-phishing işlevlerini aşabilmesidir; bu da kurbanların dikkatini daha da azaltmaktadır. Çünkü kurbanlar kötü niyetli işlemi onayladıklarında, o sözleşme henüz oluşturulmamış oluyordu; bu nedenle o adrese yönelik analiz ve soruşturma yapmak da imkansız hale geliyordu.

Basit Bir Phishing Sitesi Oluşturma Adımları

Scam-as-a-Service'ın yardımıyla, saldırganların phishing siteleri oluşturması son derece basit hale geliyor:

1. Drainer tarafından sağlanan Telegram kanalına girin, basit bir komut kullanarak ücretsiz alan adı ve ilgili IP adresi oluşturabilirsiniz.

2. Robotun sunduğu yüzlerce şablondan birini seçin, birkaç dakika içinde profesyonel görünümlü bir oltalama sitesi oluşturabilirsiniz.

3. Kurbanları bulmak. Birisi web sitesine girip cüzdanını kötü niyetli işlemleri onaylamak için bağladığında, kurbanın varlıkları transfer edilir.

Tüm süreç sadece birkaç dakika sürüyor, suç maliyetlerini ve teknik engelleri büyük ölçüde azaltıyor.

Özet ve Önleme Önerileri

Inferno Drainer'ın geri dönüşü, şifreleme kullanıcıları için büyük bir güvenlik tehdidi oluşturdu. Kullanıcılar, şifreleme ticaretine katılırken her zaman dikkatli olmalı ve aşağıdaki noktaları unutmamalıdır:

• Herhangi bir "gökten düşen börek" tanıtımına, şüpheli ücretsiz airdrop'lara veya tazminatlara inanmamalısınız, yalnızca resmi web sitelerine veya profesyonel denetim hizmeti almış projelere güvenin.
• Cüzdanı bağlamadan önce URL'yi dikkatlice kontrol edin, tanınmış projelerin web sitelerine benzer olanlara dikkat edin. Web sitesinin kayıt tarihini görmek için WHOIS alan adı sorgulama aracını kullanabilirsiniz, kayıt tarihi çok kısa olan web siteleri dolandırıcılık projeleri olabilir.
• Şüpheli web sitelerine veya uygulamalara kurtarma kelimelerinizi, özel anahtarınızı göndermeyin. Cüzdan, mesajı imzalamak veya işlemi onaylamak için izin veya onay gibi bir işlem gerektirip gerektirmediğini dikkatlice kontrol edin, bu durum fon kaybına yol açabilir.
• Güvenlik uyarı bilgilerine dikkat edin. Eğer yanlışlıkla bir dolandırıcılık adresine token yetkisi verdiyseniz, yetkiyi derhal geri alın veya kalan varlıkları başka bir güvenli adrese aktarın.

Kullanıcılar, güvenlik farkındalığını artırarak ve gerekli önlemleri alarak, giderek karmaşıklaşan oltalama saldırılarından kendilerini daha iyi koruyabilirler.