Industrialisasi Serangan Phishing di Dunia Enkripsi: Mengungkap Ekosistem Scam-as-a-Service

Sejak Juni 2024, tim keamanan telah memantau sejumlah besar transaksi phishing yang serupa, dengan total nilai yang terlibat pada bulan Juni saja melebihi 55 juta dolar AS. Memasuki bulan Agustus dan September, aktivitas phishing terkait menjadi semakin sering, menunjukkan peningkatan yang signifikan. Selama kuartal ketiga tahun 2024, serangan phishing telah menjadi metode serangan yang menyebabkan kerugian ekonomi terbesar, dengan 65 aksi serangan menghasilkan lebih dari 243 juta dolar AS. Analisis menunjukkan bahwa serangan phishing yang sering terjadi baru-baru ini kemungkinan terkait dengan tim alat phishing terkenal, Inferno Drainer. Tim ini sebelumnya mengumumkan "pensiun" pada akhir 2023, tetapi kini tampaknya kembali aktif, melancarkan serangkaian serangan besar-besaran.

Artikel ini akan menganalisis metode khas yang digunakan oleh kelompok phishing seperti Inferno Drainer dan Nova Drainer, serta merinci ciri-ciri perilaku mereka, bertujuan untuk membantu pengguna meningkatkan kemampuan mereka dalam mengenali dan mencegah penipuan phishing.

Konsep Scam-as-a-Service

Di dunia enkripsi, beberapa tim phishing telah menciptakan model jahat baru yang disebut Scam-as-a-Service. Model ini mengemas alat dan layanan penipuan dan menyediakannya kepada pelaku kejahatan lain dengan cara yang diperdagangkan, Inferno Drainer adalah perwakilan di bidang ini. Selama periode mereka pertama kali mengumumkan untuk menutup layanan dari November 2022 hingga November 2023, jumlah penipuan melebihi 80 juta dolar.

Inferno Drainer membantu pembeli dengan menyediakan alat dan infrastruktur phishing yang sudah jadi, termasuk front-end dan back-end situs phishing, kontrak pintar, serta akun media sosial, sehingga mereka dapat dengan cepat mel发起 serangan. Penipu yang membeli layanan mempertahankan sebagian besar hasil curian, sementara Inferno Drainer mengenakan komisi 10%-20%. Model ini sangat menurunkan ambang teknis untuk penipuan, membuat kejahatan siber menjadi lebih efisien dan terukur, yang mengakibatkan serangan phishing merajalela di industri enkripsi, terutama pengguna yang kurang sadar keamanan lebih mudah menjadi target serangan.

Cara Kerja Scam-as-a-Service

Aplikasi terdesentralisasi (DApp) yang khas biasanya terdiri dari antarmuka depan dan kontrak pintar di blockchain. Pengguna terhubung ke antarmuka depan DApp melalui dompet blockchain, halaman depan menghasilkan transaksi blockchain yang sesuai dan mengirimkannya ke dompet pengguna. Pengguna kemudian menandatangani transaksi ini dengan dompet blockchain mereka, setelah tanda tangan selesai, transaksi dikirim ke jaringan blockchain dan memanggil kontrak pintar yang sesuai untuk menjalankan fungsi yang diperlukan.

Penyerang phishing dengan cerdik merancang antarmuka depan dan kontrak pintar yang berbahaya untuk membujuk pengguna melakukan tindakan yang tidak aman. Penyerang biasanya mengarahkan pengguna untuk mengklik tautan atau tombol berbahaya, menipu mereka untuk menyetujui transaksi berbahaya yang tersembunyi, atau bahkan langsung membujuk pengguna untuk mengungkapkan kunci pribadi mereka. Setelah pengguna menandatangani transaksi berbahaya ini atau mengungkapkan kunci pribadi mereka, penyerang dapat dengan mudah memindahkan aset pengguna ke akun mereka sendiri.

Cara umum termasuk:

1. Frontend palsu proyek terkenal: Penyerang dengan hati-hati meniru situs web resmi proyek terkenal, menciptakan antarmuka frontend yang tampak sah, sehingga pengguna salah mengira sedang berinteraksi dengan proyek yang terpercaya, sehingga mereka menjadi lengah, menghubungkan dompet, dan melakukan operasi yang tidak aman.

2. Penipuan Airdrop Token: Mengiklankan situs phishing secara besar-besaran di media sosial, mengklaim adanya kesempatan menarik seperti "airdrop gratis", "pra-penjualan awal", "mencetak NFT gratis", yang menarik korban untuk mengklik tautan. Setelah korban tertarik ke situs phishing, mereka sering kali tanpa sadar menghubungkan dompet dan menyetujui transaksi jahat.

