Revelando a industrialização dos ataques de phishing no mundo da encriptação

Desde junho de 2024, a equipe de segurança monitorou um grande número de transações de phishing semelhantes, com um valor total de mais de 55 milhões de dólares apenas em junho. Com a chegada de agosto e setembro, as atividades de phishing relacionadas tornaram-se ainda mais frequentes, aumentando em intensidade. Durante todo o terceiro trimestre de 2024, os ataques de phishing tornaram-se o meio que causou mais perdas econômicas, com 65 ações de ataque resultando em mais de 243 milhões de dólares. A análise mostra que os recentes ataques de phishing, que ocorreram com frequência, estão provavelmente relacionados a uma equipe de ferramentas de phishing notoriamente conhecida. Essa equipe anunciou "aposentadoria" no final de 2023, mas agora parece estar ativa novamente, causando uma série de ataques em grande escala.

Este artigo analisará as técnicas utilizadas por grupos típicos de ataques de phishing e listará detalhadamente suas características comportamentais, com o objetivo de ajudar os usuários a melhorar sua capacidade de identificar e prevenir fraudes de phishing.

O que é Scam-as-a-Service

No mundo da encriptação, algumas equipas de phishing inventaram um novo modelo malicioso chamado "Scam-as-a-Service" (fraude como serviço). Este modelo empacota ferramentas e serviços de fraude e os oferece de forma comercial a outros criminosos. Uma conhecida equipa de ferramentas de phishing é um exemplo típico neste campo, durante o período em que anunciaram pela primeira vez o encerramento dos serviços de novembro de 2022 a novembro de 2023, o montante total de fraude ultrapassou os 80 milhões de dólares.

A equipe ajuda os compradores a iniciar ataques rapidamente, fornecendo ferramentas e infraestrutura de phishing prontas para uso, incluindo front-end e back-end de sites de phishing, contratos inteligentes e contas de redes sociais. Os phishers que compram os serviços podem reter a maior parte do dinheiro roubado, enquanto os fornecedores de serviços cobram uma comissão de 10% a 20%. Esse modelo reduz significativamente a barreira técnica para a fraude, tornando o crime cibernético mais eficiente e em maior escala, levando a um aumento dos ataques de phishing na indústria de encriptação, especialmente aqueles usuários que carecem de consciência de segurança, tornando-se alvos mais fáceis.

Como Funciona o Scam-as-a-Service

Antes de apresentar o SaaS, vamos entender o fluxo de trabalho típico de uma aplicação descentralizada (DApp). Uma DApp típica é composta por uma interface frontal (como uma página da Web ou um aplicativo móvel) e contratos inteligentes na blockchain. Os usuários conectam-se à interface frontal da DApp através de uma carteira de blockchain, a página frontal gera a transação correspondente da blockchain e a envia para a carteira do usuário. O usuário, então, usa a carteira de blockchain para assinar e aprovar essa transação, uma vez que a assinatura é concluída, a transação é enviada para a rede blockchain e chama o contrato inteligente correspondente para executar a função necessária.

Os atacantes de phishing induzem astutamente os usuários a executar operações inseguras, projetando interfaces frontais e contratos inteligentes maliciosos. Os atacantes geralmente levam os usuários a clicar em links ou botões maliciosos, enganando-os para aprovar algumas transações maliciosas ocultas, ou até mesmo, em alguns casos, induzindo diretamente os usuários a revelar suas chaves privadas. Uma vez que o usuário assina essas transações maliciosas ou expõe sua chave privada, os atacantes conseguem facilmente transferir os ativos do usuário para suas próprias contas.

Aqui estão alguns dos métodos mais comuns:

1. Front-end de projetos famosos falsificados: os atacantes imitam cuidadosamente o site oficial de projetos conhecidos, criando uma interface front-end que parece legítima, fazendo com que os usuários acreditem que estão interagindo com um projeto confiável, o que os leva a baixar a guarda, conectar suas carteiras e realizar operações inseguras.

2. Esquema de airdrop de tokens: Eles promovem amplamente sites de phishing nas redes sociais, alegando ter oportunidades extremamente atraentes como "airdrop gratuito", "pré-venda antecipada", "cunhagem gratuita de NFT", atraindo as vítimas a clicarem nos links. Quando as vítimas são atraídas para o site de phishing, muitas vezes conectam suas carteiras e aprovam transações maliciosas sem perceber.

3. Incidentes falsos de hackers e esquemas de recompensa: criminosos cibernéticos afirmam que um projeto conhecido foi atacado por hackers ou que os ativos foram congelados, e agora estão a oferecer compensações ou recompensas aos usuários. Eles atraem os usuários para sites de phishing através dessas falsas emergências, enganando-os para conectarem as suas carteiras e, assim, roubando os fundos dos usuários.

As fraudes de phishing não são uma novidade, mas o modelo SaaS tem sido em grande parte o maior impulsionador do aumento das fraudes de phishing nos últimos dois anos. Os fornecedores de ferramentas SaaS eliminaram completamente a barreira técnica para fraudes de phishing, oferecendo serviços para criar e hospedar sites de phishing a compradores que carecem da tecnologia correspondente, e extraindo lucros dos ganhos obtidos com as fraudes.

Modo de divisão de lucros entre provedores de SaaS e compradores

No dia 21 de maio de 2024, um conhecido fornecedor de ferramentas de phishing divulgou uma mensagem de verificação de assinatura no etherscan, anunciando o seu regresso e criando um novo canal no Discord.

Descobrimos que um determinado endereço realizou um grande número de transações com padrões semelhantes. Após análise e investigação, acreditamos que tais transações são aquelas em que o fornecedor da ferramenta realiza a transferência de fundos e a divisão do produto após detectar que a vítima caiu na armadilha. Tomemos como exemplo uma das transações realizadas com esse endereço:

1. O fornecedor de ferramentas cria um contrato através do CREATE2. O CREATE2 é uma instrução na máquina virtual Ethereum usada para criar contratos inteligentes. O fornecedor de ferramentas aproveita a natureza da instrução CREATE2 para calcular antecipadamente o endereço do contrato de divisão para os compradores do serviço de phishing, e quando a vítima cai na armadilha, o contrato de divisão é criado, completando a transferência de tokens e a operação de divisão.

2. Chame o contrato criado, aprovando os tokens da vítima para o endereço de phishing (comprador do serviço) e o endereço de divisão. O atacante, através de vários métodos de phishing, leva a vítima a assinar involuntariamente uma mensagem maliciosa de Permit2. Permit2 permite que os usuários autorizem a transferência de tokens através de assinatura, sem precisar interagir diretamente com a carteira.

3. Transferir uma certa quantidade de tokens para duas moradas de divisão de lucros, transferir os tokens restantes para o comprador, completando a divisão.

Vale a pena mencionar que atualmente existem várias carteiras de blockchain que implementaram funcionalidades de anti-phishing ou semelhantes, mas muitas das funcionalidades de anti-phishing das carteiras são realizadas através de listas negras de domínios ou endereços de blockchain. Os fornecedores de ferramentas, ao criarem contratos antes de repartir o produto, conseguem contornar essas funcionalidades de anti-phishing até certo ponto, reduzindo ainda mais a vigilância das vítimas. Nesta transação, o comprador do serviço de phishing levou 82,5% do dinheiro roubado, enquanto o fornecedor da ferramenta reteve 17,5%.

Passos simples para criar um site de phishing

Com a ajuda do SaaS, tornou-se excepcionalmente fácil para os atacantes criar um site de phishing:

1. Após entrar no canal de comunicação do fornecedor de ferramentas, basta um simples comando para criar um domínio gratuito e o respectivo endereço IP.

2. Escolha um entre os centenas de modelos disponíveis, inicie o processo de instalação e, em poucos minutos, você poderá criar um site de phishing com uma interface bastante convincente.

3. Procurar vítimas. Uma vez que uma vítima aceda ao site, acredite nas informações fraudulentas na página e conecte a carteira para aprovar transações maliciosas, os ativos da vítima serão transferidos.

Com a ajuda do SaaS, um atacante pode completar estes três passos em apenas alguns minutos para criar um site de phishing.

Resumo e Inspirações

O retorno de um conhecido fornecedor de ferramentas de phishing traz, sem dúvida, enormes riscos de segurança para os usuários da indústria. Com suas poderosas funcionalidades e métodos de ataque encobertos, além de um custo criminal extremamente baixo, tornou-se uma das ferramentas preferidas dos criminosos cibernéticos para realizar ataques de phishing e roubo de fundos.

Os usuários que participam na negociação de encriptação devem estar sempre alerta e lembrar os seguintes pontos:

• Não existe almoço grátis: não acredite em qualquer propaganda de "pedaços de carne que caem do céu", como airdrops gratuitos suspeitos ou compensações; confie apenas em sites oficiais ou projetos que tenham sido auditados profissionalmente.
• Verifique constantemente a conexão à rede: antes de conectar a carteira a qualquer site, verifique cuidadosamente a URL, se está imitando projetos conhecidos, e tente usar ferramentas de consulta de domínio WHOIS para verificar a data de registro; sites com um tempo de registro muito curto provavelmente são projetos fraudulentos.
• Proteger informações de privacidade: Não envie suas palavras-chave ou chaves privadas para nenhum site ou aplicativo suspeito. Antes de assinar qualquer mensagem ou aprovar transações em sua carteira, verifique cuidadosamente se a transação é um Permit ou Approve que pode resultar em perda de fundos.
• Fique atento a atualizações sobre fraudes: siga as contas oficiais nas redes sociais que publicam avisos regulares. Se descobrir que acidentalmente autorizou um endereço de fraude a acessar seus tokens, revogue a autorização imediatamente ou transfira os ativos restantes para outro endereço seguro.