揭祕加密世界中的釣魚攻擊產業化

2024年6月以來，安全團隊監測到大量相似的網絡釣魚交易，僅6月份涉案金額就超過5500萬美元。進入8、9月後，相關釣魚活動更加頻繁，呈愈演愈烈之勢。整個2024年第三季度，釣魚攻擊已成爲造成最多經濟損失的手段，65次攻擊行動中獲取了超過2.43億美元。分析顯示，近期頻發的釣魚攻擊很可能與一個臭名昭著的釣魚工具團隊有關。該團隊曾在2023年底宣布"退休"，但如今似乎再度活躍，並制造了一系列大規模攻擊。

本文將分析典型網絡釣魚攻擊團夥的作案手法，並詳細列舉其行爲特徵，旨在幫助用戶提高對網絡釣魚詐騙的識別和防範能力。

什麼是Scam-as-a-Service

在加密世界中，一些釣魚團隊發明了一種名爲"Scam-as-a-Service"（詐騙即服務）的新型惡意模式。這一模式將詐騙工具和服務打包，以商品化的方式提供給其他犯罪分子。某知名釣魚工具團隊是這一領域的典型代表，在2022年11月至2023年11月他們第一次宣布關閉服務期間，其詐騙金額超過8000萬美元。

該團隊通過向買家提供現成的釣魚工具和基礎設施，包括釣魚網站前後端、智能合約以及社交媒體帳戶，幫助他們快速發起攻擊。購買服務的釣魚者可保留大部分贓款，而服務提供方則收取10%-20%的佣金。這一模式大大降低了詐騙的技術門檻，使網路犯罪變得更加高效和規模化，導致釣魚攻擊在加密行業內泛濫，尤其是那些缺乏安全意識的用戶更容易成爲攻擊目標。

Scam-as-a-Service的運作方式

在介紹SaaS之前，我們先了解一下典型的去中心化應用（DApp）的工作流程。一個典型的DApp通常由前端界面（如Web頁面或移動應用）和區塊鏈上的智能合約組成。用戶通過區塊鏈錢包連接到DApp的前端界面，前端頁面生成相應的區塊鏈交易，並將其發送至用戶的錢包。用戶隨後使用區塊鏈錢包對這筆交易進行籤名批準，籤名完成後，交易被發送至區塊鏈網路，並調用相應的智能合約執行所需的功能。

釣魚攻擊者通過設計惡意的前端界面和智能合約，巧妙地誘導用戶執行不安全的操作。攻擊者通常會引導用戶點擊惡意連結或按鈕，從而欺騙他們批準一些隱藏的惡意交易，甚至在某些情況下，直接誘騙用戶泄露自己的私鑰。一旦用戶簽署了這些惡意交易或暴露了私鑰，攻擊者就能輕鬆地將用戶的資產轉移到自己的帳戶中。

以下是一些最常見的手段：

1. 僞造知名項目前端：攻擊者精心模仿知名項目的官方網站，創建看似合法的前端界面，讓用戶誤以爲正在與可信任的項目交互，從而放松警惕，連接錢包並執行不安全操作。

2. 代幣空投騙局：他們在社交媒體上大肆宣傳釣魚網站，聲稱有"免費空投"、"早期預售"、"免費鑄造NFT"等極具吸引力的機會，引誘受害者點擊連結。受害者在被吸引到釣魚網站後，往往會不自覺地連接錢包並批準惡意交易。

3. 虛假黑客事件與獎勵騙局：網路犯罪分子宣稱某知名項目因遭遇黑客攻擊或資產凍結，現正向用戶發放補償或獎勵。他們通過這些虛假的緊急情況吸引用戶前往釣魚網站，誘騙他們連接錢包，最終竊取用戶資金。

釣魚詐騙並非新鮮手段，但SaaS模式很大程度上是近兩年釣魚詐騙愈演愈烈的最大推手。SaaS工具提供者完全消除了釣魚詐騙的技術門檻，爲缺乏相應技術的買家提供了創建和托管釣魚網站的服務，並從詐騙所得中抽取利潤。

SaaS提供商與買家的分贓方式

2024年5月21日，某知名釣魚工具提供商在etherscan上公開了一條籤名驗證消息，宣告回歸，並創建了新的Discord頻道。

我們發現，某地址進行了大量具有相似模式的交易，經過分析和調查，我們認爲，此類交易就是該工具提供商在檢測到受害者上鉤後進行資金轉移和分贓的交易。以該地址進行的其中一個交易爲例：

1. 工具提供商通過CREATE2創建一個合約。CREATE2是以太坊虛擬機中的一條指令，用來創建智能合約。工具提供商利用了CREATE2指令的性質，提前爲釣魚服務的買家預先計算出分贓合約的地址，等到受害者上鉤後再將分贓合約創建出來，完成代幣轉移和分贓操作。

2. 調用創建的合約，將受害人的代幣批準給釣魚地址（服務的買家）和分贓地址。攻擊者通過各種釣魚手段，引導受害者無意中籤署了惡意的Permit2消息。Permit2允許用戶通過籤名授權代幣的轉移，而不需要直接與錢包進行互動。

3. 向兩個分贓地址先後轉入一定數量的代幣，向買家轉入剩餘代幣，完成分贓。

值得一提的是，目前有不少區塊鏈錢包實現了反釣魚或類似功能，但許多錢包的反釣魚功能是通過域名或區塊鏈地址黑名單的方式實現，工具提供商通過分贓前再創建合約的方式，一定程度上能夠繞過這些反釣魚功能，進一步降低受害者的戒備。在這筆交易中，購買釣魚服務的買家拿走了82.5%的贓款，而工具提供商保留了17.5%。

創建釣魚網站的簡單步驟

在SaaS的幫助下，攻擊者打造一個釣魚網站變得異常容易：

1. 進入工具提供商的通訊頻道後，只需一個簡單的命令，就能創建一個免費域名和對應的IP地址。

2. 從提供的上百種模板中任選一個，進入安裝流程，幾分鍾後就能創建出一個界面像模像樣的釣魚網站。

3. 尋找受害者。一旦有受害者進入該網站，相信了頁面上的欺詐信息，並連接錢包批準了惡意交易，受害者的資產就會被轉移。

攻擊者在SaaS的幫助下，僅需幾分鍾就能完成這三個步驟，打造出一個釣魚網站。

總結和啓示

某知名釣魚工具提供商的回歸無疑爲行業用戶帶來了巨大的安全隱患。憑藉其強大的功能和隱蔽的攻擊手段，以及極低的犯罪成本，成爲網路犯罪分子實施釣魚攻擊和資金盜竊的首選工具之一。

用戶在參與加密貨幣交易時，需要時刻保持警惕，牢記以下幾點：

• 天下沒有免費的午餐：不要相信任何"天上掉餡餅"的宣傳，例如可疑的免費空投、補償，僅信任官方網站或接受過專業審計服務的項目。
• 時刻檢查網路連結：在任何網站連接錢包之前，仔細檢查URL，是否模仿了知名項目，並盡量使用WHOIS域名查詢工具，查看其註冊時間，註冊時間過短的網站很可能是欺詐項目。
• 保護隱私信息：不要向任何可疑網站或App提交自己的助記詞、私鑰，在錢包要求籤名任何消息或批準交易之前，仔細檢查該交易是否是可能導致資金損失的Permit或Approve交易。
• 關注詐騙信息更新：關注定時發布預警信息的官方社交媒體帳號，如果發現自己不慎向詐騙地址授權了代幣，及時撤回授權或將剩餘資產轉移至其他安全地址。