เริ่มตั้งแต่เดือนมิถุนายน 2024 ทีมรักษาความปลอดภัยของ CertiK ได้ตรวจสอบธุรกรรมฟิชชิ่ง/เดรนเนอร์ที่คล้ายกันจำนวนมาก ในเดือนมิถุนายนเพียงเดือนเดียว จำนวนเงินที่เกี่ยวข้องเกิน 55 ล้านดอลลาร์สหรัฐ หลังจากเข้าสู่เดือนสิงหาคมและกันยายน กิจกรรมของที่อยู่ฟิชชิ่งที่เกี่ยวข้องก็มีบ่อยขึ้น และฟิชชิ่งก็เพิ่มมากขึ้น การโจมตีมีสถานการณ์ความรุนแรงเพิ่มมากขึ้น ตลอดไตรมาสที่สามของปี 2567 การโจมตีแบบฟิชชิ่งได้กลายเป็นวิธีการโจมตีที่ก่อให้เกิดความสูญเสียทางการเงินมากที่สุด โดยผู้โจมตีแบบฟิชชิ่งได้รับเงินมากกว่า 243 ล้านดอลลาร์จากการโจมตี 65 ครั้ง ตามการวิเคราะห์ของทีมรักษาความปลอดภัยของ CertiK การโจมตีแบบฟิชชิ่งบ่อยครั้งล่าสุดน่าจะเกี่ยวข้องกับ Inferno Drainer ซึ่งเป็นทีมเครื่องมือฟิชชิ่งที่โด่งดัง ทีมได้ประกาศ "การเกษียณ" ในลักษณะที่มีชื่อเสียงในช่วงปลายปี 2566 แต่ขณะนี้ดูเหมือนว่าจะกลับมาใช้งานได้อีกครั้งและได้กลับมาอีกครั้ง ก่อให้เกิดการโจมตีขนาดใหญ่หลายครั้ง

จากพื้นฐานนี้ บทความนี้จะวิเคราะห์วิธีการทำงานทั่วไปของกลุ่มการโจมตีแบบฟิชชิ่ง เช่น Inferno Drainer และ Nova Drainer และแสดงรายการลักษณะพฤติกรรมของพวกเขาโดยละเอียด เราหวังว่าการวิเคราะห์เหล่านี้จะช่วยให้ผู้ใช้สามารถปรับปรุงความสามารถในการระบุและป้องกันการหลอกลวงแบบฟิชชิ่งได้

Scam-as-a-Service คืออะไร

หลายคนอาจคุ้นเคยกับแนวคิดของ Software-as-a-Service (SaaS) ในโลกของการเข้ารหัส SaaS มีความหมายอีกอย่างหนึ่ง โมเดลนี้รวมเครื่องมือและบริการสำหรับการฉ้อโกงและมอบให้กับอาชญากรรายอื่นในลักษณะเชิงพาณิชย์ Inferno Drainer ที่โด่งดังเป็นตัวแทนทั่วไปของสาขานี้ พวกเขาประกาศครั้งแรกตั้งแต่เดือนพฤศจิกายน 2022 ถึงพฤศจิกายน 2023 ในช่วงระยะเวลาปิดตัว ปริมาณของการฉ้อโกง เกิน 80 ล้านเหรียญสหรัฐ Inferno Drainer ช่วยให้ผู้ซื้อเปิดการโจมตีได้อย่างรวดเร็วโดยการจัดหาเครื่องมือและโครงสร้างพื้นฐานฟิชชิ่งสำเร็จรูป รวมถึงส่วนหน้าของเว็บไซต์ฟิชชิ่ง สัญญาอัจฉริยะ และบัญชีโซเชียลมีเดีย นักฟิชชิ่งที่ซื้อบริการ SaaS จะเก็บเงินส่วนใหญ่ที่ถูกขโมยไป ในขณะที่ Inferno Drainer จะเรียกเก็บเงิน 10 % -20% ค่าคอมมิชชั่น โมเดลนี้ช่วยลดเกณฑ์ทางเทคนิคสำหรับการฉ้อโกงลงอย่างมาก สิ่งนี้ทำให้อาชญากรรมในโลกไซเบอร์มีประสิทธิภาพมากขึ้นและมีขนาดใหญ่ขึ้น ซึ่งนำไปสู่การแพร่กระจายของการโจมตีแบบฟิชชิ่งในอุตสาหกรรมการเข้ารหัส โดยเฉพาะผู้ใช้ที่ขาดความตระหนักด้านความปลอดภัยและมีแนวโน้มที่จะตกเป็นเป้าหมาย

Scam-as-a-Service ทำงานอย่างไร

ก่อนที่จะแนะนำ SaaS ก่อนอื่นเราสามารถเข้าใจขั้นตอนการทำงานของแอปพลิเคชันกระจายอำนาจทั่วไป (DApp) ได้ ดังแสดงในรูปด้านล่าง DApp ทั่วไปมักจะประกอบด้วยอินเทอร์เฟซส่วนหน้า (เช่น หน้าเว็บหรือแอปพลิเคชันมือถือ) และสัญญาอัจฉริยะบนบล็อกเชน ผู้ใช้เชื่อมต่อกับอินเทอร์เฟซส่วนหน้าของ DApp ผ่านกระเป๋าสตางค์บล็อคเชน และเพจส่วนหน้าจะสร้างธุรกรรมบล็อคเชนที่เกี่ยวข้องและส่งไปยังกระเป๋าสตางค์ของผู้ใช้ จากนั้นผู้ใช้จะใช้กระเป๋าเงิน blockchain เพื่อลงนามและอนุมัติธุรกรรม หลังจากลายเซ็นเสร็จสิ้น ธุรกรรมจะถูกส่งไปยังเครือข่าย blockchain และสัญญาอัจฉริยะที่เกี่ยวข้องจะถูกเรียกเพื่อทำหน้าที่ที่จำเป็น

แล้วผู้โจมตีฟิชชิ่งจะฉ้อโกงผู้ใช้เงินได้อย่างไร? คำตอบอยู่ที่ว่าพวกเขาชักจูงผู้ใช้อย่างชาญฉลาดให้ดำเนินการที่ไม่ปลอดภัยโดยการออกแบบอินเทอร์เฟซส่วนหน้าที่เป็นอันตรายและสัญญาอัจฉริยะ ผู้โจมตีมักจะหลอกให้ผู้ใช้คลิกลิงก์หรือปุ่มที่เป็นอันตราย โดยหลอกให้พวกเขาอนุมัติธุรกรรมที่เป็นอันตรายที่ซ่อนอยู่ หรือแม้แต่ในบางกรณีก็หลอกให้ผู้ใช้เปิดเผยคีย์ส่วนตัวโดยตรง เมื่อผู้ใช้ลงนามในธุรกรรมที่เป็นอันตรายเหล่านี้หรือเปิดเผยคีย์ส่วนตัว ผู้โจมตีสามารถโอนทรัพย์สินของผู้ใช้ไปยังบัญชีของตนเองได้อย่างง่ายดาย

ต่อไปนี้เป็นวิธีที่พบบ่อยที่สุด:

1. การสร้างส่วนหน้าของโปรเจ็กต์ที่มีชื่อเสียง: ผู้โจมตีสร้างอินเทอร์เฟซส่วนหน้าที่ดูถูกต้องตามกฎหมายโดยการเลียนแบบเว็บไซต์อย่างเป็นทางการของโปรเจ็กต์ที่โด่งดังอย่างระมัดระวัง ทำให้ผู้ใช้เข้าใจผิดว่าพวกเขากำลังโต้ตอบกับโปรเจ็กต์ที่น่าเชื่อถือ ดังนั้นผู้ใช้จึงผ่อนคลาย ระมัดระวัง เชื่อมต่อกับกระเป๋าเงิน และดำเนินการที่ไม่ปลอดภัย ดังที่แสดงในรูปที่ 1 กลุ่มฟิชชิ่งได้ปลอมแปลงหน้าของตนเองลงในส่วนหน้าของ bagerDAO เมื่อผู้ใช้อนุมัติธุรกรรมบนหน้านั้น โทเค็นของพวกเขาจะได้รับอนุญาตให้ส่งไปยังที่อยู่ของผู้โจมตี

2. การหลอกลวงแบบ Token airdrop: พวกเขาโปรโมตเว็บไซต์ฟิชชิ่งบน Twitter, Discord, Telegram และโซเชียลมีเดียอื่นๆ โดยอ้างว่ามีโอกาสที่น่าสนใจ เช่น "การแจกฟรี" "การขายล่วงหน้าก่อนเวลา" และ "การสร้าง NFT ฟรี" เหยื่อให้คลิกที่ลิงค์ หลังจากถูกดึงดูดไปยังเว็บไซต์ฟิชชิ่ง เหยื่อมักจะเชื่อมต่อกับกระเป๋าเงินของตนโดยไม่รู้ตัวและอนุมัติธุรกรรมที่เป็นอันตราย ดังที่แสดงในรูปที่ 2 ผู้โจมตีได้ส่งโทเค็นชื่อ "ZEPE" ให้กับผู้ใช้ โดยหลอกให้ผู้ใช้ไปที่หน้าฟิชชิ่งเพื่อแลกมัน เมื่อผู้ใช้คลิกที่มัน ETH ทั้งหมดในบัญชีของเขาจะถูกส่งไปยัง ที่อยู่ของผู้หลอกลวง

3. เหตุการณ์การแฮ็กปลอมและการหลอกลวงให้รางวัล: อาชญากรไซเบอร์อ้างว่าโครงการที่มีชื่อเสียงกำลังออกค่าตอบแทนหรือรางวัลให้กับผู้ใช้เนื่องจากการโจมตีของแฮ็กเกอร์หรือการหยุดทรัพย์สิน พวกเขาใช้เหตุฉุกเฉินที่เป็นเท็จเหล่านี้เพื่อล่อลวงผู้ใช้ให้เข้าสู่เว็บไซต์ฟิชชิ่ง หลอกให้พวกเขาเชื่อมต่อกับกระเป๋าเงินของพวกเขา และขโมยเงินของผู้ใช้ไปในที่สุด

อาจกล่าวได้ว่าการหลอกลวงแบบฟิชชิ่งไม่ใช่วิธีการใหม่และเกิดขึ้นบ่อยมากก่อนปี 2020 อย่างไรก็ตาม โมเดล SaaS ส่วนใหญ่เป็นปัจจัยขับเคลื่อนที่ใหญ่ที่สุดที่ทำให้การหลอกลวงแบบฟิชชิ่งทวีความรุนแรงมากขึ้นในช่วงสองปีที่ผ่านมา ก่อนการเกิดขึ้นของ SaaS ผู้โจมตีฟิชชิ่งจำเป็นต้องเตรียมกองทุนเริ่มต้นบนเครือข่าย สร้างเว็บไซต์ส่วนหน้าและสัญญาอัจฉริยะทุกครั้งที่เริ่มการโจมตี แม้ว่าเว็บไซต์ฟิชชิ่งส่วนใหญ่จะถูกสร้างขึ้นอย่างหยาบๆ แต่ก็สามารถสร้างขึ้นใหม่ได้โดยใช้ชุดคำสั่ง ของเทมเพลตและการปรับเปลี่ยนง่ายๆ เป็นโครงการฉ้อโกงใหม่ แต่การดำเนินการและการบำรุงรักษาเว็บไซต์และการออกแบบเพจยังคงต้องมีเกณฑ์ทางเทคนิคบางประการ ผู้ให้บริการเครื่องมือ SaaS เช่น Inferno Drainer ได้ขจัดอุปสรรคทางเทคนิคในการหลอกลวงแบบฟิชชิ่งโดยสิ้นเชิง โดยให้บริการแก่ผู้ซื้อที่ขาดเทคโนโลยีที่เหมาะสมด้วยบริการในการสร้างและโฮสต์เว็บไซต์ฟิชชิ่ง และดึงผลกำไรจากรายได้จากการหลอกลวงดังกล่าว

Inferno Drainer แบ่งส่วนแบ่งกับผู้ซื้อ SaaS อย่างไร

เมื่อวันที่ 21 พฤษภาคม 2024 Inferno Drainer ได้เผยแพร่ข้อความยืนยันลายเซ็นบน etherscan เพื่อประกาศการกลับมาของเขาและสร้างช่อง Discord ใหม่

Inferno Drainer แบ่งส่วนแบ่งกับผู้ซื้อ SaaS อย่างไร

เมื่อวันที่ 21 พฤษภาคม 2024 Inferno Drainer ได้เผยแพร่ข้อความยืนยันลายเซ็นบน etherscan เพื่อประกาศการกลับมาของเขาและสร้างช่อง Discord ใหม่

0x0000db5c8b030ae20308ac975898e09741e70000 เป็นหนึ่งในที่อยู่ฟิชชิ่งที่มีพฤติกรรมผิดปกติที่ CertiK ได้ตรวจสอบเมื่อเร็วๆ นี้ เราพบว่าที่อยู่นี้ได้ทำธุรกรรมจำนวนมากที่มีรูปแบบคล้ายกัน หลังจากวิเคราะห์และตรวจสอบธุรกรรมแล้ว เราเชื่อว่าธุรกรรมเหล่านี้เป็นธุรกรรมที่ Inferno Drainer โอนเงินและกระจายสินค้าที่ถูกขโมยหลังจากตรวจพบว่าเหยื่อติดตะขอ ใช้ที่อยู่นี้เพื่อเป็นตัวอย่างหนึ่งของธุรกรรมที่ทำ:

https://etherscan.io/tx/0x5cd1eeee1b091888e7b19bc25c99a44a08e80112fdc7a60a88b11ed592483a5f

ผู้โจมตีโอนโทเค็นของเหยื่อผ่าน Permit2

1. Inferno Drainer สร้างสัญญาผ่าน CREATE2 CREATE2 เป็นคำสั่งใน Ethereum Virtual Machine ซึ่งใช้ในการสร้างสัญญาอัจฉริยะ เมื่อเปรียบเทียบกับคำสั่ง CREATE แบบดั้งเดิม คำสั่ง CREATE2 ช่วยให้สามารถคำนวณที่อยู่ของสัญญาล่วงหน้าตามรหัสไบต์ของสัญญาอัจฉริยะและเกลือคงที่ ข้อดีของ CREATE2 ลักษณะของคำสั่งคือการคำนวณที่อยู่ของสัญญาแบ่งปันการปล้นล่วงหน้าสำหรับผู้ซื้อบริการฟิชชิ่งล่วงหน้า รอจนกว่าเหยื่อจะรับเหยื่อ จากนั้นจึงสร้างสัญญาการแบ่งปันการปล้นเพื่อดำเนินการให้เสร็จสิ้น การโอนโทเค็นและการดำเนินการแบ่งปันส่วนแบ่ง

2. เรียกสัญญาที่สร้างขึ้นเพื่ออนุมัติ DAI ของเหยื่อไปยังที่อยู่ฟิชชิ่ง (ผู้ซื้อบริการ Inferno Drainer) และที่อยู่ของสินค้าที่ถูกขโมย ผู้โจมตีใช้วิธีการฟิชชิ่งต่างๆ ที่กล่าวถึงข้างต้นเพื่อแนะนำเหยื่อให้เซ็นข้อความ Permit2 ที่เป็นอันตรายโดยไม่ได้ตั้งใจ Permit2 อนุญาตให้ผู้ใช้อนุญาตการโอนโทเค็นผ่านลายเซ็นโดยไม่ต้องโต้ตอบกับกระเป๋าเงินโดยตรง เป็นผลให้เหยื่อเข้าใจผิดว่าพวกเขามีส่วนร่วมในการทำธุรกรรมปกติหรืออนุญาตการดำเนินการที่ไม่เป็นอันตรายบางอย่างเท่านั้น แต่ในความเป็นจริงแล้ว พวกเขากำลังอนุญาตโทเค็น DAI ของตนโดยไม่รู้ตัวไปยังที่อยู่ที่ควบคุมโดยผู้โจมตี

3. โอน 3,654 และ 7,005 DAI ไปยังที่อยู่ทั้งสองแห่งเพื่อแบ่งของที่ริบ และโอน 50,255 DAI ให้กับผู้ซื้อเพื่อดำเนินการแบ่งของที่ริบให้เสร็จสิ้น

เป็นมูลค่าการกล่าวขวัญว่าในปัจจุบันมีกระเป๋าเงินบล็อคเชนจำนวนมากที่ใช้ฟังก์ชั่นป้องกันฟิชชิ่งหรือที่คล้ายกัน อย่างไรก็ตาม ฟังก์ชั่นป้องกันฟิชชิ่งของกระเป๋าเงินจำนวนมากถูกใช้งานผ่านชื่อโดเมนหรือบัญชีดำที่อยู่บล็อคเชน Inferno Drainer จะสร้างรายการใหม่ก่อนที่จะแบ่งของที่เสียหาย วิธีการทำสัญญาสามารถข้ามฟังก์ชันป้องกันฟิชชิ่งเหล่านี้ได้ในระดับหนึ่งและลดการเฝ้าระวังของเหยื่ออีกด้วย เนื่องจากสัญญาไม่ได้ถูกสร้างขึ้นเมื่อเหยื่ออนุมัติธุรกรรมที่เป็นอันตราย การวิเคราะห์และการสอบสวนที่อยู่จึงเป็นไปไม่ได้ ในข้อตกลงนี้ ผู้ซื้อบริการตกปลารับเงินที่ถูกขโมยไป 82.5% ในขณะที่ Inferno Drainer เก็บเงินไว้ 17.5%

เปิดเผย: การสร้างเว็บไซต์ฟิชชิ่งต้องใช้กี่ขั้นตอน?

หลังจากที่ได้เห็นว่า Inferno Drainer แบ่งส่วนแบ่งที่เสียหายแล้ว เรามาดูกันว่าผู้โจมตีสามารถสร้างเว็บไซต์ฟิชชิ่งด้วยความช่วยเหลือของ SaaS ได้ง่ายเพียงใด

ในขั้นตอนแรก หลังจากเข้าสู่ช่อง TG ที่ Drainer ให้มา ชื่อโดเมนฟรีและที่อยู่ IP ที่เกี่ยวข้องจะถูกสร้างขึ้นด้วยคำสั่งง่ายๆ

ในขั้นตอนที่สอง เลือกเทมเพลตใดก็ได้จากเทมเพลตนับร้อยที่โรบอตจัดเตรียมให้ จากนั้นเข้าสู่กระบวนการติดตั้งภายในไม่กี่นาที เว็บไซต์ฟิชชิ่งที่มีอินเทอร์เฟซที่เหมาะสมจะถูกสร้างขึ้น

ขั้นตอนที่สามคือการหาเหยื่อ เมื่อเหยื่อเข้าสู่เว็บไซต์ เชื่อข้อมูลฉ้อโกงบนเพจ และเชื่อมต่อกับกระเป๋าเงินเพื่ออนุมัติธุรกรรมที่เป็นอันตราย ทรัพย์สินของเหยื่อจะถูกโอน ด้วยความช่วยเหลือของ SaaS ผู้โจมตีสามารถสร้างเว็บไซต์ฟิชชิ่งดังกล่าวได้ในสามขั้นตอนและเพียงไม่กี่นาที

เรื่องย่อและแรงบันดาลใจ.

ในฐานะหนึ่งใน "Drainers" ที่คุกคามที่สุดในโลกของสกุลเงินดิจิทัล การกลับมาของ Inferno Drainer ไม่ต้องสงสัยเลยว่านำความเสี่ยงด้านความปลอดภัยมหาศาลมาสู่ผู้ใช้ในอุตสาหกรรม Inferno Drainer อาศัยฟังก์ชันอันทรงพลัง วิธีการโจมตีแบบแอบแฝง และต้นทุนอาชญากรรมที่ต่ำมาก กลายเป็นหนึ่งในนั้น เครื่องมือยอดนิยมสำหรับอาชญากรไซเบอร์ในการโจมตีแบบฟิชชิ่งและการขโมยเงินทุน

ผู้ใช้จะต้องระมัดระวังตลอดเวลาเมื่อเข้าร่วมในธุรกรรมสกุลเงินดิจิทัล และคำนึงถึงประเด็นต่อไปนี้: