Mengungkap Industrialisasi Serangan Phishing di Dunia Enkripsi

Sejak Juni 2024, tim keamanan telah memantau sejumlah besar transaksi phishing yang serupa, dengan jumlah uang yang terlibat di bulan Juni saja melebihi 55 juta dolar AS. Memasuki bulan Agustus dan September, aktivitas phishing terkait semakin sering terjadi, menunjukkan peningkatan yang semakin parah. Selama kuartal ketiga tahun 2024, serangan phishing telah menjadi metode yang menyebabkan kerugian ekonomi terbesar, dengan 65 serangan yang menghasilkan lebih dari 243 juta dolar AS. Analisis menunjukkan bahwa serangan phishing yang sering terjadi baru-baru ini sangat mungkin terkait dengan tim alat phishing yang terkenal buruk. Tim tersebut pernah mengumumkan "pensiun" pada akhir tahun 2023, tetapi kini tampaknya kembali aktif dan menciptakan serangkaian serangan besar-besaran.

Artikel ini akan menganalisis metode pelaksanaan kelompok serangan phishing yang khas, dan secara rinci mencantumkan karakteristik perilaku mereka, bertujuan untuk membantu pengguna meningkatkan kemampuan mereka dalam mengenali dan mencegah penipuan phishing.

Apa itu Scam-as-a-Service

Di dunia enkripsi, beberapa tim phishing telah menciptakan model jahat baru yang disebut "Scam-as-a-Service" (penipuan sebagai layanan). Model ini mengemas alat dan layanan penipuan untuk ditawarkan kepada pelanggar hukum lainnya dalam cara yang dipasarkan. Salah satu tim alat phishing terkenal adalah perwakilan tipikal di bidang ini, di mana selama periode penutupan layanan mereka yang pertama kali diumumkan dari November 2022 hingga November 2023, jumlah penipuan mereka melebihi 80 juta dolar.

Tim ini membantu pembeli dengan menyediakan alat dan infrastruktur phishing yang siap pakai, termasuk frontend dan backend situs phishing, kontrak pintar, serta akun media sosial, untuk dengan cepat melancarkan serangan. Phisher yang membeli layanan dapat mempertahankan sebagian besar uang curian, sementara penyedia layanan akan mengambil komisi sebesar 10%-20%. Model ini secara signifikan menurunkan ambang teknis untuk penipuan, membuat kejahatan siber menjadi lebih efisien dan terukur, menyebabkan serangan phishing merajalela di industri enkripsi, terutama pengguna yang kurang sadar keamanan lebih rentan menjadi target serangan.

Cara Kerja Scam-as-a-Service

Sebelum memperkenalkan SaaS, mari kita terlebih dahulu memahami alur kerja aplikasi terdesentralisasi (DApp) yang khas. DApp yang khas biasanya terdiri dari antarmuka depan (seperti halaman web atau aplikasi seluler) dan kontrak pintar di blockchain. Pengguna terhubung ke antarmuka depan DApp melalui dompet blockchain, halaman depan menghasilkan transaksi blockchain yang sesuai dan mengirimkannya ke dompet pengguna. Pengguna kemudian menggunakan dompet blockchain untuk menandatangani dan menyetujui transaksi ini, setelah tanda tangan selesai, transaksi dikirim ke jaringan blockchain dan memanggil kontrak pintar yang sesuai untuk melaksanakan fungsi yang diperlukan.

Penyerang phishing dengan cerdik merancang antarmuka depan dan kontrak pintar yang berbahaya untuk membujuk pengguna melakukan tindakan yang tidak aman. Penyerang biasanya akan mengarahkan pengguna untuk mengklik tautan atau tombol berbahaya, sehingga mengecoh mereka untuk menyetujui beberapa transaksi berbahaya yang tersembunyi, bahkan dalam beberapa kasus, secara langsung membujuk pengguna untuk mengungkapkan kunci pribadi mereka. Begitu pengguna menandatangani transaksi berbahaya ini atau mengungkapkan kunci pribadi, penyerang dapat dengan mudah memindahkan aset pengguna ke akun mereka sendiri.

Berikut adalah beberapa cara yang paling umum:

1. Palsukan antarmuka depan proyek terkenal: Penyerang dengan hati-hati meniru situs web resmi proyek terkenal, menciptakan antarmuka depan yang tampak sah, sehingga pengguna salah mengira bahwa mereka berinteraksi dengan proyek yang tepercaya, sehingga mengendurkan kewaspadaan, menghubungkan dompet, dan melakukan operasi yang tidak aman.

2. Penipuan Airdrop Token: Mereka secara besar-besaran mempromosikan situs phishing di media sosial, mengklaim ada peluang menarik seperti "Airdrop Gratis", "Pra-penjualan Awal", "Mencetak NFT Gratis", yang menggoda korban untuk mengklik tautan. Setelah korban tertarik ke situs phishing, mereka sering kali tanpa sadar menghubungkan dompet dan menyetujui transaksi jahat.

3. Insiden peretasan palsu dan penipuan hadiah: Penjahat siber mengklaim bahwa suatu proyek terkenal telah mengalami serangan peretasan atau pembekuan aset, dan sekarang sedang memberikan kompensasi atau hadiah kepada pengguna. Mereka menarik pengguna ke situs phishing melalui keadaan darurat palsu ini, menipu mereka untuk menghubungkan dompet, dan akhirnya mencuri dana pengguna.

Penipuan phishing bukanlah metode baru, tetapi model SaaS secara signifikan adalah pendorong terbesar di belakang meningkatnya penipuan phishing dalam dua tahun terakhir. Penyedia alat SaaS sepenuhnya menghilangkan hambatan teknis untuk penipuan phishing, memberikan layanan kepada pembeli yang kekurangan teknologi yang sesuai untuk membuat dan menghosting situs phishing, dan mengambil keuntungan dari hasil penipuan.

Cara Pembagian Hasil antara Penyedia SaaS dan Pembeli

Pada 21 Mei 2024, sebuah penyedia alat pancing yang terkenal mengumumkan pesan verifikasi tanda tangan di etherscan, menyatakan kembali, dan membuat saluran Discord baru.

Kami menemukan bahwa alamat tertentu telah melakukan sejumlah besar transaksi dengan pola yang serupa. Setelah analisis dan penyelidikan, kami percaya bahwa transaksi semacam itu adalah transaksi di mana penyedia alat melakukan pemindahan dana dan pembagian hasil setelah mendeteksi bahwa korban telah terpancing. Sebagai contoh, salah satu transaksi yang dilakukan dengan alamat tersebut:

1. Penyedia alat membuat kontrak melalui CREATE2. CREATE2 adalah instruksi dalam mesin virtual Ethereum yang digunakan untuk membuat kontrak pintar. Penyedia alat memanfaatkan sifat instruksi CREATE2 untuk menghitung alamat kontrak bagi hasil sebelum pembeli layanan phishing terjebak, dan setelah korban terperangkap, kontrak bagi hasil tersebut dibuat, menyelesaikan transfer token dan operasi bagi hasil.

2. Memanggil kontrak yang dibuat, memberikan persetujuan token korban kepada alamat phishing (pembeli layanan) dan alamat bagi hasil. Penyerang menggunakan berbagai metode phishing untuk mengarahkan korban secara tidak sengaja menandatangani pesan Permit2 yang berbahaya. Permit2 memungkinkan pengguna untuk mengotorisasi transfer token melalui tanda tangan, tanpa perlu berinteraksi langsung dengan dompet.

3. Mengirimkan sejumlah token ke dua alamat pembagian hasil secara berurutan, mengirimkan sisa token ke pembeli, menyelesaikan pembagian hasil.

Perlu dicatat bahwa saat ini ada banyak dompet blockchain yang telah mengimplementasikan fungsi anti-phishing atau fungsi serupa, tetapi banyak dompet yang fungsi anti-phishing-nya diimplementasikan melalui daftar hitam nama domain atau alamat blockchain. Penyedia alat dapat, sampai batas tertentu, menghindari fungsi anti-phishing ini dengan cara membuat kontrak sebelum membagi hasil, sehingga mengurangi kewaspadaan korban lebih lanjut. Dalam transaksi ini, pembeli layanan phishing mengambil 82,5% dari hasil curian, sementara penyedia alat menyimpan 17,5%.

Langkah-langkah sederhana untuk membuat situs phishing

Dengan bantuan SaaS, penyerang membuat situs phishing menjadi sangat mudah:

1. Setelah memasuki saluran komunikasi penyedia alat, Anda hanya perlu satu perintah sederhana untuk membuat nama domain gratis dan alamat IP yang sesuai.

2. Pilih salah satu dari ratusan template yang tersedia, masuk ke dalam proses instalasi, dan dalam beberapa menit, Anda dapat membuat situs phishing yang terlihat cukup seperti aslinya.

3. Mencari korban. Begitu ada korban yang masuk ke situs tersebut, mempercayai informasi penipuan di halaman, dan menyambungkan dompet untuk menyetujui transaksi jahat, aset korban akan dipindahkan.

Penyerang dapat membuat situs phishing dalam beberapa menit dengan bantuan SaaS, hanya dengan menyelesaikan tiga langkah ini.

Ringkasan dan Pembelajaran

Kembalinya penyedia alat phishing yang terkenal tanpa diragukan lagi membawa risiko keamanan besar bagi pengguna industri. Dengan fungsionalitas yang kuat dan metode serangan yang tersembunyi, serta biaya kriminal yang sangat rendah, alat ini menjadi salah satu pilihan utama bagi penjahat siber untuk melakukan serangan phishing dan pencurian dana.

Pengguna yang terlibat dalam perdagangan enkripsi harus selalu waspada dan mengingat beberapa poin berikut:

• Tidak ada makan siang gratis: Jangan percaya pada宣传 yang "jatuh dari langit", seperti airdrop gratis yang mencurigakan, kompensasi, hanya percayai situs resmi atau proyek yang telah menjalani layanan audit profesional.
• Selalu periksa koneksi jaringan: Sebelum menghubungkan dompet ke situs web mana pun, periksa URL dengan cermat, apakah meniru proyek terkenal, dan usahakan untuk menggunakan alat pencarian nama domain WHOIS untuk melihat tanggal pendaftarannya, situs yang terdaftar dalam waktu yang sangat singkat kemungkinan besar adalah proyek penipuan.
• Lindungi informasi privasi: Jangan menyerahkan frase pemulihan atau kunci pribadi Anda kepada situs web atau aplikasi yang mencurigakan. Sebelum dompet meminta tanda tangan untuk pesan apa pun atau menyetujui transaksi, periksa dengan cermat apakah transaksi tersebut adalah Permit atau Approve yang mungkin mengakibatkan kehilangan dana.
• Ikuti pembaruan informasi penipuan: Ikuti akun media sosial resmi yang secara berkala merilis informasi peringatan. Jika Anda menemukan bahwa Anda tidak sengaja memberikan otorisasi token ke alamat penipuan, segera cabut otorisasi tersebut atau pindahkan sisa aset ke alamat aman lainnya.