Haziran 2024'ten itibaren CertiK güvenlik ekibi çok sayıda benzer kimlik avı/boşaltma işlemini izledi. Yalnızca Haziran ayında söz konusu tutar 55 milyon ABD dolarını aştı. Ağustos ve Eylül aylarına girdikten sonra ilgili kimlik avı adreslerinin etkinlikleri daha sık hale geldi. saldırılar Giderek şiddetlenen bir durum var. 2024 yılının üçüncü çeyreği boyunca, phishing saldırıları en fazla mali kayba neden olan saldırı yöntemi haline geldi ve phishing saldırganları 65 saldırı operasyonunda 243 milyon dolardan fazla para elde etti. CertiK güvenlik ekibinin analizine göre, son zamanlarda sık sık yaşanan kimlik avı saldırıları büyük olasılıkla kötü şöhretli bir kimlik avı aracı ekibi olan Inferno Drainer ile ilgili. Ekip, 2023'ün sonunda yüksek profilli bir şekilde "emekliye ayrılacağını" duyurmuştu, ancak şimdi yeniden aktif görünüyor ve bir dizi büyük ölçekli saldırı yaratarak geri dönüş yaptı.

Bu arka plana dayanarak bu makale, Inferno Drainer ve Nova Drainer gibi phishing saldırı gruplarının tipik işleyiş tarzlarını analiz edecek ve davranışsal özelliklerini ayrıntılı olarak listeleyecektir. Bu analizler aracılığıyla kullanıcıların kimlik avı dolandırıcılıklarını belirleme ve önleme becerilerini geliştirmelerine yardımcı olabileceğimizi umuyoruz.

Hizmet Olarak Dolandırıcılık Nedir?

Birçok kişi Hizmet Olarak Yazılım (SaaS) kavramına aşina olabilir. Şifreleme dünyasında SaaS'ın başka bir anlamı daha vardır. Kimlik avı ekibi, Hizmet Olarak Dolandırıcılık adı verilen yeni bir kötü amaçlı model icat etti. Bu model, dolandırıcılık araçlarını ve hizmetlerini paketliyor ve bunları ticarileştirilmiş bir şekilde diğer suçlulara sunuyor. Ünlü Inferno Drainer, bu alanın tipik bir temsilcisidir. Bunu ilk olarak Kasım 2022'den Kasım 2023'e kadar duyurdular. Hizmetin kapatıldığı dönemde. dolandırıcılık miktarı 80 milyon doları aştı. Inferno Drainer, kimlik avı web sitesi ön uçları, akıllı sözleşmeler ve sosyal medya hesapları dahil olmak üzere hazır kimlik avı araçları ve altyapısı sağlayarak alıcıların hızlı bir şekilde saldırı başlatmasına yardımcı olur. SaaS hizmetlerini satın alan kimlik avı yapanlar çalınan paranın çoğunu elinde tutarken Inferno Drainer %10 ücret alır. -%20 komisyon. Bu model dolandırıcılık için teknik eşiği büyük ölçüde azaltır. Bu, siber suçları daha verimli ve geniş çaplı hale getirerek, özellikle şifreleme sektöründe kimlik avı saldırılarının yaygınlaşmasına yol açtı.

Hizmet Olarak Dolandırıcılık nasıl çalışır?

SaaS'ı tanıtmadan önce, ilk olarak tipik bir merkezi olmayan uygulamanın (DApp) iş akışını anlayabiliriz. Aşağıdaki şekilde gösterildiği gibi, tipik bir DApp genellikle bir ön uç arayüzden (bir web sayfası veya mobil uygulama gibi) ve blockchain üzerindeki akıllı bir sözleşmeden oluşur. Kullanıcı, blockchain cüzdanı aracılığıyla DApp'in ön uç arayüzüne bağlanır ve ön uç sayfası, ilgili blockchain işlemini oluşturur ve bunu kullanıcının cüzdanına gönderir. Kullanıcı daha sonra işlemi imzalamak ve onaylamak için blockchain cüzdanını kullanır. İmza tamamlandıktan sonra işlem blockchain ağına gönderilir ve gerekli işlevleri gerçekleştirmek için ilgili akıllı sözleşme çağrılır.

Peki, kimlik avı saldırganları kullanıcıları fon konusunda nasıl dolandırıyor? Cevap, kötü niyetli ön uç arayüzleri ve akıllı sözleşmeler tasarlayarak kullanıcıları akıllıca güvenli olmayan işlemler gerçekleştirmeye teşvik etmelerinde yatmaktadır. Saldırganlar genellikle kullanıcıları kötü amaçlı bağlantılara veya düğmelere tıklamaya yönlendirerek onları bazı gizli kötü amaçlı işlemleri onaylamaları için kandırırlar, hatta bazı durumlarda kullanıcıları doğrudan özel anahtarlarını açığa çıkarmaları için kandırırlar. Bir kullanıcı bu kötü amaçlı işlemleri imzaladığında veya özel anahtarlarını açığa çıkardığında, saldırganlar kullanıcının varlıklarını kolaylıkla kendi hesaplarına aktarabilir.

