揭秘加密世界中的钓鱼攻击产业化

2024年6月以来，一系列类似的钓鱼攻击事件引起了安全专家的注意。仅6月一个月，相关攻击造成的损失就超过5500万美元。随着时间推移，这类攻击愈演愈烈，到了8、9月份更是频繁发生。在2024年第三季度，钓鱼攻击已成为造成最大经济损失的攻击手段，65次攻击行动共造成超过2.43亿美元的损失。分析显示，这些攻击很可能与臭名昭著的钓鱼工具团队Inferno Drainer有关。该团队曾在2023年底宣布"退休"，但如今似乎卷土重来，发起了一系列大规模攻击。

本文将深入分析Inferno Drainer、Nova Drainer等网络钓鱼团伙的典型作案手法，详细介绍其行为特征，以帮助用户提高对网络钓鱼诈骗的识别和防范能力。

Scam-as-a-Service的出现

在加密货币世界中，一种新型的恶意商业模式正在兴起，称为Scam-as-a-Service（诈骗即服务）。这一模式将诈骗工具和服务打包，以商品化的方式提供给其他犯罪分子。Inferno Drainer就是这一领域的代表性团队，在2022年11月至2023年11月期间，其诈骗金额超过8000万美元。

Inferno Drainer通过向买家提供现成的钓鱼工具和基础设施，包括钓鱼网站前后端、智能合约以及社交媒体账户，帮助他们快速发起攻击。购买服务的钓鱼者可保留大部分赃款，而Inferno Drainer则收取10%-20%的佣金。这一模式大大降低了诈骗的技术门槛，使网络犯罪变得更加高效和规模化，导致钓鱼攻击在加密行业内泛滥，尤其是那些缺乏安全意识的用户更容易成为攻击目标。

Scam-as-a-Service的运作机制

为了理解Scam-as-a-Service的运作方式，我们先来了解一下典型的去中心化应用（DApp）的工作流程。一个典型的DApp通常由前端界面（如Web页面或移动应用）和区块链上的智能合约组成。用户通过区块链钱包连接到DApp的前端界面，前端页面生成相应的区块链交易，并将其发送至用户的钱包。用户随后使用区块链钱包对这笔交易进行签名批准，签名完成后，交易被发送至区块链网络，并调用相应的智能合约执行所需的功能。

钓鱼攻击者通过设计恶意的前端界面和智能合约，巧妙地诱导用户执行不安全的操作。他们通常引导用户点击恶意链接或按钮，从而欺骗用户批准隐藏的恶意交易，甚至在某些情况下，直接诱骗用户泄露私钥。一旦用户签署了这些恶意交易或暴露了私钥，攻击者就能轻松地将用户的资产转移到自己的账户中。

常见的钓鱼手段包括：

1. 伪造知名项目前端：攻击者精心模仿知名项目的官方网站，创建看似合法的前端界面，让用户误以为正在与可信任的项目交互。

2. 代币空投骗局：攻击者在社交媒体上大肆宣传"免费空投"、"早期预售"、"免费铸造NFT"等吸引力极大的机会，引诱受害者点击链接并连接钱包。

3. 虚假黑客事件与奖励骗局：犯罪分子宣称某知名项目遭遇黑客攻击或资产冻结，正在向用户发放补偿或奖励，以此吸引用户前往钓鱼网站。

Scam-as-a-Service模式极大地降低了钓鱼诈骗的技术门槛。在此之前，攻击者每次进行攻击都需要准备链上启动资金、创建前端网站和智能合约，尽管大多数钓鱼网站都是粗制滥造的，但网站的运维和页面设计仍需要一定的技术能力。Inferno Drainer等Scam-as-a-Service工具提供者完全消除了这些技术障碍，为缺乏相应技能的买家提供了创建和托管钓鱼网站的服务，并从诈骗所得中抽取利润。

Inferno Drainer的回归与分赃机制

2024年5月21日，Inferno Drainer在etherscan上公开了一条签名验证消息，宣告回归，并创建了新的Discord频道。他们使用的一个主要钓鱼地址是0x0000db5c8b030ae20308ac975898e09741e70000。

通过分析该地址的交易，我们可以了解Inferno Drainer的分赃机制：

1. Inferno Drainer通过CREATE2创建一个合约。CREATE2是以太坊虚拟机中的一条指令，用来创建智能合约。它允许根据智能合约字节码和固定的salt提前计算出合约的地址。Inferno Drainer利用这一特性，为钓鱼服务的买家预先计算出分赃合约的地址，等到受害者上钩后再创建合约，完成代币转移和分赃操作。

2. 调用创建的合约，将受害人的代币批准给钓鱼地址（Inferno Drainer服务的买家）和分赃地址。攻击者通过各种钓鱼手段，引导受害者无意中签署了恶意的Permit2消息。Permit2允许用户通过签名授权代币的转移，而不需要直接与钱包进行互动。

3. 向分赃地址和买家转入相应比例的代币，完成分赃。在一个具体案例中，买家获得了82.5%的赃款，而Inferno Drainer保留了17.5%。

值得注意的是，Inferno Drainer通过分赃前再创建合约的方式，一定程度上能够绕过一些钱包的反钓鱼功能，进一步降低受害者的戒备。因为在受害者批准恶意交易时，该合约甚至还没有被创建出来，对该地址进行分析和调查也就无从谈起了。

创建钓鱼网站的简单步骤

在Scam-as-a-Service的帮助下，攻击者创建钓鱼网站变得异常简单：

1. 进入Drainer提供的Telegram频道，使用一个简单的命令就能创建免费域名和对应的IP地址。

2. 从机器人提供的上百种模板中选择一个，几分钟后就能生成一个看似专业的钓鱼网站。

3. 寻找受害者。一旦有人进入网站并连接钱包批准恶意交易，受害者的资产就会被转移。

整个过程仅需几分钟，大大降低了犯罪成本和技术门槛。

总结和防范建议

Inferno Drainer的回归为加密货币用户带来了巨大的安全隐患。用户在参与加密货币交易时，需要时刻保持警惕，牢记以下几点：

• 不要相信任何"天上掉馅饼"的宣传，例如可疑的免费空投、补偿，仅信任官方网站或接受过专业审计服务的项目。
• 在连接钱包前仔细检查URL，警惕模仿知名项目的网站。可使用WHOIS域名查询工具查看网站注册时间，注册时间过短的网站很可能是欺诈项目。
• 不要向任何可疑网站或应用提交助记词、私钥。在钱包要求签名消息或批准交易前，仔细检查是否涉及Permit或Approve等可能导致资金损失的操作。
• 关注安全预警信息。如发现不慎向诈骗地址授权了代币，及时撤回授权或将剩余资产转移至其他安全地址。

通过提高安全意识和采取必要的预防措施，用户可以更好地保护自己免受日益复杂的钓鱼攻击。