Розкриття індустріалізації фішингових атак у світі шифрування

З червня 2024 року команда безпеки зафіксувала велику кількість схожих фішингових транзакцій, лише в червні сума втрат перевищила 55 мільйонів доларів США. У серпні та вересні відповідна фішингова активність стала ще більш частою, набуваючи все більшого розмаху. Протягом третього кварталу 2024 року фішингові атаки стали найбільшою причиною економічних втрат, в 65 атаках було отримано понад 243 мільйони доларів США. Аналіз показує, що нещодавно часті фішингові атаки, ймовірно, пов'язані з відомою командою фішингових інструментів. Ця команда оголосила про "вихід на пенсію" наприкінці 2023 року, але тепер, здається, знову активна, здійснюючи низку масштабних атак.

Ця стаття аналізуватиме методи роботи типових груп, що займаються фішингом, і детально перераховуватиме їхні поведінкові характеристики, з метою допомогти користувачам покращити свої навички розпізнавання та запобігання шахрайству в мережі.

Що таке шахрайство як послуга

У світі шифрування деякі фішингові команди винайшли новий зловмисний режим, що називається "Scam-as-a-Service" (шахрайство як послуга). Цей режим пакує інструменти та послуги шахрайства, пропонуючи їх у товарному вигляді іншим злочинцям. Відома команда фішингових інструментів є типовим представником цієї сфери, і під час першого оголошення про закриття послуг з листопада 2022 року по листопад 2023 року їхня сума шахрайства перевищила 80 мільйонів доларів.

Команда допомагає покупцям швидко розпочати атаки, надаючи готові інструменти для фішингу та інфраструктуру, включаючи фішингові сайти (фронт-енд та бек-енд), смарт-контракти та облікові записи в соціальних мережах. Фішери, які купують послуги, можуть зберігати більшу частину викрадених коштів, тоді як постачальники послуг стягують комісію в розмірі 10%-20%. Ця модель значно знижує технічні бар'єри для шахрайства, роблячи кіберзлочини більш ефективними та масштабованими, що призводить до поширення фішингових атак у шифрувальному секторі, особливо ті користувачі, які не усвідомлюють безпеки, стають легшими мішенями для атак.

Як працює Scam-as-a-Service

Перед тим як представляти SaaS, давайте спочатку зрозуміємо типовий робочий процес децентралізованого додатку (DApp). Типовий DApp зазвичай складається з фронтенд-інтерфейсу (такого як веб-сторінка або мобільний додаток) і смарт-контракту на блокчейні. Користувач підключається до фронтенд-інтерфейсу DApp через гаманець на блокчейні, фронтенд-сторінка генерує відповідну транзакцію на блокчейні і надсилає її до гаманця користувача. Користувач потім використовує гаманець на блокчейні для підписання та затвердження цієї транзакції, після завершення підписання транзакція надсилається до блокчейн-мережі і викликає відповідний смарт-контракт для виконання необхідних функцій.

Атакувальники риболовлі шляхом створення шкідливих інтерфейсів фронтенду та смарт-контрактів хитро спонукають користувачів виконувати небезпечні операції. Атакувальники зазвичай ведуть користувачів до натискання на шкідливі посилання або кнопки, обманюючи їх на затвердження деяких прихованих шкідливих транзакцій, а в деяких випадках навіть безпосередньо спонукають користувачів розкрити свої приватні ключі. Як тільки користувач підписує ці шкідливі транзакції або розкриває приватні ключі, атакувальники можуть легко перевести активи користувача на свої рахунки.

Ось деякі найпоширеніші засоби:

1. Підробка інтерфейсу відомого проекту: зловмисники ретельно імітують офіційний веб-сайт відомого проекту, створюючи на перший погляд легітимний інтерфейс, який вводить користувачів в оману щодо взаємодії з надійним проектом, в результаті чого вони стають менш обережними, підключають гаманці та виконують небезпечні операції.

2. Схема з повітряними токенами: вони активно рекламують фішингові сайти в соціальних мережах, стверджуючи, що є "безкоштовні повітряні токени", "ранні попередні продажі", "безкоштовне карбування NFT" та інші вкрай привабливі можливості, спокушаючи жертв натискати на посилання. Жертви, потрапивши на фішинговий сайт, часто несвідомо підключають свій гаманець і схвалюють шкідливі транзакції.

3. Фальшиві атаки хакерів та схеми винагород: кіберзлочинці стверджують, що якийсь відомий проект зазнав хакерської атаки або замороження активів, і тепер виплачує компенсації або винагороди користувачам. Вони використовують ці фальшиві надзвичайні ситуації, щоб залучити користувачів на фішингові сайти, спокушаючи їх підключати гаманці, в результаті чого викрадають кошти користувачів.

Фішинг-шахрайство не є новим методом, але модель SaaS в значній мірі стала найбільшим каталізатором зростання фішинг-шахрайства за останні два роки. Постачальники SaaS-інструментів повністю усунули технічний бар'єр для фішинг-шахрайства, надаючи послуги з створення та хостингу фішингових веб-сайтів для покупців, які не мають відповідних технологій, і отримуючи прибуток з шахрайських доходів.

Спосіб розподілу прибутку між постачальниками SaaS та покупцями

21 травня 2024 року, один відомий постачальник риболовних інструментів оприлюднив повідомлення про перевірку підпису на etherscan, оголосивши про повернення та створивши новий канал у Discord.

Ми виявили, що певна адреса провела велику кількість транзакцій з подібними патернами. Після аналізу та розслідування, ми вважаємо, що такі транзакції є операціями з переміщення коштів і розподілу здобичі з боку постачальника інструментів після виявлення жертви. Наприклад, одна з транзакцій, здійснена за цією адресою:

1. Постачальник інструментів створює контракт через CREATE2. CREATE2 — це інструкція в віртуальній машині Ethereum, що використовується для створення смарт-контрактів. Постачальник інструментів використовує властивості інструкції CREATE2, щоб заздалегідь обчислити адресу розподільного контракту для покупців фішингових послуг, а потім, коли жертва потрапляє в пастку, створює розподільний контракт, завершаючи передачу токенів і операцію розподілу.

2. Виклик створеного контракту, дозволяючи токени жертви адресі фішингу (покупець послуг) та адресі розподілу прибутку. Зловмисник за допомогою різних фішингових методів спонукає жертву ненавмисно підписати шкідливе повідомлення Permit2. Permit2 дозволяє користувачам авторизувати передачу токенів за допомогою підпису, не взаємодіючи безпосередньо з гаманцем.

3. Переведіть певну кількість токенів на два адреси для розподілу, а залишок токенів переведіть покупцеві, завершивши розподіл.

Варто зазначити, що в даний час існує чимало гаманців для шифрування, які реалізували функції захисту від фішингу або подібні можливості, але багато з цих функцій захисту від фішингу реалізуються шляхом використання чорних списків доменів або адрес блокчейну. Постачальники інструментів можуть у певній мірі обійти ці функції захисту від фішингу, створивши контракти перед розподілом краденого. У цій транзакції покупець фішинг-сервісів отримав 82,5% крадених коштів, тоді як постачальник інструментів залишив собі 17,5%.

Простий процес створення фішингового сайту

Завдяки SaaS, зловмисникам стало надзвичайно легко створити фішинговий сайт:

1. Після входження в комунікаційний канал постачальника інструментів, всього за допомогою однієї простої команди можна створити безкоштовний домен та відповідну IP-адресу.

2. Виберіть один із сотень наданих шаблонів, перейдіть до процесу встановлення, і через кілька хвилин ви зможете створити інтерфейс, схожий на реальний фішинговий сайт.

3. Шукати жертв. Як тільки жертва заходить на сайт, вірить шахрайській інформації на сторінці та підключає гаманець, щоб схвалити шкідливу транзакцію, активи жертви будуть переведені.

Зловмисник за допомогою SaaS може за кілька хвилин виконати ці три кроки та створити фішинговий вебсайт.

Підсумки та висновки

Повернення відомого постачальника інструментів для фішингу безумовно створило величезні загрози безпеці для користувачів галузі. Завдяки своїм потужним функціям і прихованим методам атаки, а також надзвичайно низьким витратам на злочин, він став одним із найбільш популярних інструментів для кіберзлочинців для здійснення фішингових атак і крадіжки коштів.

Користувачі, беручи участь у торгівлі криптовалютою, повинні завжди бути обережними та пам'ятати про такі моменти:

• У світі немає безкоштовних обідів: не вірте жодній рекламі "пиріжків, що падають з неба", наприклад, сумнівним безкоштовним аірдропам, компенсаціям, довіряйте лише офіційним сайтам або проектам, які пройшли професійну аудиторську перевірку.
• Постійно перевіряйте мережеве зʼєднання: перед підключенням гаманця до будь-якого веб-сайту ретельно перевірте URL, чи не імітує він відомі проекти, і намагайтеся використовувати інструменти перевірки доменів WHOIS, щоб дізнатися дату реєстрації; сайти з коротким терміном реєстрації, як правило, є шахрайськими проектами.
• Захист інформації про конфіденційність: не надавайте своїх мнемонічних слів, приватних ключів жодним підозрілим веб-сайтам або додаткам, перед тим як підписувати будь-які повідомлення або схвалювати транзакції у гаманці, уважно перевірте, чи є ця транзакція можливим Permit або Approve, що може призвести до втрати коштів.
• Слідкуйте за оновленнями інформації про шахрайство: підписуйтеся на офіційні акаунти соціальних медіа, які регулярно публікують попереджувальну інформацію. Якщо ви виявили, що випадково надали токени шахрайській адресі, терміново відкличте авторизацію або перемістіть залишкові активи на іншу безпечну адресу.