İşte en yaygın yollardan bazıları:

1. Tanınmış projelerin ön uçlarını oluşturmak: Saldırganlar, tanınmış projelerin resmi web sitelerini dikkatli bir şekilde taklit ederek meşru görünümlü ön uç arayüzleri oluşturur, kullanıcıları yanlışlıkla güvenilir projelerle etkileşimde olduklarına inandırır ve böylece kullanıcıların rahat olmalarını sağlar. dikkatli olun, cüzdanlara bağlanın ve güvenli olmayan işlemler gerçekleştirin. Şekil 1'de gösterildiği gibi, kimlik avı grubu kendi sayfasını bagerDAO'nun ön uç sayfasına yerleştirdi. Kullanıcı sayfadaki işlemi onayladıktan sonra, tokenleri saldırganın adresine yetkilendirilecek.

2. Token airdrop dolandırıcılığı: "Ücretsiz airdroplar", "erken ön satışlar" ve "NFT'lerin ücretsiz basılması" gibi cazip fırsatlara sahip olduklarını iddia ederek Twitter, Discord, Telegram ve diğer sosyal medyada kimlik avı web sitelerinin tanıtımını yapıyorlar. kurbanın bağlantıya tıklaması. Kurbanlar, bir kimlik avı web sitesine ilgi duyduktan sonra genellikle farkında olmadan cüzdanlarına bağlanır ve kötü amaçlı işlemleri onaylar. Şekil 2'de gösterildiği gibi, saldırgan kullanıcıya "ZEPE" adlı bir jetonu airdrop yaparak kullanıcıyı kimlik avı sayfasına giderek onu kullanması için kandırdı. Kullanıcı buna tıkladığında, hesabındaki tüm ETH'ler gönderilecek. Dolandırıcının adresi.

3. Sahte bilgisayar korsanlığı olayları ve ödül dolandırıcılıkları: Siber suçlular, tanınmış bir projenin, bilgisayar korsanlarının saldırıları veya varlıkların dondurulması nedeniyle artık kullanıcılara tazminat veya ödül verdiğini iddia ediyor. Bu sahte acil durumları, kullanıcıları kimlik avı web sitelerine çekmek, cüzdanlarına bağlanmaları için kandırmak ve sonuçta kullanıcı fonlarını çalmak için kullanıyorlar.

Kimlik avı dolandırıcılıklarının yeni bir yöntem olmadığı ve 2020 öncesinde oldukça yaygın olduğu söylenebilir. Ancak son iki yılda kimlik avı dolandırıcılıklarının yoğunlaşmasının en büyük itici gücü büyük ölçüde SaaS modelidir. SaaS'ın ortaya çıkmasından önce, kimlik avı saldırganlarının her saldırı başlattıklarında zincir içi başlangıç ​​fonları hazırlamaları, ön uç web siteleri ve akıllı sözleşmeler oluşturmaları gerekiyordu. Bu kimlik avı web sitelerinin çoğu kabaca yapılmış olsa da, bir set kullanılarak yeniden oluşturulabiliyordu. Şablonların oluşturulması ve basit değişikliklerin yapılması Yeni bir dolandırıcılık projesidir ancak web sitesinin ve sayfa tasarımının işletilmesi ve bakımı hala belirli bir teknik eşik gerektirmektedir. Inferno Drainer gibi SaaS aracı sağlayıcıları, kimlik avı dolandırıcılıklarının önündeki teknik engelleri tamamen ortadan kaldırarak, uygun teknolojiye sahip olmayan alıcılara kimlik avı web siteleri oluşturma ve barındırma hizmetleri sunarak, dolandırıcılık gelirlerinden kar elde etmelerini sağladı.

Inferno Drainer, ganimetleri SaaS alıcılarıyla nasıl paylaştırıyor?

21 Mayıs 2024'te Inferno Drainer, eterscan'de bir imza doğrulama mesajı yayınlayarak geri döndüğünü ve yeni bir Discord kanalı oluşturduğunu duyurdu.

Inferno Drainer, ganimeti SaaS alıcılarıyla nasıl paylaştırıyor?

21 Mayıs 2024'te Inferno Drainer, eterscan'de bir imza doğrulama mesajı yayınlayarak geri döndüğünü ve yeni bir Discord kanalı oluşturduğunu duyurdu.