3. Insiden peretasan palsu dan penipuan hadiah: Penjahat mengklaim bahwa proyek terkenal mengalami serangan peretasan atau pembekuan aset, dan sedang memberikan kompensasi atau hadiah kepada pengguna. Mereka menarik pengguna ke situs phishing melalui keadaan darurat palsu ini, menipu untuk menghubungkan dompet, dan akhirnya mencuri dana pengguna.

Penyedia alat SaaS seperti Inferno Drainer sepenuhnya menghilangkan hambatan teknis untuk penipuan phishing, menyediakan layanan untuk membuat dan menghosting situs web phishing bagi pembeli yang kekurangan teknologi yang sesuai, dan mengambil keuntungan dari hasil penipuan.

Cara Pembagian Hasil antara Inferno Drainer dan Pembeli SaaS

Pada 21 Mei 2024, Inferno Drainer secara publik mengungkapkan pesan verifikasi tanda tangan di etherscan, mengumumkan kembalinya, dan membuat saluran Discord baru.

Dengan menganalisis satu transaksi tipikal, kita dapat memahami cara kerja Inferno Drainer:

1. Inferno Drainer membuat kontrak melalui CREATE2. CREATE2 adalah instruksi dalam mesin virtual Ethereum, digunakan untuk membuat kontrak pintar, yang memungkinkan alamat kontrak dihitung sebelumnya berdasarkan bytecode kontrak pintar dan salt tetap. Inferno Drainer memanfaatkan fitur ini untuk menghitung alamat kontrak hasil curian sebelumnya untuk pembeli layanan phishing, dan setelah korban terjebak, kontrak hasil curian dibuat untuk menyelesaikan transfer token dan operasi hasil curian.

2. Memanggil kontrak yang dibuat, memberikan persetujuan token korban kepada alamat phishing (pembeli layanan Inferno Drainer) dan alamat pembagian hasil. Penyerang menggunakan teknik phishing untuk mengarahkan korban secara tidak sadar menandatangani pesan Permit2 yang berbahaya. Permit2 memungkinkan pengguna untuk mengotorisasi transfer token melalui tanda tangan, tanpa perlu berinteraksi langsung dengan dompet.

3. Transfer jumlah token yang berbeda ke dua alamat bagi hasil dan pembeli, menyelesaikan bagi hasil. Dalam transaksi yang khas, pembeli mendapatkan 82,5% dari hasil curian, sementara Inferno Drainer menyimpan 17,5%.

Perlu dicatat bahwa Inferno Drainer dapat menghindari beberapa fungsi anti-phishing dompet dengan membuat kontrak sebelum membagi hasil, karena kontrak tersebut belum dibuat saat korban menyetujui transaksi jahat.

Langkah-langkah Mudah untuk Membuat Situs Phishing

Dengan bantuan SaaS, sangat mudah bagi penyerang untuk membuat situs web phishing:

1. Masuk ke saluran komunikasi yang disediakan oleh Drainer, gunakan perintah sederhana untuk membuat nama domain gratis dan alamat IP yang sesuai.

2. Pilih salah satu dari ratusan template yang tersedia, masuk ke proses instalasi, dan dalam beberapa menit, Anda dapat menghasilkan situs phishing yang tampak nyata.

3. Mencari korban. Begitu seseorang memasuki situs web tersebut, mempercayai informasi penipuan di halaman tersebut, dan menghubungkan dompet untuk menyetujui transaksi jahat, asetnya akan dipindahkan.

Seluruh proses hanya memerlukan beberapa menit, secara signifikan mengurangi biaya kejahatan.

Ringkasan dan Saran Pencegahan

Kembalinya Inferno Drainer membawa risiko keamanan yang besar bagi pengguna industri. Pengguna yang terlibat dalam perdagangan enkripsi perlu tetap waspada dan mengingat hal-hal berikut:

• Waspadai "pancake jatuh dari langit": Jangan mudah percaya pada airdrop atau kompensasi gratis yang mencurigakan, hanya percayai situs resmi atau proyek yang telah diaudit secara profesional.

• Periksa tautan jaringan: Periksa URL dengan cermat sebelum menghubungkan dompet, waspadai situs web yang meniru proyek terkenal. Anda dapat menggunakan alat pencarian domain WHOIS untuk memeriksa waktu pendaftaran, situs web dengan waktu pendaftaran yang terlalu singkat mungkin merupakan proyek penipuan.

• Melindungi informasi pribadi: Jangan pernah mengirimkan frase pemulihan, kunci pribadi ke situs atau aplikasi yang mencurigakan. Sebelum dompet meminta tanda tangan atau persetujuan untuk transaksi, periksa dengan cermat apakah ada transaksi Permit atau Approve yang mungkin menyebabkan kerugian dana.

• Ikuti pembaruan informasi penipuan: Ikuti akun media sosial resmi yang secara berkala menerbitkan informasi peringatan. Jika Anda menemukan bahwa Anda secara tidak sengaja memberikan otorisasi token ke alamat penipuan, segera cabut otorisasi atau pindahkan sisa aset ke alamat aman lainnya.