Раскрытие индустриализации фишинг-атак в мире шифрования
С июня 2024 года команда безопасности зафиксировала большое количество похожих фишинговых сделок, только в июне сумма, вовлеченная в дела, превысила 55 миллионов долларов. В августе и сентябре соответствующая фишинг-активность стала еще более частой и приобрела угрожающий характер. За весь третий квартал 2024 года фишинговые атаки стали основным средством, наносящим наибольший экономический ущерб, в 65 атаках было получено более 243 миллионов долларов. Анализ показывает, что недавние частые фишинговые атаки, вероятно, связаны с одной известной командой фишинговых инструментов. Эта команда объявила о "выходе на пенсию" в конце 2023 года, но теперь, похоже, снова активна и организовала серию массовых атак.
В данной статье будет проанализирован метод действий типичных групп, занимающихся сетевым фишингом, и подробно перечислены их поведенческие характеристики, с целью помочь пользователям повысить уровень распознавания и предотвращения фишинговых мошенничеств.
Что такое Scam-as-a-Service
В мире шифрования некоторые фишинговые группы изобрели новый злонамеренный режим, называемый "Scam-as-a-Service" (мошенничество как услуга). Этот режим упаковывает инструменты и услуги мошенничества и предлагает их другим преступникам в товарном виде. Одна известная группа фишинговых инструментов является典型ным представителем этой области, и в период с ноября 2022 года по ноябрь 2023 года, когда они впервые объявили о закрытии своих услуг, сумма их мошенничеств превысила 80 миллионов долларов.
Команда помогает покупателям быстро инициировать атаки, предоставляя готовые инструменты и инфраструктуру для шифрования, включая фронтенд и бэкенд фишинговых сайтов, смарт-контракты и аккаунты в социальных сетях. Фишеры, покупающие услуги, могут сохранить большую часть украденных средств, в то время как поставщик услуг взимает комиссию в размере 10-20%. Эта модель значительно снизила технический порог для мошенничества, сделав киберпреступления более эффективными и масштабируемыми, что привело к распространению фишинговых атак в шифрование-индустрии, особенно среди пользователей, не обладающих осознанием безопасности, которые становятся более уязвимыми для атак.
Как работает Scam-as-a-Service
Прежде чем перейти к введению в SaaS, давайте сначала разберем типичный рабочий процесс децентрализованного приложения (DApp). Типичное DApp обычно состоит из фронтенд-интерфейса (например, веб-страницы или мобильного приложения) и смарт-контрактов на блокчейне. Пользователи подключаются к фронтенд-интерфейсу DApp через блокчейн-кошелек, фронтенд-страница генерирует соответствующую транзакцию блокчейна и отправляет ее в кошелек пользователя. Затем пользователь подписывает и одобряет эту транзакцию с помощью блокчейн-кошелька, и после завершения подписи транзакция отправляется в блокчейн-сеть, вызывая соответствующий смарт-контракт для выполнения необходимых функций.
Атакующие с использованием рыболовства умело подстраивают злонамеренные интерфейсы и смарт-контракты, чтобы заманить пользователей на выполнение небезопасных действий. Обычно злоумышленники направляют пользователей на нажатие злонамеренных ссылок или кнопок, обманывая их, чтобы они одобрили скрытые злонамеренные транзакции, а в некоторых случаях даже прямо обманывают пользователей, заставляя их раскрыть свои личные ключи. Как только пользователь подписывает эти злонамеренные транзакции или раскрывает свои личные ключи, атакующий может легко перевести активы пользователя на свой счет.
Вот некоторые из самых распространенных методов:
Подделка известных проектов: злоумышленник тщательно подражает официальному сайту известного проекта, создавая, казалось бы, законный интерфейс, заставляя пользователей думать, что они взаимодействуют с доверенным проектом, что приводит к ослаблению бдительности, подключению кошелька и выполнению небезопасных операций.
Мошенничество с аирдропами токенов: они активно рекламируют фишинговые сайты в социальных сетях, утверждая, что есть "бесплатные аирдропы", "досрочная продажа", "бесплатная чеканка NFT" и другие привлекательные возможности, чтобы заманить жертв кликнуть по ссылке. Жертвы, привлеченные на фишинговый сайт, часто непроизвольно подключают кошелек и подтверждают злонамеренные транзакции.
Ложные хакерские инциденты и схемы вознаграждений: киберпреступники утверждают, что известный проект подвергся хакерской атаке или заморозке активов, и теперь выплачивает компенсации или вознаграждения пользователям. Они используют эти ложные экстренные ситуации, чтобы привлечь пользователей на фишинговые сайты, обманывая их подключать кошельки и в конечном итоге похищая средства пользователей.
Фишинг-мошенничество не является чем-то новым, но модель SaaS в значительной степени стала главным двигателем роста фишинг-мошенничества за последние два года. Поставщики SaaS-инструментов полностью устранили технические барьеры для фишинг-мошенничества, предлагая услуги по созданию и хостингу фишинг-сайтов для покупателей, не обладающих соответствующими технологиями, и извлекая прибыль из мошеннических доходов.
Способы раздела прибыли между поставщиками SaaS и покупателями
21 мая 2024 года, известный поставщик инструментов для рыбалки опубликовал сообщение о проверке подписи на etherscan, объявив о возвращении и создав новый канал в Discord.
Мы обнаружили, что определенный адрес совершил множество транзакций с похожими паттернами. После анализа и расследования мы пришли к выводу, что такие транзакции являются переводом средств и разделением добычи, осуществляемыми поставщиком инструментов после того, как жертва попалась на крючок. В качестве примера одной из транзакций, выполненных с этого адреса:
Поставщик инструментов создает контракт с помощью CREATE2. CREATE2 — это команда в виртуальной машине Ethereum, используемая для создания смарт-контрактов. Поставщик инструментов использует свойства команды CREATE2, чтобы заранее вычислить адрес контракта о дележке для покупателей фишинговых услуг, а затем, когда жертва попадается на крючок, создает контракт о дележке, завершая операцию по переводу токенов и дележке.
Вызовите созданный контракт, разрешив токены жертвы адресам фишинга (покупателю услуги) и адресу для дележа. Злоумышленник с помощью различных фишинговых методов направляет жертву на подписание злонамеренного сообщения Permit2. Permit2 позволяет пользователю авторизовать передачу токенов с помощью подписи, без необходимости прямого взаимодействия с кошельком.
Переведите определенное количество токенов на два адреса распределения, а оставшиеся токены переведите покупателю, завершив распределение.
Стоит отметить, что в настоящее время существует множество кошельков для шифрования, которые реализуют функции защиты от фишинга или аналогичные функции, но многие из этих кошельков используют черные списки доменных имен или адресов блокчейна для реализации своих функций защиты от фишинга. Поставщики инструментов могут, создавая контракты перед распределением награды, в определенной степени обойти эти функции защиты от фишинга, тем самым снижая бдительность жертв. В этой сделке покупатель фишинговых услуг забрал 82,5% от украденных средств, в то время как поставщик инструментов сохранил 17,5%.
Простые шаги для создания фишингового сайта
С помощью SaaS злоумышленникам стало необычайно легко создать фишинговый сайт:
Войдя в канал связи поставщика инструментов, вы можете создать бесплатное доменное имя и соответствующий IP-адрес всего лишь одной простой командой.
Выберите один из сотен предоставленных шаблонов, начните процесс установки, и через несколько минут вы сможете создать сайт для фишинга, который будет выглядеть достаточно профессионально.
Поиск жертв. Как только жертва заходит на сайт, верит мошеннической информации на странице и подключает кошелек, одобряя злонамеренную транзакцию, активы жертвы будут переведены.
Злоумышленник с помощью SaaS может выполнить эти три шага всего за несколько минут, создав фишинговый сайт.
Итоги и выводы
Возвращение известного поставщика инструментов для фишинга, безусловно, создало огромные угрозы безопасности для пользователей в отрасли. Благодаря своим мощным функциям и скрытым методам атаки, а также крайне низким затратам на преступление, он стал одним из предпочтительных инструментов для киберпреступников при проведении фишинговых атак и кражи средств.
Пользователи, участвуя в торговле криптовалютой, должны всегда быть настороже и помнить о следующих моментах:
Ничего не дается просто так: не верьте никакой рекламе о "бесплатных угощениях", такой как подозрительные бесплатные аирдропы или компенсации, доверяйте только официальным сайтам или проектам, прошедшим профессиональный аудит.
Постоянно проверяйте сетевое соединение: перед подключением кошелька к любому сайту тщательно проверяйте URL, не имитирует ли он известные проекты, и старайтесь использовать инструмент WHOIS для проверки домена, чтобы узнать дату регистрации. Сайты с слишком коротким сроком регистрации с высокой вероятностью могут быть мошенническими проектами.
Защита личной информации: не передавайте свои мнемонические фразы или приватные ключи на подозрительных сайтах или приложениях. Перед подписью любых сообщений или одобрением транзакций в кошельке внимательно проверяйте, не является ли эта транзакция Permit или Approve, что может привести к потере средств.
Следите за обновлениями информации о мошенничестве: подпишитесь на официальные аккаунты в социальных сетях, которые регулярно публикуют предупреждающую информацию. Если вы обнаружите, что случайно предоставили доступ к токенам мошенническому адресу, немедленно отозвите разрешение или переведите оставшиеся активы на другой безопасный адрес.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
7
Поделиться
комментарий
0/400
GamefiHarvester
· 07-12 13:09
В этом мире криптовалют всегда есть несколько дураков, которые не уходят и не остаются...
Посмотреть ОригиналОтветить0
PretendingSerious
· 07-11 18:41
разыгрывайте людей как лохов разыгрывайте людей как лохов разыгрывайте людей как лохов кто бы ни был, это не техническая работа
Посмотреть ОригиналОтветить0
PoolJumper
· 07-09 15:07
Проснись, эта группа рыбных торговцев снова пришла стричь неудачников!
Посмотреть ОригиналОтветить0
TokenomicsTrapper
· 07-09 15:06
назвали это предстоящим с их фальшивого выхода на пенсию... ngmi, если не можешь распознать базовые выходные паттерны smh
Посмотреть ОригиналОтветить0
StrawberryIce
· 07-09 15:06
Тс-тс, снова пришли зарабатывать на черной душе.
Посмотреть ОригиналОтветить0
CodeZeroBasis
· 07-09 15:05
满屏的 неудачники разыгрывайте людей как лохов...
Посмотреть ОригиналОтветить0
BitcoinDaddy
· 07-09 14:40
Говорили о пенсионном возрасте, а теперь снова на старте, чтобы стригать неудачников, да?
Раскрытие мира шифрования: тенденции промышленного рыболовства Scam-as-a-Service
Раскрытие индустриализации фишинг-атак в мире шифрования
С июня 2024 года команда безопасности зафиксировала большое количество похожих фишинговых сделок, только в июне сумма, вовлеченная в дела, превысила 55 миллионов долларов. В августе и сентябре соответствующая фишинг-активность стала еще более частой и приобрела угрожающий характер. За весь третий квартал 2024 года фишинговые атаки стали основным средством, наносящим наибольший экономический ущерб, в 65 атаках было получено более 243 миллионов долларов. Анализ показывает, что недавние частые фишинговые атаки, вероятно, связаны с одной известной командой фишинговых инструментов. Эта команда объявила о "выходе на пенсию" в конце 2023 года, но теперь, похоже, снова активна и организовала серию массовых атак.
В данной статье будет проанализирован метод действий типичных групп, занимающихся сетевым фишингом, и подробно перечислены их поведенческие характеристики, с целью помочь пользователям повысить уровень распознавания и предотвращения фишинговых мошенничеств.
Что такое Scam-as-a-Service
В мире шифрования некоторые фишинговые группы изобрели новый злонамеренный режим, называемый "Scam-as-a-Service" (мошенничество как услуга). Этот режим упаковывает инструменты и услуги мошенничества и предлагает их другим преступникам в товарном виде. Одна известная группа фишинговых инструментов является典型ным представителем этой области, и в период с ноября 2022 года по ноябрь 2023 года, когда они впервые объявили о закрытии своих услуг, сумма их мошенничеств превысила 80 миллионов долларов.
Команда помогает покупателям быстро инициировать атаки, предоставляя готовые инструменты и инфраструктуру для шифрования, включая фронтенд и бэкенд фишинговых сайтов, смарт-контракты и аккаунты в социальных сетях. Фишеры, покупающие услуги, могут сохранить большую часть украденных средств, в то время как поставщик услуг взимает комиссию в размере 10-20%. Эта модель значительно снизила технический порог для мошенничества, сделав киберпреступления более эффективными и масштабируемыми, что привело к распространению фишинговых атак в шифрование-индустрии, особенно среди пользователей, не обладающих осознанием безопасности, которые становятся более уязвимыми для атак.
Как работает Scam-as-a-Service
Прежде чем перейти к введению в SaaS, давайте сначала разберем типичный рабочий процесс децентрализованного приложения (DApp). Типичное DApp обычно состоит из фронтенд-интерфейса (например, веб-страницы или мобильного приложения) и смарт-контрактов на блокчейне. Пользователи подключаются к фронтенд-интерфейсу DApp через блокчейн-кошелек, фронтенд-страница генерирует соответствующую транзакцию блокчейна и отправляет ее в кошелек пользователя. Затем пользователь подписывает и одобряет эту транзакцию с помощью блокчейн-кошелька, и после завершения подписи транзакция отправляется в блокчейн-сеть, вызывая соответствующий смарт-контракт для выполнения необходимых функций.
Атакующие с использованием рыболовства умело подстраивают злонамеренные интерфейсы и смарт-контракты, чтобы заманить пользователей на выполнение небезопасных действий. Обычно злоумышленники направляют пользователей на нажатие злонамеренных ссылок или кнопок, обманывая их, чтобы они одобрили скрытые злонамеренные транзакции, а в некоторых случаях даже прямо обманывают пользователей, заставляя их раскрыть свои личные ключи. Как только пользователь подписывает эти злонамеренные транзакции или раскрывает свои личные ключи, атакующий может легко перевести активы пользователя на свой счет.
Вот некоторые из самых распространенных методов:
Подделка известных проектов: злоумышленник тщательно подражает официальному сайту известного проекта, создавая, казалось бы, законный интерфейс, заставляя пользователей думать, что они взаимодействуют с доверенным проектом, что приводит к ослаблению бдительности, подключению кошелька и выполнению небезопасных операций.
Мошенничество с аирдропами токенов: они активно рекламируют фишинговые сайты в социальных сетях, утверждая, что есть "бесплатные аирдропы", "досрочная продажа", "бесплатная чеканка NFT" и другие привлекательные возможности, чтобы заманить жертв кликнуть по ссылке. Жертвы, привлеченные на фишинговый сайт, часто непроизвольно подключают кошелек и подтверждают злонамеренные транзакции.
Ложные хакерские инциденты и схемы вознаграждений: киберпреступники утверждают, что известный проект подвергся хакерской атаке или заморозке активов, и теперь выплачивает компенсации или вознаграждения пользователям. Они используют эти ложные экстренные ситуации, чтобы привлечь пользователей на фишинговые сайты, обманывая их подключать кошельки и в конечном итоге похищая средства пользователей.
Фишинг-мошенничество не является чем-то новым, но модель SaaS в значительной степени стала главным двигателем роста фишинг-мошенничества за последние два года. Поставщики SaaS-инструментов полностью устранили технические барьеры для фишинг-мошенничества, предлагая услуги по созданию и хостингу фишинг-сайтов для покупателей, не обладающих соответствующими технологиями, и извлекая прибыль из мошеннических доходов.
Способы раздела прибыли между поставщиками SaaS и покупателями
21 мая 2024 года, известный поставщик инструментов для рыбалки опубликовал сообщение о проверке подписи на etherscan, объявив о возвращении и создав новый канал в Discord.
Мы обнаружили, что определенный адрес совершил множество транзакций с похожими паттернами. После анализа и расследования мы пришли к выводу, что такие транзакции являются переводом средств и разделением добычи, осуществляемыми поставщиком инструментов после того, как жертва попалась на крючок. В качестве примера одной из транзакций, выполненных с этого адреса:
Поставщик инструментов создает контракт с помощью CREATE2. CREATE2 — это команда в виртуальной машине Ethereum, используемая для создания смарт-контрактов. Поставщик инструментов использует свойства команды CREATE2, чтобы заранее вычислить адрес контракта о дележке для покупателей фишинговых услуг, а затем, когда жертва попадается на крючок, создает контракт о дележке, завершая операцию по переводу токенов и дележке.
Вызовите созданный контракт, разрешив токены жертвы адресам фишинга (покупателю услуги) и адресу для дележа. Злоумышленник с помощью различных фишинговых методов направляет жертву на подписание злонамеренного сообщения Permit2. Permit2 позволяет пользователю авторизовать передачу токенов с помощью подписи, без необходимости прямого взаимодействия с кошельком.
Переведите определенное количество токенов на два адреса распределения, а оставшиеся токены переведите покупателю, завершив распределение.
Стоит отметить, что в настоящее время существует множество кошельков для шифрования, которые реализуют функции защиты от фишинга или аналогичные функции, но многие из этих кошельков используют черные списки доменных имен или адресов блокчейна для реализации своих функций защиты от фишинга. Поставщики инструментов могут, создавая контракты перед распределением награды, в определенной степени обойти эти функции защиты от фишинга, тем самым снижая бдительность жертв. В этой сделке покупатель фишинговых услуг забрал 82,5% от украденных средств, в то время как поставщик инструментов сохранил 17,5%.
Простые шаги для создания фишингового сайта
С помощью SaaS злоумышленникам стало необычайно легко создать фишинговый сайт:
Войдя в канал связи поставщика инструментов, вы можете создать бесплатное доменное имя и соответствующий IP-адрес всего лишь одной простой командой.
Выберите один из сотен предоставленных шаблонов, начните процесс установки, и через несколько минут вы сможете создать сайт для фишинга, который будет выглядеть достаточно профессионально.
Поиск жертв. Как только жертва заходит на сайт, верит мошеннической информации на странице и подключает кошелек, одобряя злонамеренную транзакцию, активы жертвы будут переведены.
Злоумышленник с помощью SaaS может выполнить эти три шага всего за несколько минут, создав фишинговый сайт.
Итоги и выводы
Возвращение известного поставщика инструментов для фишинга, безусловно, создало огромные угрозы безопасности для пользователей в отрасли. Благодаря своим мощным функциям и скрытым методам атаки, а также крайне низким затратам на преступление, он стал одним из предпочтительных инструментов для киберпреступников при проведении фишинговых атак и кражи средств.
Пользователи, участвуя в торговле криптовалютой, должны всегда быть настороже и помнить о следующих моментах: