Industrialisation des attaques de phishing dans le monde du chiffrement : analyse de l'écosystème "escroquerie en tant que service"

Depuis juin 2024, l'équipe de sécurité a détecté un grand nombre de transactions de phishing similaires, avec un montant impliqué de plus de 55 millions de dollars rien qu'en juin. Avec l'entrée dans les mois d'août et septembre, les activités de phishing associées sont devenues plus fréquentes et prennent de l'ampleur. Au troisième trimestre 2024, les attaques de phishing sont devenues le mode d'attaque causant les plus grandes pertes économiques, avec plus de 243 millions de dollars récupérés lors de 65 attaques. Les analyses montrent que les récentes attaques de phishing qui se multiplient sont très probablement liées à l'équipe d'outils de phishing notoire, Inferno Drainer. Cette équipe avait annoncé en grande pompe "sa retraite" à la fin de 2023, mais semble maintenant revenir en force, planifiant une série d'attaques à grande échelle.

Cet article analysera les méthodes typiques de cambriolage des groupes de phishing tels qu'Inferno Drainer et Nova Drainer, et énumérera en détail leurs caractéristiques comportementales afin d'aider les utilisateurs à améliorer leur capacité à identifier et à se prémunir contre les escroqueries de phishing.

Escroquerie en tant que service ( Scam-as-a-Service ) Aperçu

Dans le domaine du chiffrement, certaines équipes de phishing ont inventé un nouveau modèle malveillant appelé "escroquerie en tant que service". Ce modèle regroupe des outils et des services d'escroquerie pour les proposer sous forme de produits à d'autres criminels. Inferno Drainer est un représentant typique de ce domaine, ayant escroqué plus de 80 millions de dollars entre novembre 2022 et novembre 2023, période pendant laquelle ils ont annoncé pour la première fois la fermeture de leurs services.

Inferno Drainer aide les acheteurs à lancer rapidement des attaques en leur fournissant des outils et des infrastructures de phishing clés en main, y compris des sites de phishing front-end et back-end, des contrats intelligents et des comptes de médias sociaux. Les phishers qui achètent le service conservent la majeure partie des fonds volés, tandis qu'Inferno Drainer prélève une commission de 10 % à 20 %. Ce modèle réduit considérablement le seuil technique pour les escroqueries, rendant la cybercriminalité plus efficace et à grande échelle, ce qui entraîne une prolifération des attaques de phishing dans l'industrie du chiffrement, en particulier chez les utilisateurs manquant de sensibilisation à la sécurité qui deviennent plus facilement des cibles d'attaque.

Mécanisme de fonctionnement de la fraude en tant que service

Avant de parler de la fraude en tant que service, comprenons d'abord le flux de travail typique d'une application décentralisée (DApp). Une DApp typique est généralement composée d'une interface frontale (comme une page Web ou une application mobile) et d'un contrat intelligent sur la blockchain. Les utilisateurs se connectent à l'interface frontale de la DApp via un portefeuille de blockchain, l'interface frontale génère la transaction blockchain correspondante et l'envoie au portefeuille de l'utilisateur. L'utilisateur approuve ensuite cette transaction en la signant avec son portefeuille de blockchain, une fois la signature terminée, la transaction est envoyée au réseau blockchain et appelle le contrat intelligent correspondant pour exécuter les fonctionnalités requises.

Les attaquants de phishing incitent habilement les utilisateurs à exécuter des opérations non sécurisées en concevant des interfaces frontales et des contrats intelligents malveillants. Les attaquants orientent généralement les utilisateurs vers des liens ou des boutons malveillants, les trompant ainsi pour qu'ils approuvent certaines transactions malveillantes cachées, et même dans certains cas, les incitant directement à divulguer leur clé privée. Une fois que l'utilisateur a signé ces transactions malveillantes ou exposé sa clé privée, l'attaquant peut facilement transférer les actifs de l'utilisateur vers son propre compte.

Les méthodes de phishing courantes comprennent :

1. Faux front d'un projet connu : les attaquants imitent soigneusement le site officiel d'un projet connu, créant une interface frontale apparemment légitime, amenant les utilisateurs à croire qu'ils interagissent avec un projet de confiance, ce qui les rend moins vigilants, les poussant à connecter leur portefeuille et à effectuer des opérations non sécurisées.

2. Arnaque par airdrop de jetons : Les attaquants font la promotion massive de sites de phishing sur les réseaux sociaux, prétendant avoir des opportunités très attrayantes telles que "airdrop gratuit", "prévente anticipée", "minage gratuit de NFT", incitant les victimes à cliquer sur le lien. Une fois attirées sur le site de phishing, les victimes connectent souvent leur portefeuille et approuvent des transactions malveillantes sans s'en rendre compte.

3. Fausse attaque de hacker et arnaque aux récompenses : des cybercriminels prétendent qu'un projet bien connu a été victime d'une attaque de hacker ou d'un gel d'actifs, et qu'ils distribuent actuellement des compensations ou des récompenses aux utilisateurs. Ils attirent les utilisateurs vers des sites de phishing en utilisant ces fausses urgences, les incitant à connecter leur portefeuille, ce qui permet finalement de voler les fonds des utilisateurs.

On peut dire que le phishing n'est pas une nouvelle méthode, il était déjà très répandu avant 2020, mais le modèle de "fraude en tant que service" est en grande partie le principal moteur de l'augmentation du phishing au cours des deux dernières années. Avant l'apparition de la fraude en tant que service, les attaquants par phishing devaient préparer des fonds de démarrage sur la blockchain, créer des sites web frontaux et des contrats intelligents pour chaque attaque. Bien que ces sites de phishing soient souvent de mauvaise qualité, ils pouvaient recréer de nouveaux projets frauduleux en utilisant un ensemble de modèles et en effectuant de simples modifications, la gestion du site et la conception des pages nécessitaient tout de même un certain niveau de compétence technique. Les fournisseurs d'outils de fraude en tant que service comme Inferno Drainer ont complètement éliminé la barrière technique du phishing, offrant aux acheteurs manquant des compétences appropriées des services pour créer et héberger des sites de phishing, tout en prélevant des bénéfices sur les gains de la fraude.

Mécanisme de partage des gains d'Inferno Drainer

Le 21 mai 2024, Inferno Drainer a publié un message de vérification de signature sur etherscan, annonçant son retour et créant de nouveaux canaux de médias sociaux.

Une certaine adresse a effectué un grand nombre de transactions avec des modèles similaires. Après une analyse et une enquête sur ces transactions, nous pensons que ces transactions sont celles où l'Inferno Drainer effectue un transfert de fonds et un partage des gains après avoir détecté que la victime est piégée. Prenons l'une des transactions effectuées par cette adresse comme exemple :

1. Inferno Drainer crée un contrat via CREATE2. CREATE2 est une instruction dans la machine virtuelle Ethereum utilisée pour créer des contrats intelligents. Comparée à l'instruction traditionnelle CREATE, l'instruction CREATE2 permet de calculer à l'avance l'adresse du contrat en fonction du code binaire du contrat intelligent et d'un salt fixe. Inferno Drainer tire parti de la nature de l'instruction CREATE2 pour calculer à l'avance l'adresse du contrat de partage pour les acheteurs de services de phishing, et crée le contrat de partage une fois que la victime est piégée, complétant ainsi le transfert de tokens et l'opération de partage.

2. Appeler le contrat créé, approuver les jetons de la victime à l'adresse de phishing (acheteur du service Inferno Drainer) et à l'adresse de partage du butin. L'attaquant utilise diverses méthodes de phishing pour amener la victime à signer involontairement un message malveillant Permit2. Permit2 permet aux utilisateurs d'autoriser le transfert de jetons par la signature, sans nécessiter d'interaction directe avec le portefeuille. Ainsi, la victime croit qu'elle participe simplement à une transaction ordinaire ou qu'elle autorise certaines opérations inoffensives, alors qu'en réalité, elle a sans le savoir autorisé ses jetons à être contrôlés par l'adresse de l'attaquant.

