Hé lộ sự công nghiệp hóa của các cuộc tấn công lừa đảo trong thế giới mã hóa
Kể từ tháng 6 năm 2024, đội ngũ an ninh đã phát hiện ra một lượng lớn các giao dịch lừa đảo tương tự, chỉ riêng trong tháng 6, số tiền liên quan đã vượt quá 55 triệu USD. Bước vào tháng 8 và 9, các hoạt động lừa đảo liên quan ngày càng gia tăng và có xu hướng trở nên nghiêm trọng hơn. Trong toàn bộ quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức gây thiệt hại kinh tế nhiều nhất, với 65 cuộc tấn công đã thu được hơn 243 triệu USD. Phân tích cho thấy, các cuộc tấn công lừa đảo thường xuyên gần đây rất có thể liên quan đến một đội ngũ công cụ lừa đảo khét tiếng. Đội ngũ này đã tuyên bố "nghỉ hưu" vào cuối năm 2023, nhưng hiện nay có vẻ như họ đã hoạt động trở lại và gây ra một loạt các cuộc tấn công quy mô lớn.
Bài viết này sẽ phân tích phương thức hoạt động của các băng nhóm tấn công lừa đảo qua mạng điển hình, và liệt kê chi tiết các đặc điểm hành vi của chúng, nhằm giúp người dùng nâng cao khả năng nhận diện và phòng ngừa lừa đảo qua mạng.
Scam-as-a-Service là gì
Trong thế giới mã hóa, một số nhóm lừa đảo đã phát minh ra một mô hình độc hại mới mang tên "Scam-as-a-Service" (lừa đảo dưới dạng dịch vụ). Mô hình này đóng gói các công cụ và dịch vụ lừa đảo, cung cấp theo cách hàng hóa cho các tội phạm khác. Một nhóm công cụ lừa đảo nổi tiếng là đại diện tiêu biểu trong lĩnh vực này, trong khoảng thời gian từ tháng 11 năm 2022 đến tháng 11 năm 2023 khi họ lần đầu tiên thông báo ngừng dịch vụ, số tiền lừa đảo của họ đã vượt quá 80 triệu đô la.
Nhóm này giúp người mua nhanh chóng phát động tấn công bằng cách cung cấp các công cụ và cơ sở hạ tầng lừa đảo sẵn có, bao gồm cả front-end và back-end của trang web lừa đảo, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ lừa đảo mua dịch vụ có thể giữ lại phần lớn tiền bẩn, trong khi nhà cung cấp dịch vụ thu một khoản hoa hồng từ 10%-20%. Mô hình này đã giảm đáng kể rào cản công nghệ cho việc lừa đảo, khiến tội phạm mạng trở nên hiệu quả và quy mô hơn, dẫn đến việc các cuộc tấn công lừa đảo tràn lan trong ngành mã hóa, đặc biệt là những người dùng thiếu nhận thức về an ninh dễ trở thành mục tiêu tấn công hơn.
Cách hoạt động của Scam-as-a-Service
Trước khi giới thiệu về SaaS, chúng ta hãy tìm hiểu quy trình làm việc của một ứng dụng phi tập trung (DApp) điển hình. Một DApp điển hình thường bao gồm giao diện phía trước (như trang Web hoặc ứng dụng di động) và hợp đồng thông minh trên blockchain. Người dùng kết nối đến giao diện phía trước của DApp thông qua ví blockchain, trang trước sẽ tạo ra giao dịch blockchain tương ứng và gửi nó đến ví của người dùng. Người dùng sau đó sử dụng ví blockchain để ký phê duyệt giao dịch này, sau khi ký xong, giao dịch sẽ được gửi đến mạng blockchain và gọi hợp đồng thông minh tương ứng để thực hiện các chức năng cần thiết.
Kẻ tấn công lừa đảo thông qua việc thiết kế giao diện trước mặt và hợp đồng thông minh độc hại, khéo léo dụ dỗ người dùng thực hiện các thao tác không an toàn. Kẻ tấn công thường dẫn dắt người dùng nhấp vào các liên kết hoặc nút độc hại, từ đó lừa dối họ phê duyệt một số giao dịch độc hại ẩn giấu, thậm chí trong một số trường hợp, trực tiếp dụ dỗ người dùng tiết lộ khóa riêng của họ. Khi người dùng đã ký vào những giao dịch độc hại này hoặc tiết lộ khóa riêng, kẻ tấn công sẽ dễ dàng chuyển tài sản của người dùng vào tài khoản của mình.
Dưới đây là một số phương tiện phổ biến nhất:
Giả mạo giao diện trước của dự án nổi tiếng: Kẻ tấn công tinh vi bắt chước trang web chính thức của dự án nổi tiếng, tạo ra giao diện trước có vẻ hợp pháp, khiến người dùng nhầm tưởng rằng họ đang tương tác với một dự án đáng tin cậy, từ đó lơ là cảnh giác, kết nối ví và thực hiện các thao tác không an toàn.
Lừa đảo airdrop token: Họ quảng bá rầm rộ các trang web lừa đảo trên mạng xã hội, tuyên bố có "airdrop miễn phí", "bán trước sớm", "đúc NFT miễn phí" và các cơ hội hấp dẫn khác để dụ dỗ nạn nhân nhấp vào liên kết. Khi nạn nhân bị thu hút vào trang web lừa đảo, họ thường vô tình kết nối ví và phê duyệt giao dịch độc hại.
Sự kiện hacker giả mạo và lừa đảo thưởng: Tội phạm mạng tuyên bố rằng một dự án nổi tiếng đã bị tấn công bởi hacker hoặc tài sản bị đóng băng, hiện đang phát tiền bồi thường hoặc thưởng cho người dùng. Họ thu hút người dùng đến các trang web giả mạo thông qua những tình huống khẩn cấp giả tạo này, lừa đảo họ kết nối ví, cuối cùng đánh cắp tiền của người dùng.
Lừa đảo qua phishing không phải là một chiêu trò mới, nhưng mô hình SaaS đã trở thành động lực lớn nhất khiến lừa đảo qua phishing gia tăng mạnh mẽ trong hai năm qua. Các nhà cung cấp công cụ SaaS đã hoàn toàn loại bỏ rào cản công nghệ cho lừa đảo qua phishing, cung cấp dịch vụ tạo và lưu trữ các trang web lừa đảo cho những người mua thiếu kỹ thuật tương ứng, và thu lợi nhuận từ số tiền lừa đảo.
Cách chia chác giữa nhà cung cấp SaaS và người mua
Vào ngày 21 tháng 5 năm 2024, một nhà cung cấp công cụ câu cá nổi tiếng đã công bố một thông điệp xác thực chữ ký trên etherscan, tuyên bố trở lại và tạo ra một kênh Discord mới.
Chúng tôi phát hiện rằng một địa chỉ đã thực hiện một số lượng lớn giao dịch có mẫu tương tự, sau khi phân tích và điều tra, chúng tôi cho rằng, các giao dịch như vậy chính là giao dịch mà nhà cung cấp công cụ thực hiện để chuyển tiền và phân chia tài sản sau khi phát hiện ra nạn nhân đã mắc bẫy. Lấy một giao dịch được thực hiện từ địa chỉ đó làm ví dụ:
Nhà cung cấp công cụ tạo ra một hợp đồng thông qua CREATE2. CREATE2 là một lệnh trong máy ảo Ethereum, được sử dụng để tạo ra hợp đồng thông minh. Nhà cung cấp công cụ đã lợi dụng tính chất của lệnh CREATE2, tính toán trước địa chỉ của hợp đồng phân chia cho người mua dịch vụ lừa đảo, và sau khi nạn nhân bị mắc bẫy, hợp đồng phân chia được tạo ra, hoàn tất việc chuyển token và hoạt động phân chia.
Gọi hợp đồng đã tạo, phê duyệt mã thông báo của nạn nhân cho địa chỉ lừa đảo (người mua dịch vụ) và địa chỉ chia chác. Kẻ tấn công thông qua nhiều phương pháp lừa đảo, dẫn dắt nạn nhân vô tình ký vào thông điệp Permit2 độc hại. Permit2 cho phép người dùng ủy quyền chuyển nhượng mã thông báo thông qua chữ ký, mà không cần tương tác trực tiếp với ví.
Chuyển một số lượng mã hóa nhất định vào hai địa chỉ phân chia, chuyển số mã hóa còn lại cho người mua, hoàn thành việc phân chia.
Cần lưu ý rằng hiện nay có nhiều ví blockchain đã triển khai chức năng chống lừa đảo hoặc các chức năng tương tự, nhưng nhiều ví thực hiện chức năng chống lừa đảo thông qua danh sách đen tên miền hoặc địa chỉ blockchain. Các nhà cung cấp công cụ có thể tạo hợp đồng trước khi phân chia tiền bẩn, từ đó có thể vượt qua một phần nào đó những chức năng chống lừa đảo này, và làm giảm mức độ cảnh giác của nạn nhân. Trong giao dịch này, người mua dịch vụ lừa đảo đã lấy 82,5% số tiền bị đánh cắp, trong khi nhà cung cấp công cụ giữ lại 17,5%.
Bước đơn giản để tạo trang web lừa đảo
Với sự trợ giúp của SaaS, kẻ tấn công tạo ra một trang web lừa đảo trở nên cực kỳ dễ dàng:
Sau khi vào kênh liên lạc của nhà cung cấp công cụ, chỉ cần một lệnh đơn giản, bạn có thể tạo một tên miền miễn phí và địa chỉ IP tương ứng.
Chọn một trong hàng trăm mẫu được cung cấp, vào quy trình cài đặt, chỉ sau vài phút bạn có thể tạo ra một trang web lừa đảo có giao diện khá giống thật.
Tìm kiếm nạn nhân. Một khi có nạn nhân vào trang web, tin tưởng vào thông tin gian lận trên trang và kết nối ví để phê duyệt giao dịch độc hại, tài sản của nạn nhân sẽ bị chuyển đi.
Kẻ tấn công chỉ cần vài phút với sự trợ giúp của SaaS để hoàn thành ba bước này và tạo ra một trang web lừa đảo.
Tóm tắt và gợi ý
Sự trở lại của một nhà cung cấp công cụ lừa đảo nổi tiếng chắc chắn đã mang đến nguy cơ an ninh lớn cho người dùng trong ngành. Với tính năng mạnh mẽ, phương thức tấn công ẩn giấu và chi phí tội phạm rất thấp, nó đã trở thành một trong những công cụ ưa thích của tội phạm mạng để thực hiện các cuộc tấn công lừa đảo và trộm cắp tài sản.
Người dùng khi tham gia giao dịch mã hóa cần luôn cảnh giác và ghi nhớ những điểm sau:
Không có bữa trưa miễn phí: Đừng tin vào bất kỳ quảng cáo nào về "bánh bao rơi từ trên trời", chẳng hạn như airdrop miễn phí nghi ngờ, bồi thường, chỉ tin tưởng vào trang web chính thức hoặc các dự án đã được dịch vụ kiểm toán chuyên nghiệp.
Kiểm tra liên kết mạng thường xuyên: Trước khi kết nối ví với bất kỳ trang web nào, hãy kiểm tra kỹ URL, xem nó có bắt chước các dự án nổi tiếng hay không, và cố gắng sử dụng công cụ tra cứu tên miền WHOIS để xem thời gian đăng ký của nó, các trang web có thời gian đăng ký quá ngắn rất có thể là dự án lừa đảo.
Bảo vệ thông tin riêng tư: Đừng gửi cụm từ khôi phục, khóa riêng của bạn cho bất kỳ trang web hoặc ứng dụng nghi ngờ nào, trước khi ví yêu cầu ký bất kỳ thông điệp nào hoặc phê duyệt giao dịch, hãy kiểm tra kỹ xem giao dịch đó có phải là giao dịch Permit hoặc Approve có thể dẫn đến mất tiền hay không.
Theo dõi cập nhật thông tin lừa đảo: Theo dõi các tài khoản mạng xã hội chính thức phát thông báo cảnh báo định kỳ, nếu phát hiện mình vô tình cấp quyền cho địa chỉ lừa đảo, hãy kịp thời thu hồi quyền hoặc chuyển tài sản còn lại sang địa chỉ an toàn khác.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
7
Chia sẻ
Bình luận
0/400
GamefiHarvester
· 07-12 13:09
Thế giới tiền điện tử này luôn có vài kẻ không chịu rút lui...
Xem bản gốcTrả lời0
PretendingSerious
· 07-11 18:41
chơi đùa với mọi người chơi đùa với mọi người chơi đùa với mọi người chơi đùa với ai cũng không phải là một kỹ thuật.
Xem bản gốcTrả lời0
PoolJumper
· 07-09 15:07
Thức dậy đi, bọn buôn cá này lại đến cắt đồ ngốc rồi!
Xem bản gốcTrả lời0
TokenomicsTrapper
· 07-09 15:06
đã gọi điều này đến từ khi họ giả nghỉ hưu... ngmi nếu bạn không thể phát hiện các mẫu thoát cơ bản smh
Xem bản gốcTrả lời0
StrawberryIce
· 07-09 15:06
Tsk tsk, lại đến để kiếm tiền bất chính rồi.
Xem bản gốcTrả lời0
CodeZeroBasis
· 07-09 15:05
满屏的 đồ ngốc chơi đùa với mọi người...
Xem bản gốcTrả lời0
BitcoinDaddy
· 07-09 14:40
Nói là nghỉ hưu, lại nửa đường trở lại để đâm đồ ngốc hả?
Tiết lộ thế giới mã hóa: Xu hướng công nghiệp hóa tội phạm lừa đảo Scam-as-a-Service và cuộc tấn công lừa đảo.
Hé lộ sự công nghiệp hóa của các cuộc tấn công lừa đảo trong thế giới mã hóa
Kể từ tháng 6 năm 2024, đội ngũ an ninh đã phát hiện ra một lượng lớn các giao dịch lừa đảo tương tự, chỉ riêng trong tháng 6, số tiền liên quan đã vượt quá 55 triệu USD. Bước vào tháng 8 và 9, các hoạt động lừa đảo liên quan ngày càng gia tăng và có xu hướng trở nên nghiêm trọng hơn. Trong toàn bộ quý 3 năm 2024, các cuộc tấn công lừa đảo đã trở thành phương thức gây thiệt hại kinh tế nhiều nhất, với 65 cuộc tấn công đã thu được hơn 243 triệu USD. Phân tích cho thấy, các cuộc tấn công lừa đảo thường xuyên gần đây rất có thể liên quan đến một đội ngũ công cụ lừa đảo khét tiếng. Đội ngũ này đã tuyên bố "nghỉ hưu" vào cuối năm 2023, nhưng hiện nay có vẻ như họ đã hoạt động trở lại và gây ra một loạt các cuộc tấn công quy mô lớn.
Bài viết này sẽ phân tích phương thức hoạt động của các băng nhóm tấn công lừa đảo qua mạng điển hình, và liệt kê chi tiết các đặc điểm hành vi của chúng, nhằm giúp người dùng nâng cao khả năng nhận diện và phòng ngừa lừa đảo qua mạng.
Scam-as-a-Service là gì
Trong thế giới mã hóa, một số nhóm lừa đảo đã phát minh ra một mô hình độc hại mới mang tên "Scam-as-a-Service" (lừa đảo dưới dạng dịch vụ). Mô hình này đóng gói các công cụ và dịch vụ lừa đảo, cung cấp theo cách hàng hóa cho các tội phạm khác. Một nhóm công cụ lừa đảo nổi tiếng là đại diện tiêu biểu trong lĩnh vực này, trong khoảng thời gian từ tháng 11 năm 2022 đến tháng 11 năm 2023 khi họ lần đầu tiên thông báo ngừng dịch vụ, số tiền lừa đảo của họ đã vượt quá 80 triệu đô la.
Nhóm này giúp người mua nhanh chóng phát động tấn công bằng cách cung cấp các công cụ và cơ sở hạ tầng lừa đảo sẵn có, bao gồm cả front-end và back-end của trang web lừa đảo, hợp đồng thông minh và tài khoản mạng xã hội. Những kẻ lừa đảo mua dịch vụ có thể giữ lại phần lớn tiền bẩn, trong khi nhà cung cấp dịch vụ thu một khoản hoa hồng từ 10%-20%. Mô hình này đã giảm đáng kể rào cản công nghệ cho việc lừa đảo, khiến tội phạm mạng trở nên hiệu quả và quy mô hơn, dẫn đến việc các cuộc tấn công lừa đảo tràn lan trong ngành mã hóa, đặc biệt là những người dùng thiếu nhận thức về an ninh dễ trở thành mục tiêu tấn công hơn.
Cách hoạt động của Scam-as-a-Service
Trước khi giới thiệu về SaaS, chúng ta hãy tìm hiểu quy trình làm việc của một ứng dụng phi tập trung (DApp) điển hình. Một DApp điển hình thường bao gồm giao diện phía trước (như trang Web hoặc ứng dụng di động) và hợp đồng thông minh trên blockchain. Người dùng kết nối đến giao diện phía trước của DApp thông qua ví blockchain, trang trước sẽ tạo ra giao dịch blockchain tương ứng và gửi nó đến ví của người dùng. Người dùng sau đó sử dụng ví blockchain để ký phê duyệt giao dịch này, sau khi ký xong, giao dịch sẽ được gửi đến mạng blockchain và gọi hợp đồng thông minh tương ứng để thực hiện các chức năng cần thiết.
Kẻ tấn công lừa đảo thông qua việc thiết kế giao diện trước mặt và hợp đồng thông minh độc hại, khéo léo dụ dỗ người dùng thực hiện các thao tác không an toàn. Kẻ tấn công thường dẫn dắt người dùng nhấp vào các liên kết hoặc nút độc hại, từ đó lừa dối họ phê duyệt một số giao dịch độc hại ẩn giấu, thậm chí trong một số trường hợp, trực tiếp dụ dỗ người dùng tiết lộ khóa riêng của họ. Khi người dùng đã ký vào những giao dịch độc hại này hoặc tiết lộ khóa riêng, kẻ tấn công sẽ dễ dàng chuyển tài sản của người dùng vào tài khoản của mình.
Dưới đây là một số phương tiện phổ biến nhất:
Giả mạo giao diện trước của dự án nổi tiếng: Kẻ tấn công tinh vi bắt chước trang web chính thức của dự án nổi tiếng, tạo ra giao diện trước có vẻ hợp pháp, khiến người dùng nhầm tưởng rằng họ đang tương tác với một dự án đáng tin cậy, từ đó lơ là cảnh giác, kết nối ví và thực hiện các thao tác không an toàn.
Lừa đảo airdrop token: Họ quảng bá rầm rộ các trang web lừa đảo trên mạng xã hội, tuyên bố có "airdrop miễn phí", "bán trước sớm", "đúc NFT miễn phí" và các cơ hội hấp dẫn khác để dụ dỗ nạn nhân nhấp vào liên kết. Khi nạn nhân bị thu hút vào trang web lừa đảo, họ thường vô tình kết nối ví và phê duyệt giao dịch độc hại.
Sự kiện hacker giả mạo và lừa đảo thưởng: Tội phạm mạng tuyên bố rằng một dự án nổi tiếng đã bị tấn công bởi hacker hoặc tài sản bị đóng băng, hiện đang phát tiền bồi thường hoặc thưởng cho người dùng. Họ thu hút người dùng đến các trang web giả mạo thông qua những tình huống khẩn cấp giả tạo này, lừa đảo họ kết nối ví, cuối cùng đánh cắp tiền của người dùng.
Lừa đảo qua phishing không phải là một chiêu trò mới, nhưng mô hình SaaS đã trở thành động lực lớn nhất khiến lừa đảo qua phishing gia tăng mạnh mẽ trong hai năm qua. Các nhà cung cấp công cụ SaaS đã hoàn toàn loại bỏ rào cản công nghệ cho lừa đảo qua phishing, cung cấp dịch vụ tạo và lưu trữ các trang web lừa đảo cho những người mua thiếu kỹ thuật tương ứng, và thu lợi nhuận từ số tiền lừa đảo.
Cách chia chác giữa nhà cung cấp SaaS và người mua
Vào ngày 21 tháng 5 năm 2024, một nhà cung cấp công cụ câu cá nổi tiếng đã công bố một thông điệp xác thực chữ ký trên etherscan, tuyên bố trở lại và tạo ra một kênh Discord mới.
Chúng tôi phát hiện rằng một địa chỉ đã thực hiện một số lượng lớn giao dịch có mẫu tương tự, sau khi phân tích và điều tra, chúng tôi cho rằng, các giao dịch như vậy chính là giao dịch mà nhà cung cấp công cụ thực hiện để chuyển tiền và phân chia tài sản sau khi phát hiện ra nạn nhân đã mắc bẫy. Lấy một giao dịch được thực hiện từ địa chỉ đó làm ví dụ:
Nhà cung cấp công cụ tạo ra một hợp đồng thông qua CREATE2. CREATE2 là một lệnh trong máy ảo Ethereum, được sử dụng để tạo ra hợp đồng thông minh. Nhà cung cấp công cụ đã lợi dụng tính chất của lệnh CREATE2, tính toán trước địa chỉ của hợp đồng phân chia cho người mua dịch vụ lừa đảo, và sau khi nạn nhân bị mắc bẫy, hợp đồng phân chia được tạo ra, hoàn tất việc chuyển token và hoạt động phân chia.
Gọi hợp đồng đã tạo, phê duyệt mã thông báo của nạn nhân cho địa chỉ lừa đảo (người mua dịch vụ) và địa chỉ chia chác. Kẻ tấn công thông qua nhiều phương pháp lừa đảo, dẫn dắt nạn nhân vô tình ký vào thông điệp Permit2 độc hại. Permit2 cho phép người dùng ủy quyền chuyển nhượng mã thông báo thông qua chữ ký, mà không cần tương tác trực tiếp với ví.
Chuyển một số lượng mã hóa nhất định vào hai địa chỉ phân chia, chuyển số mã hóa còn lại cho người mua, hoàn thành việc phân chia.
Cần lưu ý rằng hiện nay có nhiều ví blockchain đã triển khai chức năng chống lừa đảo hoặc các chức năng tương tự, nhưng nhiều ví thực hiện chức năng chống lừa đảo thông qua danh sách đen tên miền hoặc địa chỉ blockchain. Các nhà cung cấp công cụ có thể tạo hợp đồng trước khi phân chia tiền bẩn, từ đó có thể vượt qua một phần nào đó những chức năng chống lừa đảo này, và làm giảm mức độ cảnh giác của nạn nhân. Trong giao dịch này, người mua dịch vụ lừa đảo đã lấy 82,5% số tiền bị đánh cắp, trong khi nhà cung cấp công cụ giữ lại 17,5%.
Bước đơn giản để tạo trang web lừa đảo
Với sự trợ giúp của SaaS, kẻ tấn công tạo ra một trang web lừa đảo trở nên cực kỳ dễ dàng:
Sau khi vào kênh liên lạc của nhà cung cấp công cụ, chỉ cần một lệnh đơn giản, bạn có thể tạo một tên miền miễn phí và địa chỉ IP tương ứng.
Chọn một trong hàng trăm mẫu được cung cấp, vào quy trình cài đặt, chỉ sau vài phút bạn có thể tạo ra một trang web lừa đảo có giao diện khá giống thật.
Tìm kiếm nạn nhân. Một khi có nạn nhân vào trang web, tin tưởng vào thông tin gian lận trên trang và kết nối ví để phê duyệt giao dịch độc hại, tài sản của nạn nhân sẽ bị chuyển đi.
Kẻ tấn công chỉ cần vài phút với sự trợ giúp của SaaS để hoàn thành ba bước này và tạo ra một trang web lừa đảo.
Tóm tắt và gợi ý
Sự trở lại của một nhà cung cấp công cụ lừa đảo nổi tiếng chắc chắn đã mang đến nguy cơ an ninh lớn cho người dùng trong ngành. Với tính năng mạnh mẽ, phương thức tấn công ẩn giấu và chi phí tội phạm rất thấp, nó đã trở thành một trong những công cụ ưa thích của tội phạm mạng để thực hiện các cuộc tấn công lừa đảo và trộm cắp tài sản.
Người dùng khi tham gia giao dịch mã hóa cần luôn cảnh giác và ghi nhớ những điểm sau: