Revelando la industrialización de los ataques de phishing en el mundo de la encriptación
Desde junio de 2024, el equipo de seguridad ha detectado una gran cantidad de transacciones de phishing similares, con un monto involucrado de más de 55 millones de dólares solo en junio. A medida que entramos en agosto y septiembre, las actividades de phishing relacionadas se han vuelto más frecuentes y están en aumento. Durante todo el tercer trimestre de 2024, los ataques de phishing se han convertido en el medio que más pérdidas económicas ha causado, con 65 acciones de ataque que han obtenido más de 243 millones de dólares. El análisis muestra que los recientes ataques de phishing son muy probablemente relacionados con un equipo de herramientas de phishing infame. Este equipo había anunciado su "jubilación" a finales de 2023, pero ahora parece estar activo de nuevo, llevando a cabo una serie de ataques a gran escala.
Este artículo analizará los métodos de operación de un grupo típico de ataques de phishing en línea y enumerará en detalle sus características de comportamiento, con el objetivo de ayudar a los usuarios a mejorar su capacidad para identificar y prevenir fraudes de phishing.
¿Qué es Scam-as-a-Service?
En el mundo de la encriptación, algunos equipos de phishing han inventado un nuevo modelo malicioso llamado "Scam-as-a-Service" (estafa como servicio). Este modelo empaqueta herramientas y servicios de estafa y los ofrece de manera comercial a otros criminales. Un conocido equipo de herramientas de phishing es un representante típico en este campo, y durante el período en que anunciaron por primera vez el cierre de sus servicios entre noviembre de 2022 y noviembre de 2023, el monto total de sus estafas superó los 80 millones de dólares.
El equipo ayuda a los compradores a iniciar ataques rápidamente al proporcionar herramientas y infraestructura de phishing listas para usar, incluidos el front-end y back-end de sitios de phishing, contratos inteligentes y cuentas de redes sociales. Los phishers que compran el servicio pueden retener la mayor parte de las ganancias ilícitas, mientras que el proveedor del servicio cobra una comisión del 10% al 20%. Este modelo reduce significativamente la barrera técnica para el fraude, haciendo que el crimen cibernético sea más eficiente y escalable, lo que lleva a un aumento de los ataques de phishing en la industria encriptación, especialmente aquellos usuarios que carecen de conciencia de seguridad son más propensos a convertirse en objetivos de ataque.
Cómo funciona el Scam-as-a-Service
Antes de introducir SaaS, primero entendamos el flujo de trabajo típico de una aplicación descentralizada (DApp). Una DApp típica generalmente consiste en una interfaz frontal (como una página web o una aplicación móvil) y contratos inteligentes en la blockchain. Los usuarios se conectan a la interfaz frontal de la DApp a través de una billetera de blockchain, la página frontal genera la transacción correspondiente de blockchain y la envía a la billetera del usuario. Luego, el usuario aprueba la transacción firmándola con su billetera de blockchain; una vez completada la firma, la transacción se envía a la red de blockchain y se invoca el contrato inteligente correspondiente para ejecutar la funcionalidad requerida.
Los atacantes de phishing inducen astutamente a los usuarios a realizar operaciones inseguras mediante el diseño de interfaces frontales y contratos inteligentes maliciosos. Los atacantes suelen guiar a los usuarios a hacer clic en enlaces o botones maliciosos, engañándolos para que aprueben algunas transacciones maliciosas ocultas, e incluso en algunos casos, engañando directamente a los usuarios para que revelen sus claves privadas. Una vez que el usuario firma estas transacciones maliciosas o expone su clave privada, el atacante puede transferir fácilmente los activos del usuario a su propia cuenta.
A continuación se presentan algunos de los métodos más comunes:
Frontend falso de proyectos conocidos: los atacantes imitan cuidadosamente el sitio web oficial de proyectos conocidos, creando una interfaz frontal que parece legítima, lo que lleva a los usuarios a creer que están interactuando con un proyecto de confianza, lo que hace que bajen la guardia, conecten sus billeteras y realicen operaciones inseguras.
Esquema de airdrop de tokens: Ellos promocionan en redes sociales sitios de phishing, afirmando que hay oportunidades extremadamente atractivas como "airdrops gratuitos", "preventa anticipada", "acuñación gratuita de NFT", etc., engañando a las víctimas para que hagan clic en los enlaces. Una vez que las víctimas son atraídas al sitio de phishing, a menudo conectan sus billeteras y aprueban transacciones maliciosas sin darse cuenta.
Incidentes falsos de hackers y estafas de recompensas: los criminales cibernéticos afirman que un conocido proyecto ha sido atacado por hackers o que sus activos están congelados, y que actualmente están otorgando compensaciones o recompensas a los usuarios. Atraen a los usuarios a sitios de phishing a través de estas falsas emergencias, engañándolos para que conecten sus billeteras y, en última instancia, roban los fondos de los usuarios.
Las estafas de phishing no son un método nuevo, pero el modelo SaaS ha sido en gran medida el principal impulsor del aumento de las estafas de phishing en los últimos dos años. Los proveedores de herramientas SaaS han eliminado completamente la barrera técnica para las estafas de phishing, ofreciendo a los compradores que carecen de la tecnología correspondiente servicios para crear y alojar sitios web de phishing, y extrayendo beneficios de los ingresos de las estafas.
La forma en que los proveedores de SaaS y los compradores dividen las ganancias
El 21 de mayo de 2024, un conocido proveedor de herramientas de phishing publicó un mensaje de verificación de firma en etherscan, anunciando su regreso y creando un nuevo canal de Discord.
Hemos encontrado que una cierta dirección ha realizado una gran cantidad de transacciones con patrones similares. Tras un análisis e investigación, creemos que este tipo de transacciones son las que realiza el proveedor de la herramienta para mover fondos y distribuirlos una vez que detecta que la víctima ha caído en la trampa. Tomemos como ejemplo una de las transacciones realizadas con esta dirección:
El proveedor de herramientas crea un contrato a través de CREATE2. CREATE2 es una instrucción en la máquina virtual de Ethereum que se utiliza para crear contratos inteligentes. El proveedor de herramientas aprovechó la naturaleza de la instrucción CREATE2 para calcular de antemano la dirección del contrato de reparto para los compradores del servicio de phishing, y una vez que la víctima cae en la trampa, se crea el contrato de reparto, completando la transferencia de tokens y la operación de reparto.
Llamar al contrato creado, aprobando los tokens de la víctima a la dirección de phishing (comprador del servicio) y a la dirección de reparto. El atacante, a través de varios métodos de phishing, guía a la víctima a firmar involuntariamente un mensaje malicioso de Permit2. Permit2 permite a los usuarios autorizar la transferencia de tokens mediante una firma, sin necesidad de interactuar directamente con la billetera.
Transferir una cierta cantidad de tokens a las dos direcciones de reparto, y transferir los tokens restantes al comprador, completando así la repartición.
Cabe mencionar que, actualmente, hay varias billeteras de blockchain que han implementado funciones de anti-phishing o similares, pero muchas de estas funciones se logran a través de listas negras de dominios o direcciones de blockchain. Los proveedores de herramientas, creando contratos antes de repartir el botín, pueden eludir en cierta medida estas funciones de anti-phishing, lo que reduce aún más la vigilancia de las víctimas. En esta transacción, el comprador de los servicios de phishing se llevó el 82.5% del botín, mientras que el proveedor de herramientas retuvo el 17.5%.
Pasos simples para crear un sitio web de phishing
Con la ayuda de SaaS, es excepcionalmente fácil para un atacante crear un sitio web de phishing:
Después de ingresar al canal de comunicación del proveedor de herramientas, solo se necesita un simple comando para crear un nombre de dominio gratuito y la dirección IP correspondiente.
Elige uno de los cientos de plantillas disponibles, entra en el proceso de instalación y en unos minutos podrás crear un sitio web de phishing que se vea bastante profesional.
Buscar víctimas. Una vez que una víctima ingresa al sitio web, cree en la información fraudulenta en la página y conecta su billetera para aprobar la transacción maliciosa, los activos de la víctima serán transferidos.
Un atacante, con la ayuda de SaaS, puede completar estos tres pasos en solo unos minutos para crear un sitio web de phishing.
Resumen y Reflexiones
El regreso de un conocido proveedor de herramientas de phishing sin duda ha traído enormes riesgos de seguridad para los usuarios de la industria. Con sus potentes funciones y métodos de ataque encubiertos, así como con un costo delictivo muy bajo, se ha convertido en una de las herramientas preferidas por los delincuentes cibernéticos para llevar a cabo ataques de phishing y robo de fondos.
Los usuarios que participan en el comercio de encriptación deben mantenerse alerta en todo momento y recordar los siguientes puntos:
No hay almuerzos gratis en el mundo: no creas en ninguna publicidad de "regalos caídos del cielo", como airdrops gratuitos o compensaciones sospechosas, confía únicamente en los sitios web oficiales o en proyectos que hayan recibido auditorías profesionales.
Verifica siempre la conexión de red: Antes de conectar tu billetera a cualquier sitio web, revisa cuidadosamente la URL para asegurarte de que no imite proyectos conocidos, y trata de usar herramientas de consulta de dominios WHOIS para verificar su fecha de registro. Los sitios web con una fecha de registro muy corta son probablemente proyectos fraudulentos.
Proteger la información de privacidad: No envíes tu frase de recuperación o clave privada a ningún sitio web o aplicación sospechosa. Antes de que la billetera solicite firmar cualquier mensaje o aprobar una transacción, verifica cuidadosamente si la transacción podría ser un Permit o Approve que pueda resultar en la pérdida de fondos.
Atención a las actualizaciones de información sobre fraudes: sigue las cuentas oficiales de redes sociales que publican advertencias de manera regular. Si descubres que has autorizado tokens a una dirección de fraude, retira la autorización de inmediato o transfiere los activos restantes a otra dirección segura.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
7
Compartir
Comentar
0/400
GamefiHarvester
· 07-12 13:09
En este mundo Cripto siempre hay algunos tipos que se retiran pero no se retiran...
Ver originalesResponder0
PretendingSerious
· 07-11 18:41
tomar a la gente por tonta tomar a la gente por tonta tomar a la gente por tonta ¿A quién no le resulta un trabajo técnico?
Ver originalesResponder0
PoolJumper
· 07-09 15:07
¡Despierta! ¡Este grupo de pescaderos vuelve a sacar provecho de los tontos!
Ver originalesResponder0
TokenomicsTrapper
· 07-09 15:06
llamaron a esto desde su falsa jubilación... ngmi si no puedes detectar patrones básicos de salida smh
Ver originalesResponder0
StrawberryIce
· 07-09 15:06
Tsk tsk, otra vez ganando dinero de manera deshonesta.
Ver originalesResponder0
CodeZeroBasis
· 07-09 15:05
满屏的tontostomar a la gente por tonta...
Ver originalesResponder0
BitcoinDaddy
· 07-09 14:40
¿Se suponía que te retirabas y ahora vuelves a recoger tontos, eh?
Revelando el mundo de la encriptación: la tendencia de la industrialización de los ataques de phishing como servicio.
Revelando la industrialización de los ataques de phishing en el mundo de la encriptación
Desde junio de 2024, el equipo de seguridad ha detectado una gran cantidad de transacciones de phishing similares, con un monto involucrado de más de 55 millones de dólares solo en junio. A medida que entramos en agosto y septiembre, las actividades de phishing relacionadas se han vuelto más frecuentes y están en aumento. Durante todo el tercer trimestre de 2024, los ataques de phishing se han convertido en el medio que más pérdidas económicas ha causado, con 65 acciones de ataque que han obtenido más de 243 millones de dólares. El análisis muestra que los recientes ataques de phishing son muy probablemente relacionados con un equipo de herramientas de phishing infame. Este equipo había anunciado su "jubilación" a finales de 2023, pero ahora parece estar activo de nuevo, llevando a cabo una serie de ataques a gran escala.
Este artículo analizará los métodos de operación de un grupo típico de ataques de phishing en línea y enumerará en detalle sus características de comportamiento, con el objetivo de ayudar a los usuarios a mejorar su capacidad para identificar y prevenir fraudes de phishing.
¿Qué es Scam-as-a-Service?
En el mundo de la encriptación, algunos equipos de phishing han inventado un nuevo modelo malicioso llamado "Scam-as-a-Service" (estafa como servicio). Este modelo empaqueta herramientas y servicios de estafa y los ofrece de manera comercial a otros criminales. Un conocido equipo de herramientas de phishing es un representante típico en este campo, y durante el período en que anunciaron por primera vez el cierre de sus servicios entre noviembre de 2022 y noviembre de 2023, el monto total de sus estafas superó los 80 millones de dólares.
El equipo ayuda a los compradores a iniciar ataques rápidamente al proporcionar herramientas y infraestructura de phishing listas para usar, incluidos el front-end y back-end de sitios de phishing, contratos inteligentes y cuentas de redes sociales. Los phishers que compran el servicio pueden retener la mayor parte de las ganancias ilícitas, mientras que el proveedor del servicio cobra una comisión del 10% al 20%. Este modelo reduce significativamente la barrera técnica para el fraude, haciendo que el crimen cibernético sea más eficiente y escalable, lo que lleva a un aumento de los ataques de phishing en la industria encriptación, especialmente aquellos usuarios que carecen de conciencia de seguridad son más propensos a convertirse en objetivos de ataque.
Cómo funciona el Scam-as-a-Service
Antes de introducir SaaS, primero entendamos el flujo de trabajo típico de una aplicación descentralizada (DApp). Una DApp típica generalmente consiste en una interfaz frontal (como una página web o una aplicación móvil) y contratos inteligentes en la blockchain. Los usuarios se conectan a la interfaz frontal de la DApp a través de una billetera de blockchain, la página frontal genera la transacción correspondiente de blockchain y la envía a la billetera del usuario. Luego, el usuario aprueba la transacción firmándola con su billetera de blockchain; una vez completada la firma, la transacción se envía a la red de blockchain y se invoca el contrato inteligente correspondiente para ejecutar la funcionalidad requerida.
Los atacantes de phishing inducen astutamente a los usuarios a realizar operaciones inseguras mediante el diseño de interfaces frontales y contratos inteligentes maliciosos. Los atacantes suelen guiar a los usuarios a hacer clic en enlaces o botones maliciosos, engañándolos para que aprueben algunas transacciones maliciosas ocultas, e incluso en algunos casos, engañando directamente a los usuarios para que revelen sus claves privadas. Una vez que el usuario firma estas transacciones maliciosas o expone su clave privada, el atacante puede transferir fácilmente los activos del usuario a su propia cuenta.
A continuación se presentan algunos de los métodos más comunes:
Frontend falso de proyectos conocidos: los atacantes imitan cuidadosamente el sitio web oficial de proyectos conocidos, creando una interfaz frontal que parece legítima, lo que lleva a los usuarios a creer que están interactuando con un proyecto de confianza, lo que hace que bajen la guardia, conecten sus billeteras y realicen operaciones inseguras.
Esquema de airdrop de tokens: Ellos promocionan en redes sociales sitios de phishing, afirmando que hay oportunidades extremadamente atractivas como "airdrops gratuitos", "preventa anticipada", "acuñación gratuita de NFT", etc., engañando a las víctimas para que hagan clic en los enlaces. Una vez que las víctimas son atraídas al sitio de phishing, a menudo conectan sus billeteras y aprueban transacciones maliciosas sin darse cuenta.
Incidentes falsos de hackers y estafas de recompensas: los criminales cibernéticos afirman que un conocido proyecto ha sido atacado por hackers o que sus activos están congelados, y que actualmente están otorgando compensaciones o recompensas a los usuarios. Atraen a los usuarios a sitios de phishing a través de estas falsas emergencias, engañándolos para que conecten sus billeteras y, en última instancia, roban los fondos de los usuarios.
Las estafas de phishing no son un método nuevo, pero el modelo SaaS ha sido en gran medida el principal impulsor del aumento de las estafas de phishing en los últimos dos años. Los proveedores de herramientas SaaS han eliminado completamente la barrera técnica para las estafas de phishing, ofreciendo a los compradores que carecen de la tecnología correspondiente servicios para crear y alojar sitios web de phishing, y extrayendo beneficios de los ingresos de las estafas.
La forma en que los proveedores de SaaS y los compradores dividen las ganancias
El 21 de mayo de 2024, un conocido proveedor de herramientas de phishing publicó un mensaje de verificación de firma en etherscan, anunciando su regreso y creando un nuevo canal de Discord.
Hemos encontrado que una cierta dirección ha realizado una gran cantidad de transacciones con patrones similares. Tras un análisis e investigación, creemos que este tipo de transacciones son las que realiza el proveedor de la herramienta para mover fondos y distribuirlos una vez que detecta que la víctima ha caído en la trampa. Tomemos como ejemplo una de las transacciones realizadas con esta dirección:
El proveedor de herramientas crea un contrato a través de CREATE2. CREATE2 es una instrucción en la máquina virtual de Ethereum que se utiliza para crear contratos inteligentes. El proveedor de herramientas aprovechó la naturaleza de la instrucción CREATE2 para calcular de antemano la dirección del contrato de reparto para los compradores del servicio de phishing, y una vez que la víctima cae en la trampa, se crea el contrato de reparto, completando la transferencia de tokens y la operación de reparto.
Llamar al contrato creado, aprobando los tokens de la víctima a la dirección de phishing (comprador del servicio) y a la dirección de reparto. El atacante, a través de varios métodos de phishing, guía a la víctima a firmar involuntariamente un mensaje malicioso de Permit2. Permit2 permite a los usuarios autorizar la transferencia de tokens mediante una firma, sin necesidad de interactuar directamente con la billetera.
Transferir una cierta cantidad de tokens a las dos direcciones de reparto, y transferir los tokens restantes al comprador, completando así la repartición.
Cabe mencionar que, actualmente, hay varias billeteras de blockchain que han implementado funciones de anti-phishing o similares, pero muchas de estas funciones se logran a través de listas negras de dominios o direcciones de blockchain. Los proveedores de herramientas, creando contratos antes de repartir el botín, pueden eludir en cierta medida estas funciones de anti-phishing, lo que reduce aún más la vigilancia de las víctimas. En esta transacción, el comprador de los servicios de phishing se llevó el 82.5% del botín, mientras que el proveedor de herramientas retuvo el 17.5%.
Pasos simples para crear un sitio web de phishing
Con la ayuda de SaaS, es excepcionalmente fácil para un atacante crear un sitio web de phishing:
Después de ingresar al canal de comunicación del proveedor de herramientas, solo se necesita un simple comando para crear un nombre de dominio gratuito y la dirección IP correspondiente.
Elige uno de los cientos de plantillas disponibles, entra en el proceso de instalación y en unos minutos podrás crear un sitio web de phishing que se vea bastante profesional.
Buscar víctimas. Una vez que una víctima ingresa al sitio web, cree en la información fraudulenta en la página y conecta su billetera para aprobar la transacción maliciosa, los activos de la víctima serán transferidos.
Un atacante, con la ayuda de SaaS, puede completar estos tres pasos en solo unos minutos para crear un sitio web de phishing.
Resumen y Reflexiones
El regreso de un conocido proveedor de herramientas de phishing sin duda ha traído enormes riesgos de seguridad para los usuarios de la industria. Con sus potentes funciones y métodos de ataque encubiertos, así como con un costo delictivo muy bajo, se ha convertido en una de las herramientas preferidas por los delincuentes cibernéticos para llevar a cabo ataques de phishing y robo de fondos.
Los usuarios que participan en el comercio de encriptación deben mantenerse alerta en todo momento y recordar los siguientes puntos: