Khám phá ngành công nghiệp lừa đảo trong thế giới mã hóa

Kể từ tháng 6 năm 2024, một loạt các cuộc tấn công lừa đảo tương tự đã thu hút sự chú ý của các chuyên gia an ninh. Chỉ trong tháng 6, thiệt hại do các cuộc tấn công liên quan đã vượt quá 55 triệu USD. Theo thời gian, các cuộc tấn công này ngày càng gia tăng, đặc biệt là vào tháng 8 và tháng 9, chúng xảy ra thường xuyên hơn. Trong quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức tấn công gây ra thiệt hại kinh tế lớn nhất, với 65 cuộc tấn công gây ra tổng thiệt hại hơn 243 triệu USD. Phân tích cho thấy, các cuộc tấn công này rất có thể liên quan đến nhóm công cụ lừa đảo nổi tiếng Inferno Drainer. Nhóm này đã tuyên bố "nghỉ hưu" vào cuối năm 2023, nhưng giờ đây dường như đã trở lại với một loạt các cuộc tấn công quy mô lớn.

Bài viết này sẽ phân tích sâu về các phương pháp phạm tội điển hình của các băng nhóm lừa đảo trực tuyến như Inferno Drainer, Nova Drainer, và trình bày chi tiết các đặc điểm hành vi của chúng, nhằm giúp người dùng nâng cao khả năng nhận diện và phòng ngừa lừa đảo trực tuyến.

Sự xuất hiện của Scam-as-a-Service

Trong thế giới mã hóa, một mô hình kinh doanh độc hại mới đang nổi lên, được gọi là Scam-as-a-Service (lừa đảo theo dịch vụ). Mô hình này đóng gói các công cụ và dịch vụ lừa đảo để cung cấp cho những kẻ tội phạm khác theo cách hàng hóa. Inferno Drainer là một trong những đội đại diện cho lĩnh vực này, trong khoảng thời gian từ tháng 11 năm 2022 đến tháng 11 năm 2023, số tiền lừa đảo của họ đã vượt qua 80 triệu USD.

Inferno Drainer giúp người mua nhanh chóng phát động tấn công bằng cách cung cấp các công cụ và cơ sở hạ tầng lừa đảo sẵn có, bao gồm cả phía trước và phía sau của trang web lừa đảo, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ lừa đảo mua dịch vụ có thể giữ lại phần lớn số tiền bất chính, trong khi Inferno Drainer thu phí hoa hồng từ 10%-20%. Mô hình này đã giảm đáng kể rào cản kỹ thuật của lừa đảo, khiến tội phạm mạng trở nên hiệu quả hơn và quy mô hơn, dẫn đến việc tấn công lừa đảo tràn lan trong ngành mã hóa, đặc biệt là những người dùng thiếu nhận thức về an ninh dễ trở thành mục tiêu tấn công hơn.

Cơ chế hoạt động của Scam-as-a-Service

Để hiểu cách hoạt động của Scam-as-a-Service, trước tiên chúng ta hãy tìm hiểu quy trình làm việc của một ứng dụng phi tập trung (DApp) điển hình. Một DApp điển hình thường bao gồm giao diện phía trước (như trang web hoặc ứng dụng di động) và hợp đồng thông minh trên blockchain. Người dùng kết nối với giao diện phía trước của DApp thông qua ví blockchain, giao diện phía trước tạo ra giao dịch blockchain tương ứng và gửi nó đến ví của người dùng. Sau đó, người dùng sử dụng ví blockchain để ký phê duyệt giao dịch này, sau khi ký xong, giao dịch được gửi đến mạng blockchain, và gọi hợp đồng thông minh tương ứng để thực hiện chức năng cần thiết.

Kẻ tấn công lừa đảo thông qua việc thiết kế giao diện người dùng và hợp đồng thông minh độc hại, khéo léo dẫn dụ người dùng thực hiện các thao tác không an toàn. Họ thường hướng dẫn người dùng nhấp vào các liên kết hoặc nút độc hại, từ đó lừa đảo người dùng phê duyệt các giao dịch độc hại ẩn mình, thậm chí trong một số trường hợp, trực tiếp lừa người dùng tiết lộ khóa riêng. Một khi người dùng ký vào các giao dịch độc hại này hoặc tiết lộ khóa riêng, kẻ tấn công có thể dễ dàng chuyển tài sản của người dùng vào tài khoản của mình.

Các phương pháp lừa đảo phổ biến bao gồm:

1. Giả mạo giao diện trước của dự án nổi tiếng: Kẻ tấn công tinh vi bắt chước trang web chính thức của các dự án nổi tiếng, tạo ra giao diện trước có vẻ hợp pháp, khiến người dùng nhầm tưởng rằng họ đang tương tác với một dự án đáng tin cậy.

2. Lừa đảo airdrop token: Kẻ tấn công quảng bá rầm rộ trên mạng xã hội về các cơ hội hấp dẫn như "airdropped miễn phí", "bán trước sớm", "đúc NFT miễn phí", dụ dỗ nạn nhân nhấp vào liên kết và kết nối ví.

3. Sự kiện hacker giả mạo và lừa đảo thưởng: Tội phạm tuyên bố rằng một dự án nổi tiếng đã bị tấn công bởi hacker hoặc tài sản bị đóng băng, đang phát bồi thường hoặc thưởng cho người dùng, từ đó thu hút người dùng đến các trang web lừa đảo.

Mô hình Scam-as-a-Service đã giảm đáng kể mức độ kỹ thuật cần thiết cho các cuộc lừa đảo lừa đảo trực tuyến. Trước đây, những kẻ tấn công cần chuẩn bị vốn khởi động trên chuỗi, tạo ra trang web frontend và hợp đồng thông minh cho mỗi cuộc tấn công, mặc dù hầu hết các trang web lừa đảo đều được làm một cách sơ sài, nhưng việc vận hành và thiết kế trang vẫn đòi hỏi một trình độ kỹ thuật nhất định. Các nhà cung cấp công cụ Scam-as-a-Service như Inferno Drainer đã hoàn toàn loại bỏ những rào cản kỹ thuật này, cung cấp dịch vụ tạo và lưu trữ trang web lừa đảo cho những người mua thiếu kỹ năng tương ứng, và trích một phần lợi nhuận từ số tiền lừa đảo.

Sự trở lại của Inferno Drainer và cơ chế phân chia chiến lợi phẩm

Vào ngày 21 tháng 5 năm 2024, Inferno Drainer đã công khai một thông điệp xác minh chữ ký trên etherscan, tuyên bố trở lại và tạo một kênh Discord mới. Một địa chỉ lừa đảo chính mà họ sử dụng là 0x0000db5c8b030ae20308ac975898e09741e70000.

Thông qua việc phân tích giao dịch của địa chỉ này, chúng ta có thể hiểu về cơ chế phân chia tài sản của Inferno Drainer:

1. Inferno Drainer tạo một hợp đồng thông qua CREATE2. CREATE2 là một lệnh trong máy ảo Ethereum, được sử dụng để tạo hợp đồng thông minh. Nó cho phép tính toán trước địa chỉ của hợp đồng dựa trên mã byte của hợp đồng thông minh và một salt cố định. Inferno Drainer tận dụng tính năng này để tính toán trước địa chỉ của hợp đồng phân chia cho người mua dịch vụ lừa đảo, và đợi cho đến khi nạn nhân mắc câu thì mới tạo hợp đồng, hoàn thành việc chuyển token và phân chia tài sản.

2. Gọi hợp đồng đã tạo, phê duyệt mã thông báo của nạn nhân cho địa chỉ lừa đảo (người mua dịch vụ Inferno Drainer) và địa chỉ chia chác. Kẻ tấn công thông qua nhiều phương thức lừa đảo, hướng dẫn nạn nhân vô tình ký kết thông điệp Permit2 độc hại. Permit2 cho phép người dùng ủy quyền chuyển nhượng mã thông báo bằng cách ký mà không cần tương tác trực tiếp với ví.

3. Chuyển các mã thông báo tương ứng đến địa chỉ chia chác và người mua, hoàn thành việc chia chác. Trong một trường hợp cụ thể, người mua đã nhận được 82,5% số tiền ăn cắp, trong khi Inferno Drainer giữ lại 17,5%.

Cần lưu ý rằng, Inferno Drainer có khả năng lách một phần các chức năng chống lừa đảo của ví bằng cách tạo hợp đồng trước khi phân chia tài sản, từ đó giảm bớt sự cảnh giác của nạn nhân. Bởi vì khi nạn nhân phê duyệt giao dịch độc hại, hợp đồng đó thậm chí còn chưa được tạo ra, việc phân tích và điều tra địa chỉ đó cũng không thể thực hiện được.

Các bước đơn giản để tạo ra một trang web lừa đảo

Với sự trợ giúp của Scam-as-a-Service, kẻ tấn công dễ dàng tạo ra các trang web lừa đảo.

1. Vào kênh Telegram do Drainer cung cấp, chỉ với một lệnh đơn giản bạn có thể tạo tên miền miễn phí và địa chỉ IP tương ứng.

2. Chọn một mẫu từ hàng trăm mẫu mà robot cung cấp, chỉ sau vài phút bạn có thể tạo ra một trang web lừa đảo trông có vẻ chuyên nghiệp.

3. Tìm kiếm nạn nhân. Khi có ai đó truy cập vào trang web và kết nối ví để phê duyệt giao dịch độc hại, tài sản của nạn nhân sẽ bị chuyển đi.

Toàn bộ quá trình chỉ mất vài phút, giảm đáng kể chi phí tội phạm và rào cản kỹ thuật.

Tóm tắt và đề xuất phòng ngừa

Sự trở lại của Inferno Drainer mang đến những rủi ro lớn về an ninh cho người dùng mã hóa. Người dùng khi tham gia giao dịch mã hóa cần luôn cảnh giác và nhớ những điểm sau đây:

• Đừng tin vào bất kỳ quảng cáo nào về việc "trời rơi bánh ngọt", chẳng hạn như các airdrop miễn phí nghi ngờ, bồi thường, chỉ tin tưởng vào trang web chính thức hoặc các dự án đã được kiểm toán chuyên nghiệp.
• Trước khi kết nối ví, hãy kiểm tra kỹ URL và cẩn trọng với các trang web giả mạo các dự án nổi tiếng. Bạn có thể sử dụng công cụ tra cứu tên miền WHOIS để xem thời gian đăng ký website, các trang web có thời gian đăng ký quá ngắn rất có thể là dự án lừa đảo.
• Đừng gửi cụm từ hạt giống, khóa riêng cho bất kỳ trang web hoặc ứng dụng nào đáng ngờ. Trước khi ví yêu cầu ký thông điệp hoặc phê duyệt giao dịch, hãy kiểm tra kỹ xem có các thao tác như Permit hoặc Approve có thể dẫn đến mất mát tài sản hay không.
• Chú ý đến thông tin cảnh báo an ninh. Nếu phát hiện đã vô tình ủy quyền token cho địa chỉ lừa đảo, hãy nhanh chóng thu hồi quyền ủy quyền hoặc chuyển tài sản còn lại sang địa chỉ an toàn khác.

Bằng cách nâng cao nhận thức về an ninh và thực hiện các biện pháp phòng ngừa cần thiết, người dùng có thể bảo vệ bản thân tốt hơn khỏi những cuộc tấn công lừa đảo ngày càng phức tạp.