Démystification de l'industrialisation des attaques de phishing dans le monde du chiffrement
Depuis juin 2024, l'équipe de sécurité a détecté un grand nombre de transactions de phishing et d'extraction de fonds similaires. Rien qu'en juin, le montant impliqué a dépassé 55 millions de dollars, et les activités de phishing liées ont été encore plus fréquentes en août et septembre. Tout au long du troisième trimestre 2024, les attaques de phishing sont devenues le moyen d'attaque causant les plus grandes pertes économiques, avec plus de 243 millions de dollars obtenus lors de 65 attaques. Les analyses montrent que les attaques de phishing récentes sont très probablement liées à une équipe d'outils de phishing notoire. Cette équipe avait annoncé sa "retraite" à la fin de 2023, mais semble maintenant à nouveau active, provoquant une série d'attaques à grande échelle.
Cet article analysera les méthodes typiques de certaines gangs d'attaques de phishing et énumérera en détail leurs caractéristiques comportementales. J'espère qu'à travers ces analyses, cela pourra aider les utilisateurs à améliorer leur capacité à identifier et à se prémunir contre les escroqueries de phishing.
Escroquerie en tant que service(Scam-as-a-Service)
Dans le monde du chiffrement, certaines équipes de phishing ont inventé un nouveau mode malveillant appelé "Scam-as-a-Service"(Scam-as-a-Service). Ce mode regroupe des outils et des services de fraude et les propose de manière commercialisée à d'autres criminels. Entre novembre 2022 et novembre 2023, lorsqu'ils ont annoncé pour la première fois la fermeture de leurs services, le montant des fraudes a dépassé 80 millions de dollars.
Ces fournisseurs de services aident les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing prêts à l'emploi, y compris des sites de phishing front-end et back-end, des contrats intelligents et des comptes de médias sociaux. Les phishers qui achètent des services conservent la majorité des fonds volés, tandis que les fournisseurs de services prennent une commission de 10 % à 20 %. Ce modèle a considérablement abaissé le seuil technique pour la fraude, rendant la cybercriminalité plus efficace et à grande échelle, ce qui a entraîné une prolifération des attaques de phishing dans l'industrie du chiffrement, en particulier auprès des utilisateurs manquant de sensibilisation à la sécurité.
Fonctionnement de la fraude en tant que service
Une application décentralisée typique (DApp) est généralement composée d'une interface frontale et de contrats intelligents sur la chaîne de blocs. Les utilisateurs se connectent à l'interface frontale de l'application via un portefeuille de chaînes de blocs, la page frontale génère la transaction correspondante sur la chaîne de blocs et l'envoie au portefeuille de l'utilisateur. L'utilisateur utilise ensuite son portefeuille de chaînes de blocs pour signer et approuver cette transaction. Une fois la signature effectuée, la transaction est envoyée au réseau de la chaîne de blocs et appelle les contrats intelligents correspondants pour exécuter les fonctionnalités requises.
Les attaquants de phishing induisent habilement les utilisateurs à effectuer des opérations non sécurisées en concevant des interfaces frontales et des contrats intelligents malveillants. Les attaquants guideront généralement les utilisateurs à cliquer sur des liens ou des boutons malveillants, les trompant ainsi pour qu'ils approuvent certaines transactions malveillantes cachées, et dans certains cas, en les incitant directement à divulguer leur clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur sur son propre compte.
Les moyens courants comprennent :
Faux frontend de projets célèbres : les attaquants imitent soigneusement le site officiel de projets connus, créant une interface frontend qui semble légitime, amenant les utilisateurs à croire qu'ils interagissent avec un projet de confiance.
Arnaque de largage de jetons : Ils font la promotion à grande échelle de sites de phishing sur les réseaux sociaux, prétendant offrir des opportunités très attrayantes telles que "largage gratuit", "prévente anticipée", "création gratuite de NFT", afin d'inciter les victimes à cliquer sur les liens.
Événements de piratage frauduleux et escroqueries aux récompenses : des cybercriminels prétendent qu'un projet bien connu a été victime d'une attaque de hackers ou d'un gel d'actifs, et qu'ils distribuent actuellement des compensations ou des récompenses aux utilisateurs.
Le modèle de fraude en tant que service est en grande partie le principal moteur de l'escalade des fraudes par phishing au cours des deux dernières années. Ces fournisseurs de services ont complètement éliminé la barrière technique des fraudes par phishing, offrant aux acheteurs manquant des compétences techniques la possibilité de créer et d'héberger des sites de phishing, et prélevant des bénéfices sur les gains de la fraude.
Fraude comme service : méthode de partage des gains des acheteurs
Le 21 mai 2024, un fournisseur d'outils de phishing a publié un message de vérification de signature sur etherscan, annonçant son retour et créant un nouveau canal Discord.
En analysant les transactions d'une adresse de phishing ayant un comportement anormal, nous avons découvert le schéma de partage suivant :
Le fournisseur de services crée un contrat via CREATE2. CREATE2 est une instruction dans la machine virtuelle Ethereum qui permet de créer des contrats intelligents, et permet de calculer à l'avance l'adresse du contrat en fonction du code byte du contrat intelligent et d'un salt fixe.
Appeler le contrat créé, en approuvant les jetons de la victime pour l'adresse de phishing (acheteur de service) et l'adresse de partage des gains. L'attaquant utilise divers moyens de phishing pour amener la victime à signer involontairement un message Permit2 malveillant.
Transférer la quantité appropriée de jetons aux deux adresses de partage et à l'adresse de l'acheteur pour compléter le partage.
Il est à noter que cette méthode de création de contrat avant le partage des butins peut, dans une certaine mesure, contourner certaines fonctionnalités anti-phishing des portefeuilles, réduisant ainsi la vigilance des victimes. Dans un cas concret, l'acheteur du service de phishing a empoché 82,5 % des fonds volés, tandis que le fournisseur de services a conservé 17,5 %.
Étapes simples pour créer un site de phishing
Avec l'aide de la fraude en tant que service, il est extrêmement facile pour les attaquants de créer un site de phishing :
Entrez dans le canal de communication du fournisseur de services et créez un nom de domaine gratuit et l'adresse IP correspondante avec une simple commande.
Choisissez un modèle parmi les centaines proposés, et en quelques minutes, vous pourrez générer un site de phishing qui semble normal.
Trouver des victimes. Une fois qu'une victime accède au site, croit aux informations frauduleuses sur la page et approuve une transaction malveillante via son portefeuille, les actifs de la victime seront transférés.
Tout le processus ne prend que quelques minutes, ce qui réduit considérablement le seuil d'entrée pour les attaques de phishing.
Résumé et conseils de prévention
L'émergence de la fraude en tant que service a créé d'énormes risques de sécurité pour les utilisateurs de l'industrie. Les utilisateurs doivent rester vigilants lorsqu'ils participent aux transactions de chiffrement et se rappeler des points suivants :
Ne croyez à aucune publicité de type "un gâteau qui tombe du ciel", comme les airdrops gratuits ou les compensations suspectes, ne faites confiance qu'aux sites officiels ou aux projets ayant bénéficié de services d'audit professionnel.
Avant de connecter votre portefeuille sur un site Web, vérifiez soigneusement l'URL pour voir si elle imite un projet connu, et essayez d'utiliser un outil de recherche de domaine WHOIS pour vérifier sa date d'enregistrement. Les sites ayant une date d'enregistrement très courte sont susceptibles d'être des projets frauduleux.
Ne soumettez pas vos mots de passe mnémotechniques ou vos clés privées à des sites Web ou des applications suspects. Avant de signer tout message ou d'approuver une transaction dans votre portefeuille, vérifiez soigneusement si cette transaction pourrait entraîner une perte de fonds.
Suivez certains comptes officiels sur les réseaux sociaux qui publient des alertes régulières. Si vous découvrez que vous avez accidentellement autorisé des jetons à une adresse de fraude, révoquez immédiatement l'autorisation ou transférez les actifs restants vers une autre adresse sécurisée.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
23 J'aime
Récompense
23
5
Partager
Commentaire
0/400
ForumMiningMaster
· 07-19 05:46
pigeons, ne soyez pas idiots.
Voir l'originalRépondre0
PancakeFlippa
· 07-18 07:54
Remboursez un marteau, on recommence à frotter.
Voir l'originalRépondre0
rug_connoisseur
· 07-17 03:22
Le faux retraité pêcheur est aussi en train de s'impliquer.
Voir l'originalRépondre0
WhaleMinion
· 07-17 03:20
Eh, quand est-ce que ça va s'arrêter ?
Voir l'originalRépondre0
MetamaskMechanic
· 07-17 03:20
Il y a vraiment des gens qui croient encore aux liens de phishing, réveillez-vous.
Nouveau risque de phishing : le modèle de fraude en tant que service a entraîné des pertes de 55 millions de dollars
Démystification de l'industrialisation des attaques de phishing dans le monde du chiffrement
Depuis juin 2024, l'équipe de sécurité a détecté un grand nombre de transactions de phishing et d'extraction de fonds similaires. Rien qu'en juin, le montant impliqué a dépassé 55 millions de dollars, et les activités de phishing liées ont été encore plus fréquentes en août et septembre. Tout au long du troisième trimestre 2024, les attaques de phishing sont devenues le moyen d'attaque causant les plus grandes pertes économiques, avec plus de 243 millions de dollars obtenus lors de 65 attaques. Les analyses montrent que les attaques de phishing récentes sont très probablement liées à une équipe d'outils de phishing notoire. Cette équipe avait annoncé sa "retraite" à la fin de 2023, mais semble maintenant à nouveau active, provoquant une série d'attaques à grande échelle.
Cet article analysera les méthodes typiques de certaines gangs d'attaques de phishing et énumérera en détail leurs caractéristiques comportementales. J'espère qu'à travers ces analyses, cela pourra aider les utilisateurs à améliorer leur capacité à identifier et à se prémunir contre les escroqueries de phishing.
Escroquerie en tant que service(Scam-as-a-Service)
Dans le monde du chiffrement, certaines équipes de phishing ont inventé un nouveau mode malveillant appelé "Scam-as-a-Service"(Scam-as-a-Service). Ce mode regroupe des outils et des services de fraude et les propose de manière commercialisée à d'autres criminels. Entre novembre 2022 et novembre 2023, lorsqu'ils ont annoncé pour la première fois la fermeture de leurs services, le montant des fraudes a dépassé 80 millions de dollars.
Ces fournisseurs de services aident les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing prêts à l'emploi, y compris des sites de phishing front-end et back-end, des contrats intelligents et des comptes de médias sociaux. Les phishers qui achètent des services conservent la majorité des fonds volés, tandis que les fournisseurs de services prennent une commission de 10 % à 20 %. Ce modèle a considérablement abaissé le seuil technique pour la fraude, rendant la cybercriminalité plus efficace et à grande échelle, ce qui a entraîné une prolifération des attaques de phishing dans l'industrie du chiffrement, en particulier auprès des utilisateurs manquant de sensibilisation à la sécurité.
Fonctionnement de la fraude en tant que service
Une application décentralisée typique (DApp) est généralement composée d'une interface frontale et de contrats intelligents sur la chaîne de blocs. Les utilisateurs se connectent à l'interface frontale de l'application via un portefeuille de chaînes de blocs, la page frontale génère la transaction correspondante sur la chaîne de blocs et l'envoie au portefeuille de l'utilisateur. L'utilisateur utilise ensuite son portefeuille de chaînes de blocs pour signer et approuver cette transaction. Une fois la signature effectuée, la transaction est envoyée au réseau de la chaîne de blocs et appelle les contrats intelligents correspondants pour exécuter les fonctionnalités requises.
Les attaquants de phishing induisent habilement les utilisateurs à effectuer des opérations non sécurisées en concevant des interfaces frontales et des contrats intelligents malveillants. Les attaquants guideront généralement les utilisateurs à cliquer sur des liens ou des boutons malveillants, les trompant ainsi pour qu'ils approuvent certaines transactions malveillantes cachées, et dans certains cas, en les incitant directement à divulguer leur clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur sur son propre compte.
Les moyens courants comprennent :
Faux frontend de projets célèbres : les attaquants imitent soigneusement le site officiel de projets connus, créant une interface frontend qui semble légitime, amenant les utilisateurs à croire qu'ils interagissent avec un projet de confiance.
Arnaque de largage de jetons : Ils font la promotion à grande échelle de sites de phishing sur les réseaux sociaux, prétendant offrir des opportunités très attrayantes telles que "largage gratuit", "prévente anticipée", "création gratuite de NFT", afin d'inciter les victimes à cliquer sur les liens.
Événements de piratage frauduleux et escroqueries aux récompenses : des cybercriminels prétendent qu'un projet bien connu a été victime d'une attaque de hackers ou d'un gel d'actifs, et qu'ils distribuent actuellement des compensations ou des récompenses aux utilisateurs.
Le modèle de fraude en tant que service est en grande partie le principal moteur de l'escalade des fraudes par phishing au cours des deux dernières années. Ces fournisseurs de services ont complètement éliminé la barrière technique des fraudes par phishing, offrant aux acheteurs manquant des compétences techniques la possibilité de créer et d'héberger des sites de phishing, et prélevant des bénéfices sur les gains de la fraude.
Fraude comme service : méthode de partage des gains des acheteurs
Le 21 mai 2024, un fournisseur d'outils de phishing a publié un message de vérification de signature sur etherscan, annonçant son retour et créant un nouveau canal Discord.
En analysant les transactions d'une adresse de phishing ayant un comportement anormal, nous avons découvert le schéma de partage suivant :
Le fournisseur de services crée un contrat via CREATE2. CREATE2 est une instruction dans la machine virtuelle Ethereum qui permet de créer des contrats intelligents, et permet de calculer à l'avance l'adresse du contrat en fonction du code byte du contrat intelligent et d'un salt fixe.
Appeler le contrat créé, en approuvant les jetons de la victime pour l'adresse de phishing (acheteur de service) et l'adresse de partage des gains. L'attaquant utilise divers moyens de phishing pour amener la victime à signer involontairement un message Permit2 malveillant.
Transférer la quantité appropriée de jetons aux deux adresses de partage et à l'adresse de l'acheteur pour compléter le partage.
Il est à noter que cette méthode de création de contrat avant le partage des butins peut, dans une certaine mesure, contourner certaines fonctionnalités anti-phishing des portefeuilles, réduisant ainsi la vigilance des victimes. Dans un cas concret, l'acheteur du service de phishing a empoché 82,5 % des fonds volés, tandis que le fournisseur de services a conservé 17,5 %.
Étapes simples pour créer un site de phishing
Avec l'aide de la fraude en tant que service, il est extrêmement facile pour les attaquants de créer un site de phishing :
Entrez dans le canal de communication du fournisseur de services et créez un nom de domaine gratuit et l'adresse IP correspondante avec une simple commande.
Choisissez un modèle parmi les centaines proposés, et en quelques minutes, vous pourrez générer un site de phishing qui semble normal.
Trouver des victimes. Une fois qu'une victime accède au site, croit aux informations frauduleuses sur la page et approuve une transaction malveillante via son portefeuille, les actifs de la victime seront transférés.
Tout le processus ne prend que quelques minutes, ce qui réduit considérablement le seuil d'entrée pour les attaques de phishing.
Résumé et conseils de prévention
L'émergence de la fraude en tant que service a créé d'énormes risques de sécurité pour les utilisateurs de l'industrie. Les utilisateurs doivent rester vigilants lorsqu'ils participent aux transactions de chiffrement et se rappeler des points suivants :