Cointime

Cointime

Download App
iOS & Android

Демистификация «мошенничества как услуги»: будьте осторожны с индустриализацией фишинговых атак

Validated Project

Начиная с июня 2024 года команда безопасности CertiK отслеживала большое количество подобных фишинговых/сливных транзакций. Только в июне сумма превысила 55 миллионов долларов США. нападения Ситуация становится все более жестокой. В третьем квартале 2024 года фишинговые атаки стали методом атак, принесшим наибольшие финансовые потери: злоумышленники-фишингисты получили более 243 миллионов долларов США за 65 атак. Согласно анализу команды безопасности CertiK, недавние частые фишинговые атаки, скорее всего, связаны с Inferno Drainer, печально известной командой фишинговых инструментов. Команда громко объявила о своем «уходе» в конце 2023 года, но теперь, похоже, снова активна и вернулась, устроив серию масштабных атак.

Основываясь на этом, в данной статье будут проанализированы типичные методы работы групп фишинговых атак, таких как Inferno Drainer и Nova Drainer, и подробно перечислены их поведенческие характеристики. Мы надеемся, что с помощью этого анализа мы сможем помочь пользователям улучшить их способность выявлять и предотвращать фишинговые атаки.

Что такое мошенничество как услуга

Многие люди, возможно, знакомы с концепцией «Программное обеспечение как услуга» (SaaS). В мире шифрования SaaS имеет еще одно значение. Команда по фишингу изобрела новую вредоносную модель под названием «Scam как услуга». Эта модель объединяет инструменты и услуги мошенничества и предоставляет их другим преступникам в коммерциализированном виде. Пресловутый Inferno Drainer является типичным представителем этой области. Впервые они объявили о нем с ноября 2022 года по ноябрь 2023 года. В период закрытия масштабы мошенничества. превысил 80 миллионов долларов. Inferno Drainer помогает покупателям быстро проводить атаки, предоставляя готовые фишинговые инструменты и инфраструктуру, включая интерфейсы фишинговых веб-сайтов, смарт-контракты и учетные записи в социальных сетях. Фишеры, приобретающие SaaS-услуги, сохраняют большую часть украденных денег, а Inferno Drainer взимает 10 %. -20% комиссия. Эта модель значительно снижает технический порог мошенничества. Это сделало киберпреступность более эффективной и масштабной, что привело к распространению фишинговых атак в индустрии шифрования, особенно на тех пользователей, которые недостаточно осведомлены о безопасности и с большей вероятностью станут мишенью.

Как работает «Мошенничество как услуга»?

Прежде чем представить SaaS, мы должны сначала понять рабочий процесс типичного децентрализованного приложения (DApp). Как показано на рисунке ниже, типичное DApp обычно состоит из внешнего интерфейса (например, веб-страницы или мобильного приложения) и смарт-контракта на блокчейне. Пользователь подключается к внешнему интерфейсу DApp через кошелек блокчейна, а интерфейсная страница генерирует соответствующую транзакцию блокчейна и отправляет ее в кошелек пользователя. Затем пользователь использует кошелек блокчейна для подписания и подтверждения транзакции. После завершения подписи транзакция отправляется в сеть блокчейна, и соответствующий смарт-контракт вызывается для выполнения необходимых функций.

Итак, как же злоумышленники-фишингисты выманивают у пользователей средства? Ответ заключается в том, что они ловко побуждают пользователей выполнять небезопасные операции, разрабатывая вредоносные интерфейсы и смарт-контракты. Злоумышленники часто заставляют пользователей нажимать на вредоносные ссылки или кнопки, тем самым вынуждая их одобрить некоторые скрытые вредоносные транзакции или даже, в некоторых случаях, напрямую вынуждая пользователей раскрыть свои личные ключи. Как только пользователь подписывает эти вредоносные транзакции или раскрывает свои секретные ключи, злоумышленники могут легко перенести активы пользователя в свою учетную запись.

Вот некоторые из наиболее распространенных средств:

1. Подделка интерфейсов известных проектов. Злоумышленники создают внешне выглядящие законно интерфейсы, тщательно имитируя официальные веб-сайты известных проектов, заставляя пользователей ошибочно полагать, что они взаимодействуют с заслуживающими доверия проектами, тем самым позволяя пользователям расслабиться. бдительность, подключаться к кошелькам и выполнять небезопасные операции. Как показано на рисунке 1, фишинговая группа встроила свою собственную страницу в интерфейсную страницу BagerDAO. Как только пользователь одобрит транзакцию на странице, его токены будут авторизованы на адрес злоумышленника.

2. Мошенничество с раздачей токенов: они продвигают фишинговые сайты в Twitter, Discord, Telegram и других социальных сетях, утверждая, что имеют привлекательные возможности, такие как «бесплатные раздачи», «ранние предварительные продажи» и «бесплатная чеканка NFT». жертва кликнет по ссылке. Попав на фишинговый веб-сайт, жертвы часто неосознанно подключаются к своим кошелькам и одобряют вредоносные транзакции. Как показано на рисунке 2, злоумышленник передал пользователю токен с именем «ZEPE», обманом заставив его перейти на свою фишинговую страницу, чтобы активировать его. Как только пользователь нажмет на него, все ETH в его учетной записи будут отправлены на его адрес. адрес мошенника.

3. Фейковые инциденты взлома и мошенничество с вознаграждением. Киберпреступники утверждают, что известный проект теперь выплачивает пользователям компенсации или вознаграждения из-за хакерских атак или замораживания активов. Они используют эти ложные чрезвычайные ситуации, чтобы заманить пользователей на фишинговые веб-сайты, обманом заставить их подключиться к своим кошелькам и, в конечном итоге, украсть средства пользователей.

Можно сказать, что фишинговые мошенничества не являются новым методом и были очень распространены до 2020 года. Однако модель SaaS во многом является основной движущей силой активизации фишинговых мошенничеств за последние два года. До появления SaaS злоумышленникам-фишингистам приходилось готовить стартовые средства в сети, создавать интерфейсные веб-сайты и смарт-контракты каждый раз, когда они запускали атаку. Хотя большинство этих фишинговых веб-сайтов были сделаны грубо, их можно было воссоздать с помощью набора. шаблонов и внесение простых изменений. Это новый мошеннический проект, но работа и обслуживание веб-сайта и дизайна страниц по-прежнему требуют определенного технического порога. Поставщики SaaS-инструментов, такие как Inferno Drainer, полностью устранили технические барьеры на пути фишингового мошенничества, предоставляя покупателям, у которых нет соответствующих технологий, услуги по созданию и размещению фишинговых веб-сайтов, а также извлечению прибыли из доходов от мошенничества.

Как Inferno Drainer делит прибыль с покупателями SaaS?

21 мая 2024 года Inferno Drainer опубликовал на etherscan сообщение о проверке подписи, объявив о своем возвращении и создании нового канала Discord.

Как Inferno Drainer делит прибыль с покупателями SaaS?

21 мая 2024 года Inferno Drainer опубликовал на etherscan сообщение о проверке подписи, объявив о своем возвращении и создании нового канала Discord.

0x0000db5c8b030ae20308ac975898e09741e70000 — это один из фишинговых адресов с аномальным поведением, который недавно отслеживала CertiK. Мы обнаружили, что по этому адресу проводилось большое количество транзакций по схожей схеме. Проанализировав и расследовав эти транзакции, мы считаем, что эти транзакции представляют собой транзакции, в которых Inferno Drainer переводит средства и распространяет украденные товары после обнаружения того, что жертва попала на крючок. используйте этот адрес для примера одной из совершенных транзакций:

https://etherscan.io/tx/0x5cd1eeee1b091888e7b19bc25c99a44a08e80112fdc7a60a88b11ed592483a5f

Злоумышленник передает токены жертвы через Permit2.

1. Inferno Drainer создает контракт через CREATE2. CREATE2 — это инструкция в виртуальной машине Ethereum, используемая для создания смарт-контрактов. По сравнению с традиционной инструкцией CREATE, инструкция CREATE2 позволяет заранее рассчитать адрес контракта на основе байт-кода смарт-контракта и фиксированной соли, принимаемой Inferno Drainer. Преимущество CREATE2 Суть инструкции заключается в том, чтобы заранее рассчитать адрес контракта о разделе добычи для покупателя фишинговой услуги, дождаться, пока жертва клюнет на наживку, а затем создать контракт о разделе добычи для завершения операции по передаче токенов и разделению добычи.

2. Вызвать созданный контракт для подтверждения DAI жертвы на фишинговый адрес (покупатель сервиса Inferno Drainer) и адрес украденного товара. Злоумышленники используют различные методы фишинга, упомянутые выше, чтобы побудить жертв непреднамеренно подписать вредоносные сообщения Permit2. Permit2 позволяет пользователям разрешать передачу токенов посредством подписей без необходимости напрямую взаимодействовать с кошельком. В результате жертвы ошибочно полагают, что они лишь участвуют в обычных транзакциях или разрешают определенные безобидные операции, но на самом деле они неосознанно авторизуют свои токены DAI на адреса, контролируемые злоумышленником.

3. Переведите 3 654 и 7 005 ДАИ на два адреса для раздела добычи и передайте 50 255 ДАИ покупателю для завершения раздела добычи.

Стоит отметить, что в настоящее время существует множество блокчейн-кошельков, в которых реализованы антифишинговые или подобные функции. Однако антифишинговые функции многих кошельков реализуются через черные списки доменных имен или адресов блокчейна, прежде чем разделить добычу. Контрактный метод позволяет в определенной степени обойти эти антифишинговые функции и еще больше снизить бдительность жертв. Поскольку контракт даже не был создан, когда жертва одобрила вредоносную транзакцию, анализ и исследование адреса были невозможны. По сделке покупатель рыболовной услуги получил 82,5% украденных денег, а Inferno Drainer — 17,5%.

Выяснилось: сколько шагов нужно для создания фишингового веб-сайта?

Увидев, как Inferno Drainer делит добычу, давайте посмотрим, насколько легко злоумышленникам создать фишинговый сайт с помощью SaaS.

На первом этапе, после входа в канал TG, предоставленный Drainer, с помощью простой команды создается бесплатное доменное имя и соответствующий IP-адрес.

На втором этапе выберите любой из сотен шаблонов, предоставленных роботом, а затем войдите в процесс установки. Через несколько минут будет создан фишинговый сайт с достойным интерфейсом.

Третий шаг – найти жертву. Как только жертва зайдет на веб-сайт, поверит мошеннической информации на странице и подключится к кошельку для подтверждения вредоносной транзакции, активы жертвы будут переведены. С помощью SaaS злоумышленник может создать такой фишинговый сайт всего за три шага и всего за несколько минут.

Резюме и вдохновение

Возвращение Inferno Drainer, одного из самых угрожающих «Drainer» в мире криптовалют, несомненно, несет огромные риски безопасности для пользователей отрасли. Inferno Drainer опирается на свои мощные функции, методы скрытых атак и чрезвычайно низкую стоимость преступной деятельности. предпочтительные инструменты киберпреступников для проведения фишинговых атак и финансирования воровства.

Пользователям необходимо всегда проявлять бдительность при участии в криптовалютных транзакциях и помнить о следующих моментах:

  • Не существует такого понятия, как бесплатный обед: не верьте никакой пропаганде «круга в небе», такой как сомнительные бесплатные раздачи или компенсации, и доверяйте только официальным веб-сайтам или проектам, получившим профессиональные аудиторские услуги.
  • Всегда проверяйте сетевые ссылки: перед подключением к кошельку на любом веб-сайте внимательно проверьте URL-адрес, чтобы убедиться, что он имитирует известный проект, и попробуйте использовать инструмент запроса доменного имени WHOIS, чтобы проверить время его регистрации на веб-сайтах со слишком коротким временем. время регистрации, скорее всего, являются мошенническими проектами.
  • Защитите личную информацию: не отправляйте свою мнемоническую фразу или закрытый ключ на какой-либо подозрительный веб-сайт или в приложение, прежде чем кошелек попросит подписать какое-либо сообщение или одобрить транзакцию, внимательно проверьте, является ли транзакция транзакцией разрешения или одобрения, что может привести к потере. средства.
  • Обращайте внимание на обновления информации о мошенничестве: следите за официальными учетными записями в социальных сетях, такими как CertiK Alert, которые регулярно публикуют предупреждающую информацию. Если вы обнаружите, что случайно авторизовали токены на мошеннический адрес, своевременно отзовите авторизацию или передайте оставшиеся активы другим. безопасные адреса.
Комментарий

Все комментарии

Рекомендуем к прочтению

  • Директор по правовым вопросам Robinhood Дэн Галлахер заявил, что не будет председателем Комиссии по ценным бумагам и биржам (SEC)

    Согласно рыночным новостям, главный юрисконсульт Robinhood Дэн Галлахер заявил, что не будет председателем Комиссии по ценным бумагам и биржам США.

  • Политические пристрастия криптовалюты: избрание Трампа спровоцировало новый бычий рост

    Криптовалюты вернулись в этот праздничный сезон, поскольку Биткойн нацелен на 100 000 долларов, а «Арахисовая белка» попала в заголовки газет с приростом в 3000%. Члены семьи будут обсуждать биткойны, мемкоины и «эту чушь Илона в Твиттере», а вам, назначенному «эксперту по криптовалютам», нужно о чем поговорить, чтобы расположить к себе обычного человека. Криптовалюта — это либертарианское безумие. Трамп считает «царем криптовалют», Биткойн достигает новых максимумов, Запуск опционов Blackstone IBIT, Возрождается программируемость Биткойна, Трамп рассматривает кандидатуру криптовалютного юриста на пост председателя SEC, выбирает Говарда Лютника министром торговли. Избрание и победа Трампа спровоцировали очередную волну криптовалют, которую многие теперь связывают с худшими эксцессами MAGA и мистификацией Илона D.O.G.E. Это не поможет вашему делу, если ваши левые родственники увидят, что новая республиканская администрация так решительно поддерживает криптовалюты. Если ваш двоюродный брат не покупает биткойны, потому что они ассоциируются с красным и оранжевым, обратитесь к фактам.

  • Косинус: после того, как пользователь использовал GPT для написания бота с использованием кода с бэкдором, закрытый ключ был отправлен на фишинговый веб-сайт.

    Согласно статье, опубликованной Slow Mist Cosine на сайте . Косинус напоминает нам, что при использовании LLM, таких как GPT/Claude, мы должны обращать внимание на широко распространенный обман в этих LLM. Мы уже упоминали атаки с отравлением ИИ, и теперь это реальный случай атаки на криптоиндустрию.

  • Американская ассоциация блокчейнов представляет рекомендации по регулированию криптовалют администрации Трампа

    Американская ассоциация блокчейнов объявила о приоритетах. Ключевое содержание включает в себя: создание нормативно-правовой базы в области криптовалют, прекращение дебанкинга компаний, занимающихся криптовалютой и блокчейн-технологиями, назначение нового председателя SEC и отмену SAB121, назначение нового руководства Министерства финансов и IRS, а также создание консультативного комитета по криптовалюте, работающего с Конгресс и федеральные регулирующие органы.

  • Верховный суд США отклонил попытку Facebook избежать иска о мошенничестве с ценными бумагами акционеров

    Верховный суд США отклонил дело, в котором Facebook, принадлежащий META, пытался избежать иска акционеров о мошенничестве с ценными бумагами.

  • Окончательный годовой уровень инфляции в США в ноябре ожидается на уровне 2,6% по сравнению с ожидаемыми 2,7% и предыдущим значением 2,60%.

    Итоговый годовой уровень инфляции в США в ноябре ожидается на уровне 2,6% по сравнению с ожидаемыми 2,7% и предыдущим значением 2,60%. Окончательное ожидаемое значение пяти-десятилетней инфляции в США в ноябре составит 3,2% по сравнению с ожидаемыми 3,1% и предыдущим значением 3,10%.

  • Платформа рынка прогнозов Polymarket приостанавливает доступ к французским пользователям из-за регуляторного расследования

    Децентрализованная рыночная платформа прогнозов Polymarket объявила, что приостанавливает доступ к своей платформе для французских пользователей. Этот шаг был предпринят через несколько недель после того, как Национальное управление по азартным играм Франции (ANJ) начало расследование на платформе в отношении соблюдения требований к азартным играм. Сообщается, что расследование началось с французского трейдера, который сделал на платформе крупную ставку на победу Трампа на президентских выборах в США в 2024 году. Хотя Polymarket ввел запрет на использование IP-адресов, французский новостной сайт о криптовалютах The Big Whale сообщил, что пользователи по-прежнему могут получить доступ к платформе через VPN. На момент публикации в Условиях обслуживания Polymarket соответствующие ограничения не были обновлены.

  • Великобритания представит правила криптовалют и стейблкоинов в начале 2025 года

    В начале 2025 года лейбористское правительство Великобритании представит комплексную нормативную базу для криптовалют, стремясь упростить регулирование и решить ключевые области, такие как стейблкоины и стейкинг. Великобритания планирует опубликовать свою структуру криптовалюты в следующем году, отражая глобальную гонку за регулирование отрасли, при этом другие юрисдикции, такие как Европейский Союз, уже продвигают стратегии по привлечению инноваций и экономических возможностей. Правительство Великобритании объявило о планах ввести единую нормативную базу для криптовалютной индустрии в начале 2025 года на Глобальном саммите по токенизации в лондонском Сити. В рамках новой структуры стейблкоины больше не будут регулироваться существующими правилами платежных услуг Великобритании. Правительство считает, что эти правила не подходят для текущих сценариев использования. Этот сдвиг направлен на то, чтобы согласовать подход Великобритании с развивающейся природой стейблкоинов, которые для стабильности часто привязаны к таким активам, как доллар США.

  • Amazon инвестирует дополнительные $4 млрд в «конкурента OpenAI» Anthropic

    Amazon и Anthropic углубляют сотрудничество и инвестируют друг в друга дополнительно 4 миллиарда долларов США. В сентябре этого года стартап в области искусственного интеллекта Anthropic искал новый раунд финансирования на сумму до 40 миллиардов долларов. Anthropic — компания, основанная в 2021 году бывшими руководителями OpenAI и специализирующаяся на создании объяснимых, безопасных и управляемых систем искусственного интеллекта. Флагманская модель искусственного интеллекта компании, Claude, работает на основе «конституционного искусственного интеллекта», модели искусственного интеллекта, которая использует заранее определенные принципы для управления результатами и предотвращения ошибочных или дискриминационных реакций.

  • Суй объявляет о стратегическом партнерстве с Franklin Templeton Digital Assets

    Фонд Sui объявил о стратегическом партнерстве с Franklin Templeton Digital Assets, чтобы сосредоточиться на поддержке разработчиков экосистемы Sui и внедрении новых технологий с использованием протокола блокчейна Sui.

Надо читать каждый день

Cointime
Содержание
компания