Dévoiler l'industrialisation des attaques par phishing dans le monde du chiffrement

Depuis juin 2024, l'équipe de sécurité a détecté un grand nombre de transactions de phishing similaires, avec un montant impliqué de plus de 55 millions de dollars rien qu'en juin. À partir des mois d'août et septembre, les activités de phishing associées se sont intensifiées, prenant une tournure de plus en plus inquiétante. Au cours du troisième trimestre 2024, les attaques de phishing sont devenues le moyen causant le plus de pertes économiques, avec 65 attaques ayant généré plus de 243 millions de dollars. Les analyses montrent que les attaques de phishing fréquentes récemment pourraient être liées à une équipe d'outils de phishing notoire. Cette équipe avait annoncé sa "retraite" à la fin de 2023, mais semble maintenant de nouveau active, ayant orchestré une série d'attaques massives.

Cet article analysera les méthodes d'opération des gangs typiques de phishing et énumérera en détail leurs caractéristiques comportementales, visant à aider les utilisateurs à améliorer leur capacité à identifier et à prévenir les escroqueries de phishing.

Qu'est-ce que Scam-as-a-Service

Dans le monde du chiffrement, certaines équipes de phishing ont inventé un nouveau modèle malveillant appelé "Scam-as-a-Service" (escroquerie en tant que service). Ce modèle regroupe des outils et des services d'escroquerie pour les proposer de manière commercialisée à d'autres criminels. Une équipe de phishing bien connue est un exemple typique dans ce domaine, ayant annoncé la fermeture de ses services pour la première fois entre novembre 2022 et novembre 2023, avec un montant d'escroquerie dépassant 80 millions de dollars.

L'équipe aide les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing prêts à l'emploi, y compris le front-end et le back-end des sites de phishing, des contrats intelligents et des comptes de médias sociaux. Les phishers qui achètent des services peuvent conserver la majeure partie des fonds volés, tandis que le fournisseur de services prélève une commission de 10 à 20 %. Ce modèle a considérablement abaissé le seuil technique de la fraude, rendant la cybercriminalité plus efficace et à grande échelle, entraînant une prolifération des attaques de phishing dans le secteur du chiffrement, en particulier les utilisateurs manquant de sensibilisation à la sécurité étant plus susceptibles de devenir des cibles.

Comment fonctionne le Scam-as-a-Service

Avant de présenter le SaaS, comprenons d'abord le flux de travail typique d'une application décentralisée (DApp). Une DApp typique est généralement composée d'une interface frontale (comme une page Web ou une application mobile) et de contrats intelligents sur la blockchain. Les utilisateurs se connectent à l'interface frontale de la DApp via un portefeuille blockchain, la page frontale génère la transaction blockchain correspondante et l'envoie au portefeuille de l'utilisateur. L'utilisateur approuve ensuite cette transaction en la signant avec son portefeuille blockchain, une fois la signature terminée, la transaction est envoyée au réseau blockchain et appelle le contrat intelligent correspondant pour exécuter les fonctionnalités requises.

Les attaquants de phishing utilisent des interfaces frontales et des contrats intelligents malveillants pour inciter habilement les utilisateurs à effectuer des opérations non sécurisées. Les attaquants orientent généralement les utilisateurs vers des liens ou des boutons malveillants, les trompant ainsi pour qu'ils approuvent des transactions malveillantes cachées, et dans certains cas, les incitant directement à révéler leur propre clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur vers son propre compte.

Voici quelques-unes des méthodes les plus courantes :

1. Faux front-end de projets célèbres : Les attaquants imitent soigneusement le site officiel de projets connus, créant une interface frontale qui semble légitime, incitant les utilisateurs à penser qu'ils interagissent avec un projet de confiance, ce qui les amène à baisser leur garde, à connecter leur portefeuille et à exécuter des opérations non sécurisées.

2. Arnaques aux airdrops de jetons : Ils font la promotion à grande échelle de sites de phishing sur les réseaux sociaux, prétendant offrir des opportunités extrêmement attrayantes telles que "airdrops gratuits", "préventes anticipées", "minting gratuit de NFT", incitant les victimes à cliquer sur les liens. Une fois attirées sur le site de phishing, les victimes connectent souvent leur portefeuille et approuvent des transactions malveillantes sans s'en rendre compte.

3. Faux événements de piratage et arnaques aux récompenses : des cybercriminels prétendent qu'un projet connu a subi une attaque de hacker ou un gel d'actifs, et qu'ils distribuent actuellement des compensations ou des récompenses aux utilisateurs. Ils attirent les utilisateurs vers des sites de phishing par le biais de ces fausses urgences, les incitant à connecter leur portefeuille, pour finalement voler les fonds des utilisateurs.

La fraude par phishing n'est pas une méthode nouvelle, mais le modèle SaaS est en grande partie le principal moteur de l'intensification de la fraude par phishing au cours des deux dernières années. Les fournisseurs d'outils SaaS ont complètement éliminé le seuil technique pour le phishing, offrant aux acheteurs manquant de la technologie appropriée des services pour créer et héberger des sites de phishing, et tirant des profits des gains de la fraude.

Méthodes de partage des bénéfices entre les fournisseurs SaaS et les acheteurs

Le 21 mai 2024, un fournisseur d'outils de phishing réputé a publié un message de vérification de signature sur etherscan, annonçant son retour et créant un nouveau canal Discord.

Nous avons constaté qu'une certaine adresse avait effectué un grand nombre de transactions présentant des schémas similaires. Après analyse et enquête, nous pensons que ces transactions sont celles que le fournisseur d'outils effectue pour transférer des fonds et partager le butin après avoir détecté que la victime est tombée dans le piège. Prenons l'une des transactions effectuées par cette adresse en exemple :

1. Le fournisseur d'outils crée un contrat via CREATE2. CREATE2 est une instruction dans la machine virtuelle Ethereum utilisée pour créer des contrats intelligents. Le fournisseur d'outils a profité de la nature de l'instruction CREATE2 pour pré-calculer l'adresse du contrat de partage des gains pour les acheteurs de services de phishing, et une fois que la victime a mordu à l'hameçon, il crée le contrat de partage des gains, complétant ainsi le transfert de jetons et l'opération de partage des gains.

2. Appeler le contrat créé et approuver les jetons de la victime à l'adresse de phishing (acheteur du service) et à l'adresse de partage des gains. L'attaquant, par divers moyens de phishing, amène la victime à signer involontairement un message Permit2 malveillant. Permit2 permet aux utilisateurs d'autoriser le transfert de jetons par signature, sans avoir besoin d'interagir directement avec le portefeuille.

3. Transférer une certaine quantité de jetons à deux adresses de partage, puis transférer les jetons restants à l'acheteur, complétant ainsi le partage.

Il convient de mentionner qu'actuellement, de nombreux portefeuilles de blockchain ont mis en œuvre des fonctionnalités de lutte contre le phishing ou similaires, mais la plupart des fonctionnalités de lutte contre le phishing des portefeuilles sont réalisées par le biais de listes noires de noms de domaine ou d'adresses blockchain. Les fournisseurs d'outils peuvent contourner ces fonctionnalités de lutte contre le phishing dans une certaine mesure en créant des contrats avant de partager le butin, réduisant ainsi la vigilance des victimes. Dans cette transaction, l'acheteur des services de phishing a emporté 82,5 % du butin, tandis que le fournisseur d'outils a conservé 17,5 %.

Étapes simples pour créer un site de phishing

Avec l'aide des SaaS, il est devenu exceptionnellement facile pour les attaquants de créer un site de phishing :

1. Une fois que vous avez rejoint le canal de communication du fournisseur d'outils, il vous suffit d'une simple commande pour créer un domaine gratuit et une adresse IP correspondante.

2. Choisissez un modèle parmi des centaines de modèles fournis, entrez dans le processus d'installation, et en quelques minutes, vous pourrez créer un site de phishing avec une interface assez convaincante.

3. Rechercher des victimes. Une fois qu'une victime accède à ce site, croit aux informations frauduleuses sur la page et connecte son portefeuille pour approuver une transaction malveillante, les actifs de la victime seront transférés.

Grâce à l'aide du SaaS, un attaquant peut réaliser ces trois étapes en quelques minutes pour créer un site de phishing.

Résumé et enseignements

Le retour d'un fournisseur d'outils de phishing bien connu représente sans aucun doute un énorme risque de sécurité pour les utilisateurs de l'industrie. Grâce à ses fonctionnalités puissantes et à ses méthodes d'attaque furtives, ainsi qu'à son coût criminel très bas, il est devenu l'un des outils préférés des cybercriminels pour mener des attaques de phishing et des vols de fonds.

Les utilisateurs doivent rester vigilants lorsqu'ils participent à des transactions de chiffrement et garder à l'esprit les points suivants :

• Il n'y a pas de déjeuner gratuit : ne croyez pas à la propagande du type "les gâteaux tombent du ciel", comme les airdrops gratuits douteux ou les compensations, ne faites confiance qu'aux sites officiels ou aux projets ayant bénéficié de services d'audit professionnels.
• Vérifiez toujours la connexion réseau : avant de connecter votre portefeuille à un site Web, vérifiez attentivement l'URL pour vous assurer qu'elle ne mime pas un projet connu, et essayez d'utiliser des outils de recherche de domaine WHOIS pour vérifier la date d'enregistrement. Les sites ayant une date d'enregistrement très courte sont souvent des projets frauduleux.
• Protéger les informations de confidentialité : ne soumettez jamais votre phrase mnémotechnique ou votre clé privée à des sites Web ou des applications suspects. Avant de signer un message ou d'approuver une transaction dans votre portefeuille, vérifiez attentivement si la transaction pourrait être un permis ou une approbation pouvant entraîner une perte de fonds.
• Suivez les mises à jour sur les informations de fraude : abonnez-vous aux comptes officiels des réseaux sociaux qui publient des alertes régulières. Si vous découvrez que vous avez accidentellement autorisé des jetons à une adresse frauduleuse, retirez rapidement votre autorisation ou transférez les actifs restants vers une autre adresse sécurisée.