0x0000db5c8b030ae20308ac975898e09741e70000, CertiK'in yakın zamanda izlediği anormal davranışlara sahip kimlik avı adreslerinden biridir. Bu adresin benzer düzende çok sayıda işlem gerçekleştirdiğini tespit ettik. İşlemleri inceledikten ve inceledikten sonra, bu işlemlerin Inferno Drainer'ın kurbanın bağımlısı olduğunu tespit ettikten sonra para aktardığı ve çalınan malları dağıttığı işlemler olduğuna inanıyoruz. Bu adresi kullanarak yapılan işlemlerden birine bir örnek:

https://etherscan.io/tx/0x5cd1eeee1b091888e7b19bc25c99a44a08e80112fdc7a60a88b11ed592483a5f

Saldırgan kurban jetonlarını Permit2 aracılığıyla aktarıyor

1. Inferno Drainer, CREATE2 aracılığıyla bir sözleşme oluşturur. CREATE2, akıllı sözleşmeler oluşturmak için kullanılan Ethereum Sanal Makinesindeki bir talimattır. Geleneksel CREATE talimatıyla karşılaştırıldığında, CREATE2 talimatı, Inferno Drainer'ın aldığı akıllı sözleşme bayt koduna göre sözleşmenin adresinin önceden hesaplanmasına olanak tanır. CREATE2'nin avantajı Talimatın niteliği, kimlik avı hizmetinin alıcısı için ganimet paylaşım sözleşmesinin adresini önceden hesaplamak, kurban yemi yiyene kadar beklemek ve ardından token transferini tamamlamak için ganimet paylaşım sözleşmesi oluşturmak ve ganimet paylaşımı operasyonları.

2. Kurbanın kimlik avı adresine (Inferno Drainer hizmetinin alıcısı) ve çalınan malların adresine giden DAI'sini onaylamak için oluşturulan sözleşmeyi arayın. Saldırganlar, kurbanları istemeden kötü amaçlı Permit2 mesajlarını imzalamaya yönlendirmek için yukarıda bahsedilen çeşitli kimlik avı yöntemlerini kullanır. Permit2, kullanıcıların cüzdanla doğrudan etkileşime girmek zorunda kalmadan token transferini imzalar yoluyla yetkilendirmesine olanak tanır. Sonuç olarak, mağdurlar yanlışlıkla yalnızca normal işlemlere katıldıklarına veya belirli zararsız işlemlere izin verdiklerine inanıyorlar, ancak aslında farkında olmadan DAI tokenlerini saldırganın kontrol ettiği adreslere yetkilendiriyorlar.

3. Ganimetlerin bölünmesi için 3.654 ve 7.005 DAI'yi iki adrese, 50.255 DAI'yi ise ganimetlerin bölünmesini tamamlamak için alıcıya aktarın.

Şu anda kimlik avına karşı koruma veya benzer işlevleri uygulayan birçok blockchain cüzdanının bulunduğunu belirtmekte fayda var, ancak birçok cüzdanın kimlik avı önleme işlevleri, alan adı veya blok zinciri adresi kara listeleri aracılığıyla ganimetleri bölmeden önce uygulanır. Sözleşme yöntemi, bu kimlik avı önleme işlevlerini bir dereceye kadar atlayabilir ve mağdurların dikkatini daha da azaltabilir. Mağdurun kötü niyetli işlemi onaylamasıyla sözleşme bile oluşturulmadığından, adresin analizi ve araştırılması imkansızdı. Anlaşmada balıkçılık hizmetinin alıcısı çalınan paranın %82,5'ini alırken, Inferno Drainer %17,5'ini aldı.

Ortaya Çıktı: Kimlik avı web sitesi oluşturmak için kaç adım gerekir?

Inferno Drainer'ın ganimeti nasıl böldüğünü gördükten sonra, saldırganların SaaS yardımıyla kimlik avı web sitesi oluşturmasının ne kadar kolay olduğuna bir göz atalım.

İlk adımda Drainer tarafından sağlanan TG kanalına girildikten sonra basit bir komutla ücretsiz bir alan adı ve buna karşılık gelen IP adresi oluşturulur.

İkinci adımda robotun sağladığı yüzlerce şablondan herhangi birini seçin ve ardından kurulum sürecine girin. Birkaç dakika içinde iyi bir arayüze sahip bir kimlik avı web sitesi oluşturulacaktır.

Üçüncü adım kurbanı bulmaktır. Bir kurban web sitesine girdiğinde, sayfadaki sahte bilgilere inandığında ve kötü amaçlı işlemi onaylamak için cüzdana bağlandığında, kurbanın varlıkları devredilecektir. Bir saldırgan, SaaS'ın yardımıyla yalnızca üç adımda ve yalnızca birkaç dakika içinde böyle bir kimlik avı web sitesi oluşturabilir.

Özet ve ilham

Kripto para dünyasındaki en tehditkar "Drainer"lardan biri olan Inferno Drainer'ın geri dönüşü şüphesiz sektör kullanıcılarına büyük güvenlik riskleri getiriyor ve güçlü işlevlerine, gizli saldırı yöntemlerine ve son derece düşük suç maliyetlerine güveniyor. Kimlik avı saldırıları gerçekleştirmek ve hırsızlığı finanse etmek için siber suçluların tercih ettiği araçlar.

Kullanıcıların kripto para birimi işlemlerine katılırken her zaman dikkatli olmaları ve aşağıdaki noktaları akılda tutmaları gerekir: