Cointime

扫码下载App
iOS & Android

揭秘 Scam-as-a-Service:警惕钓鱼攻击的产业化

项目方

2024 年 6 月开始,CertiK 安全团队监控到大量相似的 phishing/drainer transaction,仅 6 月份监控到的涉案金额就超过 5500 万美元,进入 8、9 月份后,相关钓鱼地址的活动更加频繁,钓鱼攻击有愈演愈烈的架势。整个 2024 年第三季度,钓鱼攻击已经成为造成最多经济损失的攻击手段,钓鱼攻击者在 65 次攻击行动中获取了超过 2.43 亿美元。根据 CertiK 安全团队分析,近期频繁爆发的钓鱼攻击极有可能与 Inferno Drainer 这一臭名昭著的钓鱼工具团队有关。该团队曾在 2023 年底高调宣布「退休」,但如今似乎再次活跃,并且卷土重来,制造了一系列大规模攻击。

基于这一背景,本文将分析 Inferno Drainer、Nova Drainer 等网络钓鱼攻击团伙的典型作案手法,并详细列举其行为特征。希望通过这些分析,能够帮助用户提高对网络钓鱼诈骗的识别和防范能力。

什么是 Scam-as-a-Service

许多人或许对 Software-as-a-Service(软件即服务,SaaS)这个概念并不陌生,在加密世界中,SaaS 还有另一种含义,钓鱼团队发明了一种新的恶意模式,称为 Scam-as-a-Service(诈骗即服务)。这一模式将诈骗工具和服务打包,以商品化的方式提供给其他犯罪分子,臭名昭著的 Inferno Drainer 正是这一领域的典型代表,在 2022 年 11 月至 2023 年 11 月他们第一次宣布关闭服务期间,其诈骗金额超过 8000 万美元。Inferno Drainer 通过向买家提供现成的钓鱼工具和基础设施,包括钓鱼网站前后端、智能合约以及社交媒体账户,帮助他们快速发起攻击,购买 SaaS 服务的钓鱼者保留大部分赃款,而 Inferno Drainer 收取 10%-20% 的佣金。这一模式大大降低了诈骗的技术门槛。这使得网络犯罪变得更加高效和规模化,导致钓鱼攻击在加密行业内的泛滥,尤其是那些缺乏安全意识的用户更容易成为攻击目标。

Scam-as-a-Service 是如何运作的?

在介绍 SaaS 之前,我们可以先了解一下典型的去中心化应用(DApp)的工作流程。如下图,一个典型的 DApp 通常由前端界面(如 Web 页面或移动应用)和区块链上的智能合约组成。用户通过区块链钱包连接到 DApp 的前端界面,前端页面生成相应的区块链交易,并将其发送至用户的钱包。用户随后使用区块链钱包对这笔交易进行签名批准,签名完成后,交易被发送至区块链网络,并调用相应的智能合约执行所需的功能。

那么,钓鱼攻击者是如何骗取用户资金的呢?答案在于他们通过设计恶意的前端界面和智能合约,巧妙地诱导用户执行不安全的操作。攻击者通常会引导用户点击恶意链接或按钮,从而欺骗他们批准一些隐藏的恶意交易,甚至在某些情况下,直接诱骗用户泄露自己的私钥。一旦用户签署了这些恶意交易或暴露了私钥,攻击者就能轻松地将用户的资产转移到自己的账户中。

以下是一些最常见的手段:

1. 伪造知名项目前端:攻击者通过精心模仿知名项目的官方网站,创建看似合法的前端界面,让用户误以为自己正在与可信任的项目进行交互,从而放松警惕,连接钱包并执行不安全操作。如图 1 中,钓鱼团伙将自己的页面伪造成 bagerDAO 的前端页面,用户一旦在页面上批准交易,其代币就会被授权给攻击者的地址。

2. 代币空投骗局:他们在推特、Discord、Telegram 等社交媒体上大肆宣传钓鱼网站,声称有「免费空投」、「早期预售」、「免费铸造 NFT」等极具吸引力的机会,从而引诱受害者点击链接。受害者在被吸引到钓鱼网站后,往往会不自觉地连接钱包并批准恶意交易。如图 2,攻击者向用户空投了名为「ZEPE」的代币,欺骗用户前往其钓鱼页面进行兑换,而用户一旦点击,其账户中的全部 ETH 都将被发送到骗子的地址。

3. 虚假黑客事件与奖励骗局:网络犯罪分子宣称某知名项目因遭遇黑客攻击或资产冻结,现正向用户发放补偿或奖励。他们通过这些虚假的紧急情况吸引用户前往钓鱼网站,诱骗他们连接钱包,最终窃取用户资金。

可以说,钓鱼诈骗并不是什么新鲜手段,在 2020 年之前就已经十分普遍,但 SaaS 模式很大程度上是近两年钓鱼诈骗愈演愈烈的最大推手。在 SaaS 出现之前,钓鱼攻击者们每次进行攻击,需要准备链上启动资金、创建前端网站和智能合约,虽然这些钓鱼网站大多粗制滥造,通过使用一套模板并进行简单的修改,就能重新创建新的诈骗项目,但网站的运维,页面设计还是需要一定的技术门槛。Inferno Drainer 等 SaaS 工具提供者,完全消除了钓鱼诈骗的技术门槛,为缺乏相应技术的买家提供了创建和托管钓鱼网站的服务,并从诈骗所得中抽取利润。

Inferno Drainer 与 SaaS 买家是如何分赃的?

2024 年 5 月 21 日,Inferno Drainer 在 etherscan 上公开了一条签名验证消息,宣告回归,并创建了新的 Discord 频道。

0x0000db5c8b030ae20308ac975898e09741e70000 正是 CertiK 近期集中监控到的具有异常行为的钓鱼地址之一。我们发现,该地址进行了大量具有相似模式的交易,经过对交易的分析和调查,我们认为,此类交易就是 Inferno Drainer 在检测到受害者上钩后进行资金转移和分赃的交易,我们以该地址进行的其中一个交易为例:

https://etherscan.io/tx/0x5cd1eeee1b091888e7b19bc25c99a44a08e80112fdc7a60a88b11ed592483a5f

攻击者通过 Permit2 转移受害者代币

1. Inferno Drainer 通过 CREATE2 创建一个合约。CREATE2 是以太坊虚拟机中的一条指令,用来创建智能合约,与传统的 CREATE 指令相比,CREATE2 指令允许根据智能合约字节码和固定的 salt 提前计算出合约的地址,Inferno Drainer 利用了 CREATE2 指令的性质,提前为钓鱼服务的买家预先计算出分赃合约的地址,等到受害者上钩后再将分赃合约创建出来,完成代币转移和分赃操作。

2. 调用创建的合约,将受害人的 DAI 批准给钓鱼地址(Inferno Drainer 服务的买家)和分赃地址。攻击者通过前文提到的各种钓鱼手段,引导受害者无意中签署了恶意的 Permit2 消息。Permit2 允许用户通过签名授权代币的转移,而不需要直接与钱包进行互动。于是,受害者误以为他们只是在参与常规交易或授权某些无害的操作,实际上却在不知不觉中将自己的 DAI 代币授权给了攻击者控制的地址。

3. 向两个分赃地址先后转入 3,654 和 7,005 DAI,向买家转入 50,255 DAI,完成分赃。

值得一提的是,目前有不少区块链钱包实现了反钓鱼或类似功能,但许多钱包的反钓鱼功能是通过域名或区块链地址黑名单的方式实现,Inferno Drainer 通过分赃前再创建合约的方式,一定程度上能够绕过这些反钓鱼功能,进一步降低受害者的戒备。因为在受害者批准恶意交易时,该合约甚至没有被创建出来,对该地址进行分析和调查也就无从谈起了。在这笔交易中,购买钓鱼服务的买家拿走了 82.5% 的赃款,而 Inferno Drainer 保留了 17.5%。

揭秘:创建一个钓鱼网站需要几步?

看完了 Inferno Drainer 如何分赃,我们再来看看在 SaaS 的帮助下,攻击者打造一个钓鱼网站到底有多么容易。

第一步,进入 Drainer 提供的 TG 频道后,只需一个简单的命令,一个免费域名和对应的 IP 地址就被创建了出来。

第二步,从机器人提供的上百种模板中,任选 1 个,随后进入安装流程,几分钟后,一个界面像模像样的钓鱼网站就被创造了出来。

第三步,寻找受害者。一旦有受害者进入了该网站,相信了页面上的欺诈信息,并连接钱包批准了恶意交易,受害者的资产就会被转移。而攻击者在 SaaS 的帮助下,打造一个这样的钓鱼网站,仅需要三步,花费的时间也仅需要几分钟。

总结和启示

作为加密货币世界中最具威胁的「Drainer」之一,Inferno Drainer 的回归无疑为行业用户带来了巨大的安全隐患,Inferno Drainer 凭借其强大的功能和隐蔽的攻击手段,以及极低的犯罪成本,成为网络犯罪分子实施钓鱼攻击和资金盗窃的首选工具之一。

用户在参与加密货币交易时,需要时刻保持警惕,牢记以下几点:

  • 天下没有免费的午餐:不要相信任何「天上掉馅饼」的宣传,例如可疑的免费空投、补偿,仅信任官方网站或接受过专业审计服务的项目。
  • 时刻检查网络链接:在任何网站连接钱包之前,仔细检查 URL,是否模仿了知名项目,并尽量使用 WHOIS 域名查询工具,查看其注册时间,注册时间过短的网站很可能是欺诈项目。
  • 保护隐私信息:不要向任何可疑网站或 App 提交自己的助记词、私钥,在钱包要求签名任何消息或批准交易之前,仔细检查该交易是否是可能导致资金损失的 Permit 或 Approve 交易。
  • 关注诈骗信息更新:关注 CertiK Alert 等定时发布预警信息的官方社交媒体账号,如果发现自己不慎向诈骗地址授权了代币,及时撤回授权或将剩余资产转移至其他安全地址。
评论

所有评论

推荐阅读

  • 特朗普:众议院通过了我支持的法案 永久实施夏令时

    7月15日,美国总统特朗普:好消息!众议院通过了我支持的法案,永久实施夏令时。

  • 据报在AI领域斩获颇丰的中国对冲基金开始寻求退出机会

    7月15日,据彭博,今年因重仓AI相关股票而斩获颇丰的中国对冲基金,目前正开始逐步降低其风险敞口。它们向投资者发出警示,称正对这轮反弹可能无法持续的信号保持高度警惕。一封投资者信显示,上海领久私募(Everlead Capital)旗下的“成长策略3号基金”今年截至5月31日的收益率高达164%。该机构已告诉投资者,他们近期削减了在光通信和先进封装公司的仓位。另据5月的投资者信显示,另一家管理规模超50亿元人民币的私募机构浑瑾资本(Hunjin Capital)旗下的“悦阳G1基金”,在今年前五个月上涨了三分之一,目前也已经出售了部分AI股票。它们给出的理由是,担心这轮暴涨的幅度过大、速度过快。 尽管如此,这些基金目前尚未发出“泡沫即将破裂”的警告。一些机构指出,坚实的行业基本面和真金白银的业绩兑现正在驱动这轮反弹,但它们也正在密切注视可能触发更大规模套现退出的临界点。这些机构表示,他们已经确定了具体的触发信号,一旦触及,将进行更大规模的套现退出。

  • 鲁比奥今日召集AI经济外交大会

    美国国务卿鲁比奥将于周三主持经济外交行动小组(EDAG)的首次会议。该机制最初于拜登政府时期设立,至今已有两年。一名国务院官员表示,该小组由各联邦机构的负责人组成,其职责是“确定美国经济政策的方向和重点,从而推动美国的外交政策目标”。这些目标包括“美国在人工智能领域的领导地位”。与会的还有来自国务院、商务部、能源部、农业部、国防部和财政部的官员,以及美国贸易代表、美国进出口银行、发展金融公司、美国贸易与发展局、小企业管理局、千禧年挑战公司以及白宫科技政策办公室的负责人。(金十)

  • 美军对伊朗发起新一轮打击

    7月15日,美国中央司令部:今天东部时间上午6点(北京时间18点),美国中央司令部部队开始对伊朗发起一系列打击。这些打击旨在进一步削弱伊朗军队用于攻击霍尔木兹海峡商业航运的军事能力。(金十)

  • 特朗普:民主党造成的通胀已大幅下降 还会进一步降低

    7月15日,美国总统特朗普:好消息,民主党造成的通胀已经大幅下降,我们还会进一步降低。(金十)

  • 白宫哈塞特吐槽:67位经济学家中有67位错误预测CPI

    白宫经济顾问委员会主席哈塞特14日受访时表示,关于6月CPI报告,“彭博调查的67位经济学家,结果67位经济学家都预测错了!”他表示,6月CPI环比下降了0.4%,这是6年来最大的月度降幅,这得益于美国总统特朗普为削减成本采取的种种措施。(金十)

  • 孙正义预测2040年AI智能体将达100万亿个,AI将成人类史上最大产业

    7月15日,据日本读卖新闻报道,软银集团董事长兼CEO孙正义周二在东京举行的年度会议“软银世界”上表示,预计到2040年,AI智能体将达到100万亿个,人形机器人将达到10亿个,AI将成为“人类历史上最大的产业”。他指出,到2040年AI将贡献全球GDP的约20%,并称“100万亿个AI智能体相互交互,社会将转向以智能体为中心,而非以人类为中心,世界格局将彻底改变”。关于人形机器人的影响,孙正义表示,机器人可24小时运作,相当于30亿人类劳动力,且执行任务更快、更精准、更细致,将成为劳动力的核心。他同时强调,数据中心扩建是实现这一愿景的关键,预计到2040年电力消耗将翻倍,每年需投入约5万亿美元(800万亿日元)。在未来业务战略上,孙正义表示,AI革命不应局限于日本,必须集中资源于美国这一核心战场。(金十)

  • 百度盘前直线拉升涨约2% 消息称其为苹果智能提供AI搜索功能

    7月15日,百度(BIDU.US)盘前直线拉升,现涨约2%。有媒体援引知情人士透露,苹果与百度将合作,为中国iPhone用户开发人工智能功能。百度重点开发一种基于人工智能的搜索功能,作为“苹果智能”功能套件的一部分,能够处理图像和文本,并升级为中国版的 Siri语音助手。6月23日,也有海外博主One Jailbreak在拆解iOS 27 Beta 2代码时发现,ExtensionKit出现“Baidu Visual Search”。今日,网信办发布7款手机端侧生成式人工智能服务备案信息,Apple智能在列。

  • 中际旭创据悉接近获批赴港上市,募资规模或达70亿美元

    7月15日,据知情人士透露,中际旭创即将获得中国证券监管机构批准,其香港上��计划有望成为近年来香港规模最大的上市项目之一。知情人士表示,一旦获得中国证监会的批准,中际旭创便可着手向香港交易所申请聆讯,时间最早可能在本周。知情人士称,这家生产用于人工智能和数据中心的光收发模块的企业正考虑在此次股票发行中筹集约70亿美元资金。这一规模将远高于此前市场预期。不过,他们表示,包括发行规模和最终监管批准时间在内的细节仍可能发生变化。(金十)