Şifreleme dünyasında oltalama saldırılarının sanayileşmesi

2024 yılı Haziran ayından itibaren, güvenlik ekipleri benzer çok sayıda kimlik avı işlemini izledi; yalnızca Haziran ayında söz konusu işlemlerin tutarı 55 milyon doları aştı. Ağustos ve Eylül aylarına girildiğinde, ilgili kimlik avı faaliyetleri daha da sıklaştı ve giderek artan bir hal aldı. 2024 yılının üçüncü çeyreği boyunca, kimlik avı saldırıları en fazla ekonomik kayba neden olan yöntem haline geldi ve 65 saldırı eyleminde 243 milyon dolardan fazla kazanım sağlandı. Analizler, son zamanlarda artan kimlik avı saldırılarının, kötü şöhretli bir kimlik avı aracı ekibi ile bağlantılı olabileceğini göstermektedir. Bu ekip, 2023 yılının sonunda "emekli" olduğunu duyurmuştu, ancak şimdi yeniden aktif hale geldiği ve büyük ölçekli saldırılar gerçekleştirdiği görülüyor.

Bu makalede, tipik bir ağ phishing saldırı grubunun yöntemleri analiz edilecek ve davranış özellikleri detaylı bir şekilde listelenecektir. Amacı, kullanıcıların ağ phishing dolandırıcılıklarını tanıma ve önleme yeteneklerini artırmalarına yardımcı olmaktır.

Scam-as-a-Service nedir

Şifreleme dünyasında, bazı oltalama ekipleri "Scam-as-a-Service" (dolandırıcılık olarak hizmet) adında yeni bir kötü niyetli model icat etti. Bu model, dolandırıcılık araçlarını ve hizmetlerini paketleyerek, diğer suçlulara ticari bir şekilde sunmaktadır. Tanınmış bir oltalama aracı ekibi, bu alandaki tipik bir temsilcidir ve 2022 Kasım ile 2023 Kasım arasında hizmetlerini kapattıklarını ilk kez duyurduklarında, dolandırıcılık miktarları 80 milyon doları aşmıştır.

Ekip, alıcılara hazır balıkçılık araçları ve altyapıları sağlayarak, balıkçılık web sitelerinin ön ve arka uçları, akıllı sözleşmeler ve sosyal medya hesapları dahil, saldırıları hızlı bir şekilde başlatmalarına yardımcı olmaktadır. Hizmet satın alan balıkçılar, elde edilen hırsızlık gelirlerinin çoğunu tutabilirken, hizmet sağlayıcı %10-%20 komisyon almaktadır. Bu model, dolandırıcılığın teknik engelini büyük ölçüde azaltarak siber suçları daha verimli ve ölçeklenebilir hale getirmiştir; bu durum, özellikle güvenlik bilinci düşük olan kullanıcıların daha kolay saldırı hedefi haline gelmesine neden olmuştur.

Scam-as-a-Service'in çalışma şekli

SaaS'tan bahsetmeden önce, tipik bir merkeziyetsiz uygulamanın (DApp) çalışma sürecini anlamamız gerekiyor. Tipik bir DApp genellikle bir ön uç arayüzü (web sayfası veya mobil uygulama gibi) ve blok zincirindeki akıllı sözleşmelerden oluşur. Kullanıcı, blok zinciri cüzdanı aracılığıyla DApp'in ön uç arayüzüne bağlanır, ön uç sayfası ilgili blok zinciri işlemini oluşturur ve bunu kullanıcının cüzdanına gönderir. Kullanıcı daha sonra bu işlemi onaylamak için blok zinciri cüzdanını kullanarak imzalar; imza tamamlandığında, işlem blok zinciri ağına gönderilir ve gerekli işlevi yerine getirmek için ilgili akıllı sözleşme çağrılır.

Balık avı saldırganları, kötü niyetli bir ön yüz arayüzü ve akıllı sözleşmeler tasarlayarak kullanıcıları güvensiz işlemler yapmaya kurnazca yönlendirir. Saldırganlar genellikle kullanıcıları kötü niyetli bağlantılara veya butonlara tıklamaya yönlendirerek, onları bazı gizli kötü niyetli işlemleri onaylamaya kandırır, hatta bazı durumlarda kullanıcıları doğrudan özel anahtarlarını ifşa etmeye ikna edebilirler. Kullanıcı bu kötü niyetli işlemleri imzaladığında veya özel anahtarını açığa çıkardığında, saldırgan kullanıcıların varlıklarını kolayca kendi hesaplarına aktarabilir.

Aşağıda en yaygın yöntemlerden bazıları bulunmaktadır:

1. Tanınmış projelerin sahte ön yüzü: Saldırganlar, tanınmış projelerin resmi web sitelerini dikkatlice taklit ederek, kullanıcıların güvenilir bir projeyle etkileşimde bulunduğunu düşünmesini sağlayan, görünüşte yasal bir ön yüz oluştururlar. Bu durum, kullanıcıların dikkatlerini dağıtarak cüzdanlarını bağlamalarına ve güvensiz işlemler gerçekleştirmelerine neden olur.

2. Token airdrop dolandırıcılığı: Sosyal medyada sahte web sitelerini yaygın bir şekilde tanıtarak, "ücretsiz airdrop", "erken ön satış", "ücretsiz NFT mintleme" gibi son derece cazip fırsatlar sunduklarını iddia ediyorlar ve mağdurları bağlantıyı tıklamaya teşvik ediyorlar. Mağdurlar sahte web sitesine çekildiklerinde, genellikle cüzdanlarını bağlayıp kötü niyetli işlemleri onaylamakta tereddüt etmeden hareket ederler.

3. Sahte hacker olayları ve ödül dolandırıcılığı: Siber suçlular, tanınmış bir projenin hacker saldırısına uğradığını veya varlıklarının dondurulduğunu iddia ederek, şu anda kullanıcılara tazminat veya ödül dağıttıklarını belirtmektedirler. Bu sahte acil durumlar aracılığıyla kullanıcıları sahte web sitelerine çekmekte, onları cüzdanlarını bağlamaya ikna etmekte ve nihayetinde kullanıcıların fonlarını çalmaktadırlar.

Balık tutma dolandırıcılığı yeni bir yöntem değil, ancak SaaS modeli büyük ölçüde son iki yılda balık tutma dolandırıcılığının artmasının en büyük itici gücü oldu. SaaS araç sağlayıcıları, dolandırıcılık için gerekli teknik engelleri tamamen ortadan kaldırarak, ilgili teknik bilgiye sahip olmayan alıcılara dolandırıcılık siteleri oluşturma ve barındırma hizmeti sunmakta ve dolandırıcılıktan elde edilen kazançtan pay almaktadır.

SaaS sağlayıcıları ve alıcıların paylaşım şekli

21 Mayıs 2024 tarihinde, tanınmış bir oltalama aracı sağlayıcısı etherscan'da bir imza doğrulama mesajı yayımlayarak geri döndüğünü duyurdu ve yeni bir Discord kanalı oluşturdu.

Bir adresin benzer bir modelde çok sayıda işlem gerçekleştirdiğini tespit ettik. Analiz ve araştırmalarımız sonucunda, bu tür işlemlerin, araç sağlayıcısının mağduru tuzağa düşürdükten sonra fon transferi ve paylaşımında bulunduğu işlemler olduğunu düşünüyoruz. Bu adreste gerçekleştirilen işlemlerden birine örnek olarak:

1. Araç sağlayıcısı CREATE2 ile bir sözleşme oluşturur. CREATE2, akıllı sözleşmeler oluşturmak için Ethereum sanal makinesinde bulunan bir komuttur. Araç sağlayıcısı, CREATE2 komutunun doğasını kullanarak, dolandırıcılık hizmetinin alıcıları için önceden paylaşım sözleşmesinin adresini hesaplar ve mağdurlar yemi yuttuğunda paylaşım sözleşmesini oluşturarak token transferi ve paylaşım işlemini tamamlar.

2. Oluşturulan sözleşmeyi çağırarak, mağdurun token'ını dolandırıcılık adresine (hizmetin alıcısı) ve paylaşım adresine onaylayın. Saldırgan, çeşitli dolandırıcılık yöntemleriyle mağduru kötü niyetli bir Permit2 mesajını istemeden imzalamaya yönlendirir. Permit2, kullanıcıların imza ile token transferini yetkilendirmesine olanak tanır, bu da doğrudan cüzdan ile etkileşimde bulunmadan mümkündür.

3. İki paylaşım adresine sırasıyla belirli miktarda jeton aktarın, alıcıya kalan jetonları aktarın ve paylaşımı tamamlayın.

Dikkate değer bir nokta, şu anda birçok blok zinciri cüzdanının anti-phishing veya benzeri işlevler gerçekleştirdiğidir, ancak birçok cüzdanın anti-phishing işlevi, alan adı veya blok zinciri adresi kara listeye alma yöntemiyle uygulanmaktadır. Araç sağlayıcıları, paylaşım yapmadan önce sözleşme oluşturarak, bu anti-phishing işlevlerini bir ölçüde aşabilmekte ve kurbanların dikkatini daha da azaltabilmektedir. Bu işlemde, oltalama hizmetini satın alan alıcı, 82.5% hırsızlık parasını alırken, araç sağlayıcı %17.5'ini saklamaktadır.

Basit Bir Phishing Sitesi Oluşturma Adımları

SaaS'ın yardımıyla, saldırganların bir phishing sitesi oluşturması son derece kolay hale geliyor:

1. Araç sağlayıcısının iletişim kanalına girdikten sonra, sadece basit bir komut ile ücretsiz bir alan adı ve karşılık gelen IP adresi oluşturabilirsiniz.

2. Sağlanan yüzlerce şablondan birini seçin, kurulum sürecine başlayın, birkaç dakika içinde görünümü düzgün bir oltalama sitesi oluşturabilirsiniz.

3. Kurbanları bulmak. Bir kurban bu siteye girdiğinde, sayfadaki dolandırıcılık bilgilerine inandığında ve cüzdanını kötü niyetli işlemi onaylamak için bağladığında, kurbanın varlıkları transfer edilir.

Saldırganlar SaaS'ın yardımıyla yalnızca birkaç dakikada bu üç adımı tamamlayarak bir phishing sitesi oluşturabilir.

Özet ve Çıkarımlar

Bir tanınmış oltalama aracı sağlayıcısının geri dönüşü, şüphesiz sektördeki kullanıcılar için büyük bir güvenlik riski oluşturmuştur. Güçlü işlevselliği ve gizli saldırı yöntemleri ile birlikte son derece düşük suç maliyeti, siber suçluların oltalama saldırıları ve fon hırsızlığı gerçekleştirmeleri için en iyi araçlardan biri haline gelmiştir.

Kullanıcılar, şifreleme para ticaretine katıldıklarında, her zaman dikkatli olmalı ve aşağıdaki noktaları hatırlamalıdır:

• Ücretsiz öğle yemeği yoktur: Herhangi bir "gökten düşen börek" reklamına, şüpheli ücretsiz airdrop'lara veya tazminatlara inanmayın, yalnızca resmi web sitelerine veya profesyonel denetim hizmeti almış projelere güvenin.
• Ağa bağlantısını sürekli kontrol edin: Herhangi bir web sitesi cüzdanına bağlanmadan önce, URL'yi dikkatlice kontrol edin, tanınmış projeleri taklit edip etmediğini anlamaya çalışın ve mümkünse WHOIS alan adı sorgulama aracını kullanarak kayıt tarihini kontrol edin. Kayıt tarihi çok kısa olan web siteleri büyük olasılıkla dolandırıcılık projeleridir.
• Gizlilik bilgilerini koruma: Şüpheli web sitelerine veya uygulamalara kendi kurtarma kelimelerinizi, özel anahtarınızı göndermeyin; cüzdanın herhangi bir mesajı imzalamasını veya bir işlemi onaylamasını istemeden önce, işlemin para kaybına neden olabilecek bir Permit veya Approve işlemi olup olmadığını dikkatlice kontrol edin.
• Dolandırıcılık bilgisi güncellemelerini takip edin: Zamanında uyarı bilgileri yayınlayan resmi sosyal medya hesaplarını takip edin, eğer yanlışlıkla dolandırıcılık adresine token yetkisi verdiyseniz, yetkiyi derhal geri alın veya kalan varlıkları başka bir güvenli adrese aktarın.