3. Transférer une certaine quantité de jetons à deux adresses de partage, puis transférer les jetons restants à l'acheteur pour finaliser le partage.

Il convient de mentionner qu'actuellement, de nombreux portefeuilles de blockchain ont mis en œuvre des fonctionnalités de protection contre le phishing ou des fonctionnalités similaires, mais beaucoup de ces fonctionnalités de protection contre le phishing sont mises en œuvre par le biais de listes noires de domaines ou d'adresses de blockchain. Inferno Drainer est capable de contourner dans une certaine mesure ces fonctionnalités de protection contre le phishing en créant un contrat avant le partage des fonds, réduisant ainsi la vigilance des victimes. En effet, lorsque la victime approuve une transaction malveillante, le contrat n'est même pas encore créé, rendant impossible toute analyse ou enquête sur cette adresse. Dans cette transaction, l'acheteur du service de phishing a emporté 82,5 % des fonds volés, tandis qu'Inferno Drainer a conservé 17,5 %.

Étapes simples pour créer un site de phishing

Avec l'aide de la fraude en tant que service, il devient extrêmement simple pour un attaquant de créer un site de phishing :

1. Entrez dans le canal de médias sociaux du fournisseur de services, il vous suffit d'une simple commande pour créer un nom de domaine gratuit et une adresse IP correspondante.

2. Choisissez l'un des centaines de modèles proposés par le fournisseur de services, puis commencez le processus d'installation. Quelques minutes plus tard, une interface ressemblant à un site de phishing a été créée.

3. Trouver des victimes. Une fois qu'une victime est entrée sur le site, a cru aux informations frauduleuses sur la page et a connecté son portefeuille pour approuver la transaction malveillante, les actifs de la victime seront transférés.

Avec l'aide de la fraude en tant que service, un attaquant peut créer un site de phishing comme celui-ci en seulement trois étapes, et cela ne prend que quelques minutes.

Résumé et conseils de sécurité

Le retour de l'Inferno Drainer représente sans aucun doute un énorme risque pour la sécurité des utilisateurs de l'industrie. Ses fonctionnalités puissantes, ses méthodes d'attaque discrètes et son coût criminel très faible en font l'un des outils préférés des cybercriminels pour mener des attaques de phishing et des vols de fonds.

Les utilisateurs doivent rester vigilants lorsqu'ils participent à des transactions de chiffrement et garder à l'esprit les points suivants :

• Méfiez-vous des repas gratuits : ne croyez pas à des promotions telles que des "cadeaux tombés du ciel", par exemple des airdrops ou des compensations suspects, faites confiance uniquement aux sites officiels ou aux projets ayant bénéficié d'un audit professionnel.
• Vérifiez attentivement le lien réseau : avant de connecter votre portefeuille à un site, vérifiez soigneusement l'URL pour voir si elle imite des projets connus, et essayez d'utiliser des outils de recherche de domaine WHOIS pour vérifier sa date d'enregistrement. Les sites avec une date d'enregistrement très récente sont susceptibles d'être des projets frauduleux.
• Protéger les informations de confidentialité : ne soumettez pas vos mots de passe mnémotechniques ou vos clés privées à des sites ou des applications suspects. Avant de signer un message ou d'approuver une transaction dans le portefeuille, vérifiez soigneusement si la transaction pourrait être un Permis ou une Approve pouvant entraîner une perte de fonds.
• Suivez les mises à jour des informations sur les fraudes : abonnez-vous aux comptes officiels des réseaux sociaux qui publient des alertes régulièrement. Si vous découvrez que vous avez accidentellement autorisé des jetons à une adresse frauduleuse, retirez rapidement l'autorisation ou transférez les actifs restants vers une autre adresse sécurisée.