Khám phá sự công nghiệp hóa của các cuộc tấn công lừa đảo trong thế giới mã hóa
Kể từ tháng 6 năm 2024, đội ngũ an ninh đã phát hiện ra một lượng lớn các giao dịch lừa đảo và trộm tiền tương tự. Chỉ riêng trong tháng 6, số tiền liên quan đã vượt quá 55 triệu đô la. Đến tháng 8 và 9, các hoạt động lừa đảo liên quan đã diễn ra thường xuyên hơn, với xu hướng ngày càng gia tăng. Trong quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức tấn công gây thiệt hại kinh tế lớn nhất, với những kẻ tấn công đã thu được hơn 243 triệu đô la trong 65 hành động.
Phân tích cho thấy, các cuộc tấn công lừa đảo thường xuyên gần đây rất có thể liên quan đến nhóm công cụ lừa đảo nổi tiếng Inferno Drainer. Nhóm này đã công bố "nghỉ hưu" vào cuối năm 2023, nhưng hiện nay dường như họ đã trở lại hoạt động và đang lên kế hoạch cho một loạt các cuộc tấn công quy mô lớn.
Bài viết này sẽ phân tích sâu về các phương thức hoạt động điển hình của các băng nhóm lừa đảo trực tuyến như Inferno Drainer, đồng thời liệt kê chi tiết các đặc điểm hành vi của chúng, nhằm giúp người dùng nâng cao khả năng nhận diện và phòng ngừa lừa đảo trực tuyến.
Sự trỗi dậy của Scam-as-a-Service
Trong lĩnh vực mã hóa, một mô hình độc hại mới đã xuất hiện - lừa đảo dưới dạng dịch vụ (Scam-as-a-Service). Mô hình này đóng gói các công cụ và dịch vụ lừa đảo để cung cấp cho các tội phạm khác theo cách hàng hóa. Inferno Drainer chính là đội ngũ đại diện cho lĩnh vực này. Từ tháng 11 năm 2022 đến tháng 11 năm 2023, trong thời gian họ lần đầu tiên công bố ngừng dịch vụ, tổng số tiền lừa đảo đã vượt quá 80 triệu đô la.
Inferno Drainer giúp người mua nhanh chóng tiến hành tấn công bằng cách cung cấp các công cụ và cơ sở hạ tầng lừa đảo sẵn có, bao gồm cả front-end và back-end của trang web lừa đảo, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ lừa đảo mua dịch vụ có thể giữ lại phần lớn số tiền bất chính, trong khi Inferno Drainer thu phí hoa hồng từ 10%-20%. Mô hình này đã giảm đáng kể rào cản kỹ thuật cho gian lận, khiến tội phạm mạng trở nên hiệu quả và quy mô hơn, dẫn đến sự tràn lan của các cuộc tấn công lừa đảo trong ngành mã hóa, đặc biệt là những người dùng thiếu nhận thức về an toàn dễ trở thành mục tiêu tấn công.
Cơ chế hoạt động của lừa đảo như một dịch vụ
Trước khi hiểu về dịch vụ lừa đảo, hãy cùng xem quy trình làm việc của một ứng dụng phi tập trung (DApp) điển hình. Một DApp điển hình thường bao gồm giao diện phía trước (như trang web hoặc ứng dụng di động) và hợp đồng thông minh trên blockchain. Người dùng kết nối đến giao diện phía trước của DApp thông qua ví blockchain, trang phía trước tạo ra giao dịch blockchain tương ứng và gửi nó đến ví của người dùng. Người dùng sau đó sử dụng ví blockchain để ký phê duyệt giao dịch này, sau khi ký xong, giao dịch được gửi đến mạng blockchain và gọi hợp đồng thông minh tương ứng để thực hiện chức năng cần thiết.
Các kẻ tấn công phishing thông qua việc thiết kế giao diện trước và hợp đồng thông minh độc hại, khéo léo dụ người dùng thực hiện các thao tác không an toàn. Các kẻ tấn công thường hướng dẫn người dùng nhấp vào các liên kết hoặc nút độc hại, từ đó lừa họ phê duyệt một số giao dịch độc hại ẩn giấu, thậm chí trong một số trường hợp, trực tiếp dụ dỗ người dùng tiết lộ khóa riêng của mình. Một khi người dùng đã ký các giao dịch độc hại này hoặc bộc lộ khóa riêng, kẻ tấn công có thể dễ dàng chuyển tài sản của người dùng vào tài khoản của mình.
Các phương thức lừa đảo phổ biến bao gồm:
Giả mạo giao diện trước của các dự án nổi tiếng: Kẻ tấn công tinh vi bắt chước trang web chính thức của các dự án nổi tiếng, tạo ra giao diện trước trông có vẻ hợp pháp, khiến người dùng nhầm tưởng rằng họ đang tương tác với một dự án đáng tin cậy.
Lừa đảo airdrop token: Quảng cáo rầm rộ trên mạng xã hội về các cơ hội hấp dẫn như "airdrop miễn phí", "bán trước sớm", "đúc NFT miễn phí", dụ dỗ nạn nhân nhấp vào liên kết.
Sự kiện hack giả mạo và lừa đảo thưởng: Tuyên bố rằng một dự án nổi tiếng nào đó đã bị tấn công bởi hacker hoặc tài sản bị đóng băng, đang phát hành bồi thường hoặc thưởng cho người dùng.
Cơ chế phân chia tài sản của Inferno Drainer
Vào ngày 21 tháng 5 năm 2024, Inferno Drainer đã công khai một thông điệp xác thực chữ ký trên etherscan, tuyên bố trở lại và tạo ra một kênh Discord mới.
Qua phân tích các giao dịch liên quan đến Inferno Drainer, chúng tôi phát hiện cơ chế chia sẻ phần thưởng của nó như sau:
Inferno Drainer tạo ra một hợp đồng thông qua CREATE2. CREATE2 là một lệnh trong máy ảo Ethereum, được sử dụng để tạo ra hợp đồng thông minh. Inferno Drainer sử dụng đặc tính của lệnh CREATE2 để tính toán trước địa chỉ của hợp đồng chia sẻ cho người mua dịch vụ lừa đảo, sau khi nạn nhân bị mắc bẫy, hợp đồng chia sẻ sẽ được tạo ra.
Gọi hợp đồng đã tạo, phê duyệt token của nạn nhân cho địa chỉ lừa đảo (người mua dịch vụ Inferno Drainer) và địa chỉ chia chác. Kẻ tấn công thông qua nhiều phương thức lừa đảo khác nhau, dẫn dắt nạn nhân vô tình ký vào thông điệp Permit2 độc hại.
Chuyển vào địa chỉ phân chia và người mua các mã thông báo theo tỷ lệ tương ứng, hoàn thành việc phân chia.
Đáng chú ý là Inferno Drainer có thể phần nào vượt qua một số chức năng chống lừa đảo của ví bằng cách tạo hợp đồng trước khi chia tiền, từ đó giảm bớt sự cảnh giác của nạn nhân. Trong một giao dịch mà chúng tôi quan sát, người mua dịch vụ lừa đảo đã lấy 82,5% số tiền ăn cắp, trong khi Inferno Drainer giữ lại 17,5%.
Các bước đơn giản để tạo trang web lừa đảo
Với sự giúp đỡ của dịch vụ lừa đảo, việc kẻ tấn công tạo ra một trang web lừa đảo trở nên vô cùng đơn giản:
Tham gia kênh Telegram do Drainer cung cấp, sử dụng lệnh đơn giản để tạo tên miền miễn phí và địa chỉ IP tương ứng.
Chọn một trong hàng trăm mẫu, vào quy trình cài đặt, chỉ sau vài phút bạn có thể tạo ra một trang web lừa đảo trông chuyên nghiệp.
Tìm kiếm nạn nhân tiềm năng. Khi ai đó truy cập trang web và kết nối ví để chấp thuận giao dịch độc hại, tài sản của nạn nhân sẽ bị chuyển đi.
Toàn bộ quá trình chỉ mất vài phút, giảm đáng kể rào cản thực hiện các cuộc tấn công lừa đảo.
Đề xuất an toàn
Đối mặt với các cuộc tấn công lừa đảo ngày càng gia tăng, người dùng cần phải duy trì cảnh giác cao khi tham gia giao dịch mã hóa:
Cảnh giác với các quảng cáo kiểu "bánh nướng rơi từ trên trời", chẳng hạn như airdrop miễn phí hoặc bồi thường nghi ngờ.
Kiểm tra kỹ URL của trang web, cảnh giác với các tên miền bắt chước dự án nổi tiếng. Có thể sử dụng công cụ tra cứu tên miền WHOIS để xác minh thời gian đăng ký của trang web.
Bảo vệ thông tin cá nhân một cách nghiêm ngặt, không bao giờ cung cấp từ khôi phục hoặc khóa riêng cho các trang web đáng ngờ.
Trước khi phê duyệt bất kỳ giao dịch nào, hãy kiểm tra kỹ xem có liên quan đến các thao tác Permit hoặc Approve có thể dẫn đến việc mất tiền hay không.
Chú ý đến thông tin cảnh báo an toàn, nếu phát hiện ủy quyền sai, kịp thời thu hồi hoặc chuyển giao tài sản còn lại.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
7
Chia sẻ
Bình luận
0/400
LightningLady
· 8giờ trước
Cỏ... Nhóm người này có thể để cho đồ ngốc yên ổn qua một năm không?
Xem bản gốcTrả lời0
BlockchainArchaeologist
· 10giờ trước
Nghỉ hưu đều là lừa đảo.
Xem bản gốcTrả lời0
RektCoaster
· 07-22 11:03
Evolved rồi đấy, bọn lừa đảo này!
Xem bản gốcTrả lời0
RugPullSurvivor
· 07-22 11:03
Nhóm lừa đảo này lại quay trở lại!
Xem bản gốcTrả lời0
ShibaMillionairen't
· 07-22 11:00
Haha, thật sự muốn ngồi cùng một bàn với nhóm nghỉ hưu để chơi mạt chượt.
Inferno Drainer tái hoạt động tiết lộ chuỗi ngành công nghiệp lừa đảo 243 triệu đô la
Khám phá sự công nghiệp hóa của các cuộc tấn công lừa đảo trong thế giới mã hóa
Kể từ tháng 6 năm 2024, đội ngũ an ninh đã phát hiện ra một lượng lớn các giao dịch lừa đảo và trộm tiền tương tự. Chỉ riêng trong tháng 6, số tiền liên quan đã vượt quá 55 triệu đô la. Đến tháng 8 và 9, các hoạt động lừa đảo liên quan đã diễn ra thường xuyên hơn, với xu hướng ngày càng gia tăng. Trong quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức tấn công gây thiệt hại kinh tế lớn nhất, với những kẻ tấn công đã thu được hơn 243 triệu đô la trong 65 hành động.
Phân tích cho thấy, các cuộc tấn công lừa đảo thường xuyên gần đây rất có thể liên quan đến nhóm công cụ lừa đảo nổi tiếng Inferno Drainer. Nhóm này đã công bố "nghỉ hưu" vào cuối năm 2023, nhưng hiện nay dường như họ đã trở lại hoạt động và đang lên kế hoạch cho một loạt các cuộc tấn công quy mô lớn.
Bài viết này sẽ phân tích sâu về các phương thức hoạt động điển hình của các băng nhóm lừa đảo trực tuyến như Inferno Drainer, đồng thời liệt kê chi tiết các đặc điểm hành vi của chúng, nhằm giúp người dùng nâng cao khả năng nhận diện và phòng ngừa lừa đảo trực tuyến.
Sự trỗi dậy của Scam-as-a-Service
Trong lĩnh vực mã hóa, một mô hình độc hại mới đã xuất hiện - lừa đảo dưới dạng dịch vụ (Scam-as-a-Service). Mô hình này đóng gói các công cụ và dịch vụ lừa đảo để cung cấp cho các tội phạm khác theo cách hàng hóa. Inferno Drainer chính là đội ngũ đại diện cho lĩnh vực này. Từ tháng 11 năm 2022 đến tháng 11 năm 2023, trong thời gian họ lần đầu tiên công bố ngừng dịch vụ, tổng số tiền lừa đảo đã vượt quá 80 triệu đô la.
Inferno Drainer giúp người mua nhanh chóng tiến hành tấn công bằng cách cung cấp các công cụ và cơ sở hạ tầng lừa đảo sẵn có, bao gồm cả front-end và back-end của trang web lừa đảo, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ lừa đảo mua dịch vụ có thể giữ lại phần lớn số tiền bất chính, trong khi Inferno Drainer thu phí hoa hồng từ 10%-20%. Mô hình này đã giảm đáng kể rào cản kỹ thuật cho gian lận, khiến tội phạm mạng trở nên hiệu quả và quy mô hơn, dẫn đến sự tràn lan của các cuộc tấn công lừa đảo trong ngành mã hóa, đặc biệt là những người dùng thiếu nhận thức về an toàn dễ trở thành mục tiêu tấn công.
Cơ chế hoạt động của lừa đảo như một dịch vụ
Trước khi hiểu về dịch vụ lừa đảo, hãy cùng xem quy trình làm việc của một ứng dụng phi tập trung (DApp) điển hình. Một DApp điển hình thường bao gồm giao diện phía trước (như trang web hoặc ứng dụng di động) và hợp đồng thông minh trên blockchain. Người dùng kết nối đến giao diện phía trước của DApp thông qua ví blockchain, trang phía trước tạo ra giao dịch blockchain tương ứng và gửi nó đến ví của người dùng. Người dùng sau đó sử dụng ví blockchain để ký phê duyệt giao dịch này, sau khi ký xong, giao dịch được gửi đến mạng blockchain và gọi hợp đồng thông minh tương ứng để thực hiện chức năng cần thiết.
Các kẻ tấn công phishing thông qua việc thiết kế giao diện trước và hợp đồng thông minh độc hại, khéo léo dụ người dùng thực hiện các thao tác không an toàn. Các kẻ tấn công thường hướng dẫn người dùng nhấp vào các liên kết hoặc nút độc hại, từ đó lừa họ phê duyệt một số giao dịch độc hại ẩn giấu, thậm chí trong một số trường hợp, trực tiếp dụ dỗ người dùng tiết lộ khóa riêng của mình. Một khi người dùng đã ký các giao dịch độc hại này hoặc bộc lộ khóa riêng, kẻ tấn công có thể dễ dàng chuyển tài sản của người dùng vào tài khoản của mình.
Các phương thức lừa đảo phổ biến bao gồm:
Giả mạo giao diện trước của các dự án nổi tiếng: Kẻ tấn công tinh vi bắt chước trang web chính thức của các dự án nổi tiếng, tạo ra giao diện trước trông có vẻ hợp pháp, khiến người dùng nhầm tưởng rằng họ đang tương tác với một dự án đáng tin cậy.
Lừa đảo airdrop token: Quảng cáo rầm rộ trên mạng xã hội về các cơ hội hấp dẫn như "airdrop miễn phí", "bán trước sớm", "đúc NFT miễn phí", dụ dỗ nạn nhân nhấp vào liên kết.
Sự kiện hack giả mạo và lừa đảo thưởng: Tuyên bố rằng một dự án nổi tiếng nào đó đã bị tấn công bởi hacker hoặc tài sản bị đóng băng, đang phát hành bồi thường hoặc thưởng cho người dùng.
Cơ chế phân chia tài sản của Inferno Drainer
Vào ngày 21 tháng 5 năm 2024, Inferno Drainer đã công khai một thông điệp xác thực chữ ký trên etherscan, tuyên bố trở lại và tạo ra một kênh Discord mới.
Qua phân tích các giao dịch liên quan đến Inferno Drainer, chúng tôi phát hiện cơ chế chia sẻ phần thưởng của nó như sau:
Inferno Drainer tạo ra một hợp đồng thông qua CREATE2. CREATE2 là một lệnh trong máy ảo Ethereum, được sử dụng để tạo ra hợp đồng thông minh. Inferno Drainer sử dụng đặc tính của lệnh CREATE2 để tính toán trước địa chỉ của hợp đồng chia sẻ cho người mua dịch vụ lừa đảo, sau khi nạn nhân bị mắc bẫy, hợp đồng chia sẻ sẽ được tạo ra.
Gọi hợp đồng đã tạo, phê duyệt token của nạn nhân cho địa chỉ lừa đảo (người mua dịch vụ Inferno Drainer) và địa chỉ chia chác. Kẻ tấn công thông qua nhiều phương thức lừa đảo khác nhau, dẫn dắt nạn nhân vô tình ký vào thông điệp Permit2 độc hại.
Chuyển vào địa chỉ phân chia và người mua các mã thông báo theo tỷ lệ tương ứng, hoàn thành việc phân chia.
Đáng chú ý là Inferno Drainer có thể phần nào vượt qua một số chức năng chống lừa đảo của ví bằng cách tạo hợp đồng trước khi chia tiền, từ đó giảm bớt sự cảnh giác của nạn nhân. Trong một giao dịch mà chúng tôi quan sát, người mua dịch vụ lừa đảo đã lấy 82,5% số tiền ăn cắp, trong khi Inferno Drainer giữ lại 17,5%.
Các bước đơn giản để tạo trang web lừa đảo
Với sự giúp đỡ của dịch vụ lừa đảo, việc kẻ tấn công tạo ra một trang web lừa đảo trở nên vô cùng đơn giản:
Tham gia kênh Telegram do Drainer cung cấp, sử dụng lệnh đơn giản để tạo tên miền miễn phí và địa chỉ IP tương ứng.
Chọn một trong hàng trăm mẫu, vào quy trình cài đặt, chỉ sau vài phút bạn có thể tạo ra một trang web lừa đảo trông chuyên nghiệp.
Tìm kiếm nạn nhân tiềm năng. Khi ai đó truy cập trang web và kết nối ví để chấp thuận giao dịch độc hại, tài sản của nạn nhân sẽ bị chuyển đi.
Toàn bộ quá trình chỉ mất vài phút, giảm đáng kể rào cản thực hiện các cuộc tấn công lừa đảo.
Đề xuất an toàn
Đối mặt với các cuộc tấn công lừa đảo ngày càng gia tăng, người dùng cần phải duy trì cảnh giác cao khi tham gia giao dịch mã hóa: