揭秘Scam-as-a-Service:警惕钓鱼攻击的产业化

2024年6月开始,CertiK安全团队监控到大量相似的phishing/drainer transaction,仅6月份监控到的涉案金额就超过5500万美元,进入8、9月份后,相关钓鱼地址的活动更加频繁,钓鱼攻击有愈演愈烈的架势。整个2024年第三季度,钓鱼攻击已经成为造成最多经济损失的攻击手段,钓鱼攻击者在65次攻击行动中获取了超过2.43亿美元。根据CertiK安全团队分析,近期频繁爆发的钓鱼攻击极有可能与Inferno Drainer这一臭名昭著的钓鱼工具团队有关。该团队曾在2023年底高调宣布“退休”,但如今似乎再次活跃,并且卷土重来,制造了一系列大规模攻击。

基于这一背景,本文将分析Inferno Drainer、Nova Drainer等网络钓鱼攻击团伙的典型作案手法,并详细列举其行为特征。希望通过这些分析,能够帮助用户提高对网络钓鱼诈骗的识别和防范能力。

什么是Scam-as-a-Service

许多人或许对Software-as-a-Service(软件即服务,SaaS)这个概念并不陌生,在加密世界中,SaaS还有另一种含义,钓鱼团队发明了一种新的恶意模式,称为Scam-as-a-Service(诈骗即服务)。这一模式将诈骗工具和服务打包,以商品化的方式提供给其他犯罪分子,臭名昭著的Inferno Drainer正是这一领域的典型代表,在2022年11月至2023年11月他们第一次宣布关闭服务期间,其诈骗金额超过8000万美元。Inferno Drainer通过向买家提供现成的钓鱼工具和基础设施,包括钓鱼网站前后端、智能合约以及社交媒体账户,帮助他们快速发起攻击,购买SaaS服务的钓鱼者保留大部分赃款,而Inferno Drainer收取10%-20%的佣金。这一模式大大降低了诈骗的技术门槛。这使得网络犯罪变得更加高效和规模化,导致钓鱼攻击在加密行业内的泛滥,尤其是那些缺乏安全意识的用户更容易成为攻击目标。

Scam-as-a-Service是如何运作的?

在介绍SaaS之前,我们可以先了解一下典型的去中心化应用(DApp)的工作流程。如下图,一个典型的DApp通常由前端界面(如Web页面或移动应用)和区块链上的智能合约组成。用户通过区块链钱包连接到DApp的前端界面,前端页面生成相应的区块链交易,并将其发送至用户的钱包。用户随后使用区块链钱包对这笔交易进行签名批准,签名完成后,交易被发送至区块链网络,并调用相应的智能合约执行所需的功能。

那么,钓鱼攻击者是如何骗取用户资金的呢?答案在于他们通过设计恶意的前端界面和智能合约,巧妙地诱导用户执行不安全的操作。攻击者通常会引导用户点击恶意链接或按钮,从而欺骗他们批准一些隐藏的恶意交易,甚至在某些情况下,直接诱骗用户泄露自己的私钥。一旦用户签署了这些恶意交易或暴露了私钥,攻击者就能轻松地将用户的资产转移到自己的账户中。

以下是一些最常见的手段:

1. 伪造知名项目前端:攻击者通过精心模仿知名项目的官方网站,创建看似合法的前端界面,让用户误以为自己正在与可信任的项目进行交互,从而放松警惕,连接钱包并执行不安全操作。如图1中,钓鱼团伙将自己的页面伪造成bagerDAO的前端页面,用户一旦在页面上批准交易,其代币就会被授权给攻击者的地址。

2. 代币空投骗局:他们在推特、Discord、Telegram等社交媒体上大肆宣传钓鱼网站,声称有“免费空投”、“早期预售”、“免费铸造NFT”等极具吸引力的机会,从而引诱受害者点击链接。受害者在被吸引到钓鱼网站后,往往会不自觉地连接钱包并批准恶意交易。如图2,攻击者向用户空投了名为“ZEPE”的代币,欺骗用户前往其钓鱼页面进行兑换,而用户一旦点击,其账户中的全部ETH都将被发送到骗子的地址。

3. 虚假黑客事件与奖励骗局:网络犯罪分子宣称某知名项目因遭遇黑客攻击或资产冻结,现正向用户发放补偿或奖励。他们通过这些虚假的紧急情况吸引用户前往钓鱼网站,诱骗他们连接钱包,最终窃取用户资金。

