Indústria de ataques de phishing no mundo da encriptação: Análise do ecossistema "fraude como serviço"

Desde junho de 2024, a equipe de segurança monitorou um grande número de transações de phishing semelhantes, com um valor total superior a 55 milhões de dólares apenas no mês de junho. Ao entrar em agosto e setembro, as atividades de phishing relacionadas tornaram-se ainda mais frequentes, aumentando em intensidade. No terceiro trimestre de 2024, os ataques de phishing tornaram-se a forma de ataque que causou a maior perda econômica, com 65 ações de ataque resultando em mais de 243 milhões de dólares. A análise indica que os ataques de phishing frequentes recentemente estão provavelmente relacionados à infame equipe de ferramentas de phishing Inferno Drainer. Esta equipe havia anunciado em grande estilo sua "aposentadoria" no final de 2023, mas agora parece estar de volta, planejando uma série de ataques em larga escala.

Este artigo analisará os métodos típicos de operação de grupos de phishing como Inferno Drainer e Nova Drainer, e listará detalhadamente suas características comportamentais, a fim de ajudar os usuários a melhorar sua capacidade de reconhecimento e prevenção de fraudes de phishing.

Scam-as-a-Service(Visão Geral

No campo da encriptação, algumas equipas de phishing inventaram um novo padrão maligno, chamado "fraude como serviço". Este padrão empacota ferramentas e serviços de fraude, oferecendo-os de forma comercializada a outros criminosos. Inferno Drainer é um exemplo típico neste campo, tendo durante o seu primeiro anúncio de encerramento de serviços, entre novembro de 2022 e novembro de 2023, fraudado mais de 80 milhões de dólares.

O Inferno Drainer ajuda os compradores a iniciar ataques rapidamente, fornecendo ferramentas e infraestrutura de phishing prontas, incluindo front-end e back-end de sites de phishing, contratos inteligentes e contas de redes sociais. Os phishers que compram serviços retêm a maior parte do dinheiro roubado, enquanto o Inferno Drainer cobra uma comissão de 10%-20%. Este modelo reduziu significativamente a barreira técnica para fraudes, tornando o crime cibernético mais eficiente e em maior escala, levando a um aumento de ataques de phishing na indústria de encriptação, especialmente entre usuários que carecem de consciência de segurança, que se tornam alvos mais fáceis de ataques.

![揭秘Scam-as-a-Service生态：encriptação世界中的钓鱼攻击产业化])https://img-cdn.gateio.im/webp-social/moments-31ebce45c9c02effbe933263e3e79253.webp(

Mecanismo de operação do golpe como serviço

Antes de apresentar o serviço de fraude, vamos primeiro entender o fluxo de trabalho típico de uma aplicação descentralizada (DApp). Uma DApp típica é geralmente composta por uma interface de front-end (como uma página da Web ou um aplicativo móvel) e contratos inteligentes na blockchain. Os usuários conectam-se à interface de front-end da DApp através de uma carteira de blockchain, a página de front-end gera a transação correspondente na blockchain e a envia para a carteira do usuário. O usuário, em seguida, usa a carteira de blockchain para assinar e aprovar a transação; após a assinatura, a transação é enviada para a rede da blockchain e chama o contrato inteligente correspondente para executar as funções necessárias.

Os atacantes de phishing induzem habilmente os usuários a executar operações inseguras, projetando interfaces front-end e contratos inteligentes maliciosos. Os atacantes geralmente levam os usuários a clicar em links ou botões maliciosos, enganando-os para aprovar algumas transações ocultas e, em alguns casos, até mesmo induzindo diretamente os usuários a revelarem suas chaves privadas. Uma vez que os usuários assinam essas transações maliciosas ou expõem suas chaves privadas, os atacantes podem facilmente transferir os ativos dos usuários para suas próprias contas.

As técnicas de phishing mais comuns incluem:

1. Falsificação de front-end de projetos conhecidos: atacantes imitam cuidadosamente o site oficial de projetos conhecidos, criando uma interface de front-end que parece legítima, fazendo com que os usuários acreditem que estão interagindo com um projeto confiável, levando-os a baixar a guarda, conectar a carteira e executar operações inseguras.

2. Esquemas de airdrop de tokens: Os atacantes promovem amplamente sites de phishing nas redes sociais, alegando ter oportunidades extremamente atraentes como "airdrop gratuito", "pré-venda antecipada", "cunhagem gratuita de NFT", levando as vítimas a clicarem nos links. Após serem atraídas para o site de phishing, as vítimas muitas vezes conectam suas carteiras e aprovam transações maliciosas sem perceber.

3. Falsos eventos de hackers e esquemas de recompensa: criminosos cibernéticos afirmam que um projeto conhecido foi atacado por hackers ou teve seus ativos congelados e agora está oferecendo compensação ou recompensa aos usuários. Eles atraem os usuários para sites de phishing por meio dessas falsas emergências, enganando-os para conectarem suas carteiras e, finalmente, roubando os fundos dos usuários.

Pode-se dizer que as fraudes de phishing não são uma novidade, já eram bastante comuns antes de 2020, mas o modelo de fraudes como serviço é, em grande parte, o principal impulsionador do aumento das fraudes de phishing nos últimos dois anos. Antes do surgimento das fraudes como serviço, os atacantes de phishing precisavam preparar capital inicial em cadeia, criar sites frontais e contratos inteligentes para cada ataque. Embora a maioria desses sites de phishing fosse malfeita, era possível recriar novos projetos de fraude usando um conjunto de modelos e fazendo modificações simples, mas a operação do site e o design da página ainda exigiam um certo nível de conhecimento técnico. Fornecedores de ferramentas de fraudes como Inferno Drainer eliminaram completamente a barreira técnica para fraudes de phishing, oferecendo serviços de criação e hospedagem de sites de phishing para compradores que carecem da tecnologia necessária, e extraindo lucros das fraudes realizadas.

![Revelando o ecossistema Scam-as-a-Service: a industrialização dos ataques de phishing no mundo da encriptação])https://img-cdn.gateio.im/webp-social/moments-71339ab524e62b1626101960c5a90035.webp(

Mecanismo de partilha de ganhos do Inferno Drainer

No dia 21 de maio de 2024, o Inferno Drainer publicou uma mensagem de verificação de assinatura no etherscan, anunciando o seu regresso e criando um novo canal de mídia social.

Um determinado endereço realizou um grande número de transações com padrões semelhantes. Após a análise e investigação dessas transações, acreditamos que essas transações são aquelas em que o Inferno Drainer realiza a transferência de fundos e a divisão de lucros após detectar que a vítima caiu na armadilha. Por exemplo, uma das transações realizadas por esse endereço:

1. O Inferno Drainer cria um contrato através do CREATE2. CREATE2 é uma instrução na máquina virtual Ethereum usada para criar contratos inteligentes. Em comparação com a instrução CREATE tradicional, a instrução CREATE2 permite calcular antecipadamente o endereço do contrato com base no código de bytes do contrato inteligente e um salt fixo. O Inferno Drainer aproveita a natureza da instrução CREATE2 para calcular antecipadamente o endereço do contrato de partilha para os compradores de serviços de phishing, e assim que a vítima cair na armadilha, o contrato de partilha é criado, completando a transferência de tokens e a operação de partilha.

2. Chamar o contrato criado, permitindo que os tokens da vítima sejam aprovados para o endereço de phishing (comprador do serviço Inferno Drainer) e para o endereço de divisão. O atacante, através de várias táticas de phishing, leva a vítima a assinar inconscientemente uma mensagem maliciosa Permit2. Permit2 permite que os usuários autorizem a transferência de tokens por meio de uma assinatura, sem a necessidade de interagir diretamente com a carteira. Assim, a vítima erroneamente pensa que está apenas participando de uma transação normal ou autorizando algumas operações inofensivas, enquanto na verdade, sem saber, está autorizando seus tokens para um endereço controlado pelo atacante.

3. Transferir uma certa quantidade de tokens para dois endereços de divisão, transferir os tokens restantes para o comprador, completando a divisão.

Vale a pena mencionar que atualmente existem várias carteiras de blockchain que implementaram recursos de anti-phishing ou similares, mas muitos dos recursos de anti-phishing das carteiras são realizados através de listas negras de domínios ou endereços de blockchain. O Inferno Drainer, ao criar um contrato antes de dividir o produto do crime, consegue contornar esses recursos de anti-phishing em certa medida, reduzindo ainda mais a vigilância das vítimas. Isso ocorre porque, quando a vítima aprova uma transação maliciosa, o contrato nem mesmo foi criado, tornando impossível a análise e investigação daquele endereço. Nesta transação, o comprador do serviço de phishing levou 82,5% dos lucros ilícitos, enquanto o Inferno Drainer reteve 17,5%.

![Descoberta do Ecossistema Scam-as-a-Service: A Indústria de Ataques de Phishing no Mundo da encriptação])https://img-cdn.gateio.im/webp-social/moments-daeee0e1e38cead78e0479f0e9997f2a.webp(

Passos simples para criar um site de phishing

Com a ajuda do phishing como serviço, os atacantes tornam anormalmente fácil criar um site de phishing:

1. Entre no canal de redes sociais do prestador de serviços, basta um comando simples para criar um domínio gratuito e o endereço IP correspondente.

2. Escolha um entre os centenas de modelos fornecidos pelo prestador de serviços, em seguida, entre no processo de instalação, e em poucos minutos, um site de phishing com aparência convincente será criado.

3. Procurar vítimas. Uma vez que uma vítima aceda ao site, acredite nas informações fraudulentas na página e conecte a sua carteira para aprovar a transação maliciosa, os ativos da vítima serão transferidos.

Os atacantes, com a ajuda de fraudes como serviço, conseguem criar um site de phishing como este em apenas três passos, e o tempo necessário é de apenas alguns minutos.

![Descubra o ecossistema Scam-as-a-Service: a industrialização dos ataques de phishing no mundo da encriptação])https://img-cdn.gateio.im/webp-social/moments-0d22fc86dc5998c22f0eb33adf31cea3.webp(

Resumo e Recomendações de Segurança

O retorno do Inferno Drainer traz sem dúvida um enorme risco de segurança para os usuários da indústria, suas poderosas funcionalidades, métodos de ataque ocultos e custos de crime extremamente baixos tornam-no uma das ferramentas preferidas para os criminosos cibernéticos realizarem ataques de phishing e roubo de fundos.

Os usuários que participam de transações de encriptação de moeda precisam estar sempre alertas e lembrar os seguintes pontos:

• Cuidado com o almoço grátis: não confie em qualquer promoção de "dinheiro caindo do céu", como airdrops gratuitos suspeitos ou compensações, confie apenas em sites oficiais ou projetos que tenham passado por auditorias profissionais.
• Verifique cuidadosamente a ligação da rede: antes de conectar a carteira a qualquer site, verifique cuidadosamente a URL para ver se está a imitar projetos conhecidos, e sempre que possível, utilize ferramentas de consulta de domínio WHOIS para verificar a data de registro; sites com um tempo de registro muito curto são provavelmente projetos fraudulentos.
• Proteger informações de privacidade: Não envie suas palavras-chave, chaves privadas para qualquer site ou aplicativo suspeito. Antes de assinar qualquer mensagem ou aprovar uma transação na carteira, verifique cuidadosamente se a transação é uma autorização ou aprovação que pode resultar em perda de fundos.
• Fique atento às atualizações de informações sobre fraudes: siga contas oficiais de redes sociais que publicam informações de alerta em horários regulares. Se descobrir que, inadvertidamente, autorizou tokens a um endereço fraudulento, revogue a autorização imediatamente ou transfira os ativos restantes para outro endereço seguro.

![Revelando o ecossistema Scam-as-a-Service: a industrialização de ataques de phishing no mundo da encriptação])https://img-cdn.gateio.im/webp-social/moments-778ec30657bca8d7c8d23eecba03d2f1.webp(