可以说,钓鱼诈骗并不是什么新鲜手段,在2020年之前就已经十分普遍,但SaaS模式很大程度上是近两年钓鱼诈骗愈演愈烈的最大推手。在SaaS出现之前,钓鱼攻击者们每次进行攻击,需要准备链上启动资金、创建前端网站和智能合约,虽然这些钓鱼网站大多粗制滥造,通过使用一套模板并进行简单的修改,就能重新创建新的诈骗项目,但网站的运维,页面设计还是需要一定的技术门槛。Inferno Drainer等SaaS工具提供者,完全消除了钓鱼诈骗的技术门槛,为缺乏相应技术的买家提供了创建和托管钓鱼网站的服务,并从诈骗所得中抽取利润。

Inferno Drainer与SaaS买家是如何分赃的?

2024年5月21日,Inferno Drainer在etherscan上公开了一条签名验证消息,宣告回归,并创建了新的Discord频道。

0x0000db5c8b030ae20308ac975898e09741e70000 正是CertiK近期集中监控到的具有异常行为的钓鱼地址之一。我们发现,该地址进行了大量具有相似模式的交易,经过对交易的分析和调查,我们认为,此类交易就是Inferno Drainer在检测到受害者上钩后进行资金转移和分赃的交易,我们以该地址进行的其中一个交易为例:

https://etherscan.io/tx/0x5cd1eeee1b091888e7b19bc25c99a44a08e80112fdc7a60a88b11ed592483a5f

攻击者通过Permit2转移受害者代币

1. Inferno Drainer通过CREATE2创建一个合约。CREATE2是以太坊虚拟机中的一条指令,用来创建智能合约,与传统的 CREATE 指令相比,CREATE2 指令允许根据智能合约字节码和固定的salt提前计算出合约的地址,Inferno Drainer利用了CREATE2指令的性质,提前为钓鱼服务的买家预先计算出分赃合约的地址,等到受害者上钩后再将分赃合约创建出来,完成代币转移和分赃操作。

2. 调用创建的合约,将受害人的DAI批准给钓鱼地址(Inferno Drainer服务的买家)和分赃地址。攻击者通过前文提到的各种钓鱼手段,引导受害者无意中签署了恶意的Permit2消息。Permit2允许用户通过签名授权代币的转移,而不需要直接与钱包进行互动。于是,受害者误以为他们只是在参与常规交易或授权某些无害的操作,实际上却在不知不觉中将自己的DAI代币授权给了攻击者控制的地址。

3. 向两个分赃地址先后转入3,654和7,005 DAI,向买家转入50,255 DAI,完成分赃。

值得一提的是,目前有不少区块链钱包实现了反钓鱼或类似功能,但许多钱包的反钓鱼功能是通过域名或区块链地址黑名单的方式实现,Inferno Drainer通过分赃前再创建合约的方式,一定程度上能够绕过这些反钓鱼功能,进一步降低受害者的戒备。因为在受害者批准恶意交易时,该合约甚至没有被创建出来,对该地址进行分析和调查也就无从谈起了。在这笔交易中,购买钓鱼服务的买家拿走了82.5%的赃款,而Inferno Drainer保留了17.5%。

揭秘:创建一个钓鱼网站需要几步?

看完了Inferno Drainer如何分赃,我们再来看看在SaaS的帮助下,攻击者打造一个钓鱼网站到底有多么容易。

第一步,进入Drainer提供的TG频道后,只需一个简单的命令,一个免费域名和对应的IP地址就被创建了出来。

第二步,从机器人提供的上百种模板中,任选1个,随后进入安装流程,几分钟后,一个界面像模像样的钓鱼网站就被创造了出来。

第三步,寻找受害者。一旦有受害者进入了该网站,相信了页面上的欺诈信息,并连接钱包批准了恶意交易,受害者的资产就会被转移。而攻击者在SaaS的帮助下,打造一个这样的钓鱼网站,仅需要三步,花费的时间也仅需要几分钟。

总结和启示

作为加密货币世界中最具威胁的“Drainer”之一,Inferno Drainer的回归无疑为行业用户带来了巨大的安全隐患,Inferno Drainer凭借其强大的功能和隐蔽的攻击手段,以及极低的犯罪成本,成为网络犯罪分子实施钓鱼攻击和资金盗窃的首选工具之一。

用户在参与加密货币交易时,需要时刻保持警惕,牢记以下几点:

1. 天下没有免费的午餐:不要相信任何“天上掉馅饼”的宣传,例如可疑的免费空投、补偿,仅信任官方网站或接受过专业审计服务的项目。

2. 时刻检查网络链接在任何网站连接钱包之前,仔细检查URL,是否模仿了知名项目,并尽量使用WHOIS域名查询工具,查看其注册时间,注册时间过短的网站很可能是欺诈项目。

3. 保护隐私信息:不要向任何可疑网站或App提交自己的助记词、私钥,在钱包要求签名任何消息或批准交易之前,仔细检查该交易是否是可能导致资金损失的Permit或Approve交易。

4. 关注诈骗信息更新:关注CertiK Alert等定时发布预警信息的官方社交媒体账号,如果发现自己不慎向诈骗地址授权了代币,及时撤回授权或将剩余资产转移至其他安全地址。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/908513.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

前端Election

一.什么是Election 1.一款应用广泛的跨平台和桌面应用开发框架。 2.本质 Election的本质是结合了Chromium与Node.js 3.构建 使用HTML ,CSS,JS等Web技术构建桌面应用程序。 只要最后能转换成html css js即可 二.流程模型 1.主进程 关于node.js的任何api都在这里调用 一个纯…

如何在Linux系统中使用SSH进行安全连接

如何在Linux系统中使用SSH进行安全连接 SSH简介 安装SSH 在Debian/Ubuntu系统中安装 在CentOS/RHEL系统中安装 启动SSH服务 验证SSH是否安装成功 SSH配置 配置监听端口 配置登录方式 SSH客户端 安装SSH客户端 使用SSH客户端 SSH密钥认证 生成SSH密钥对 复制公钥到远程服务器…

SpringBoot源码解析(一)

SpringBoot自动装配原理 SpringBootApplication注解 我们在使用SpringBoot时,通常使用的是SpringBootApplication这个注解,比如: 而这个注解的定义为下图,可以发现这个注解上有另外三个注解:SpringBootConfiguration…

BES2600WM---HiLink RM56 EVK

0 Preface/Foreword 0.1 路径 OpenHarmony/device_soc_bestechnic - 码云 - 开源中国 https://github.com/Hi-LinkDuino/RM56 1 环境搭建 1.1 安装依赖工具 sudo apt-get install build-essential gcc g make zlib* libffi-dev e2fsprogs pkg-config flex bison perl bc ope…

C# 编程语言学习教程

C# 编程语言学习教程 目录 C# 简介 1.1 什么是 C#1.2 C# 的特点1.3 C# 的应用领域 环境搭建 2.1 安装 Visual Studio2.2 创建第一个 C# 项目 基础语法 3.1 数据类型3.2 控制结构3.3 数组与字符串 面向对象编程 4.1 类与对象4.2 继承与多态4.3 接口与抽象类 常用库与框架 5.1 .…

PAT甲级-1092 To Buy or Not to Buy

题目 题目大意 Eva想要买珠子,但是只能按串买。如果串上有她想要买的所有珠子,那么输出“Yes”,再输出需要额外买几个珠子。如果串上缺少她想要的珠子,那么输出“No”,并输出缺少的珠子个数。其中,s1是商店…

使用WebAssembly优化Web应用性能

💓 博客主页:瑕疵的CSDN主页 📝 Gitee主页:瑕疵的gitee主页 ⏩ 文章专栏:《热点资讯》 使用WebAssembly优化Web应用性能 引言 WebAssembly 简介 编译 WebAssembly 模块 使用 Emscripten 编译 C/C 代码 使用 Rust 编译…

【C语言】自定义类型(结构体、枚举、联合的详解)下

写在前面 书接上回:【C语言】自定义类型(结构体、枚举、联合的详解)上 在上中,不才独篇撰写了结构体的具体细节,本篇笔记主要是把剩下的自定义类型全部展示。 文章目录 写在前面二、位段2.1、位段的定义2.2、位段占用…

初始JavaEE篇 —— 文件操作与IO

找往期文章包括但不限于本期文章中不懂的知识点: 个人主页:我要学编程程(ಥ_ಥ)-CSDN博客 所属专栏:JavaEE 目录 文件介绍 Java标准库中提供操作文件的类 文件系统操作 File类的介绍 File类的使用 文件内容操作 二进制文件的读写操作…

CSP 2024 入门级第二轮 CSP-J 2024 复赛 第一题 扑克牌

一、题目阅读 [CSP-J 2024] 扑克牌 - 洛谷 二、题目解析 输入 去重 三、题目代码 #include <bits/stdc.h> using namespace std;int main() {map<string, bool> flag;int n, res 52;cin >> n;while (n--) {string s;cin >> s;if (!flag[s]) { // …

面试题:JVM(二)

1. 面试题 简述 Java 类加载机制?&#xff08;百度&#xff09; JVM类加载机制 &#xff08;滴滴&#xff09; JVM中类加载机制&#xff0c;类加载过程&#xff0c;什么是双亲委派模型&#xff1f; &#xff08;腾讯&#xff09; JVM的类加载机制是什么&#xff1f; &#x…

AUTOSAR CP MCAL微控制器抽象层介绍

AUTOSAR(Automotive Open System Architecture)即汽车开放系统架构,它将汽车电子控制单元(ECU)的软件底层做了一个标准的封装,使得开发者能够共用一套底层软件,并通过修改参数来匹配不同的硬件和应用层软件。AUTOSAR CP(Classic Platform)是AUTOSAR架构中的一个重要组…

ElastricSearch 原理以及简单实用(超级通俗)

提到非结构化数据的检索&#xff0c;常常用到 ElasticSearch&#xff0c;他是什么呢&#xff1f; ElasticSearch 是一个基于 Apache Lucene 的分布式搜索引擎&#xff0c;可以作为实时文档存储系统&#xff0c;且文档的每一个内容都可以被检索&#xff0c;能够处理 PB 级别的结…

在线培训知识库:企业培训的新篇章

在当今快节奏的商业环境中&#xff0c;员工培训已成为企业保持竞争力的关键。在线培训知识库作为一种新兴的培训工具&#xff0c;正逐渐成为企业培训体系的核心。它不仅能够提供灵活的学习方式&#xff0c;还能确保培训内容的及时更新和高效传播。本文将探讨在线培训知识库的重…

简单的kafkaredis学习之kafka

简单的kafka&redis学习整理之kafka 1. kafka 1.1 什么是消息队列 在学习Kafka之前我们先来看一下什么是消息队列&#xff0c;消息队列(Message Queue)&#xff1a;可以简称为MQ 例如&#xff1a;Java中的Queue队列&#xff0c;也可以认为是一个消息队列 消息队列&#x…

【连续多届检索,ACM出版】第四届大数据、人工智能与风险管理国际学术会议 (ICBAR 2024,11月15-17)--冬季主会场

第四届大数据、人工智能与风险管理国际学术会议 (ICBAR 2024)--冬季主会场 2024 4th International Conference on Big Data, Artificial Intelligence and Risk Management 会议官网&#xff1a;www.icbar.net 2024 4th International Conference on Big Data, Artificial I…

集成框架 -- 自定义二方包 starter

自定义starter 二方包 My-thread-pool-startermy-thread-pool-starter 整体架构 测试 MyTestAppApplication测试工程 my-test-app 结构测试项目的 pom.xml 二方包 My-thread-pool-starter POM 文件 <project xmlns"http://maven.apache.org/POM/4.0.0"xmlns:xsi&…

如何看待AI技术的应用前景?

文章目录 如何看待AI技术的应用前景引言AI技术的现状1. AI的定义与分类2. 当前AI技术的应用领域 AI技术的应用前景1. 经济效益2. 社会影响3. 技术进步 AI技术应用面临的挑战1. 数据隐私与安全2. 可解释性与信任3. 技能短缺与就业影响 AI技术的未来发展方向1. 人工智能的伦理与法…

华为擎云(银河麒麟V10+麒麟9000C CPU)电脑总是弹出“选择新密钥环的密码”(20241030)

症状如下图&#xff1a; 网络上一般的解决方法都是安装 seahorse &#xff0c;例如这篇文章:银河麒麟系统清除桌面密钥环 不知道为什么&#xff0c;这对我的这台电脑并不可行。 麒麟系统用的是 Gnome 桌面。这个“密钥环”的弹出框是由 gnome-keyring-daemon 弹出的。这是一个…

[SICTF Round4] PWN

这PWN题似乎是给我出的&#xff0c;4个一血1个2血。密码又过于简单。逆向太难了又不大会。 Stack fengshui main可以溢出覆盖rbpret所以它每一步都需要移栈。 可用的ROP里没有pop rdi,在4004c0里有错位的01 5d c3 &#xff1a;add DWORD PTR [rbp-0x3d], ebx 并且有对应的p…