Revelando la industrialización de los ataques de phishing en el mundo de la encriptación
Desde junio de 2024, el equipo de seguridad ha monitoreado una gran cantidad de transacciones de phishing similares, con un monto involucrado que supera los 55 millones de dólares solo en junio. A medida que entramos en agosto y septiembre, la actividad de phishing se ha vuelto más frecuente, intensificándose cada vez más. En el tercer trimestre de 2024, los ataques de phishing se han convertido en el método de ataque que causa la mayor pérdida económica, con 65 acciones de ataque que han obtenido más de 243 millones de dólares. Los análisis sugieren que los recientes ataques de phishing son muy probablemente relacionados con un infame equipo de herramientas de phishing. Este equipo había anunciado su "jubilación" a finales de 2023, pero ahora parece haber regresado, creando una serie de ataques a gran escala.
Este artículo analizará los métodos utilizados por grupos típicos de ataques de phishing y detallará sus características de comportamiento, con el fin de ayudar a los usuarios a mejorar su capacidad para identificar y prevenir fraudes de phishing.
Estafa como servicio(Scam-as-a-Service)modelo
En el mundo de la encriptación, los equipos de phishing han inventado un nuevo patrón malicioso llamado "fraude como servicio". Este patrón empaqueta herramientas y servicios de fraude y los ofrece de manera comercial a otros criminales. Durante el período en que anunciaron por primera vez el cierre del servicio, de noviembre de 2022 a noviembre de 2023, el monto del fraude superó los 80 millones de dólares.
Estos proveedores de servicios ayudan a los compradores a iniciar ataques rápidamente al ofrecer herramientas y infraestructura de phishing listas para usar, incluyendo el frontend y backend de sitios web de phishing, contratos inteligentes y cuentas de redes sociales. Los phishers que compran el servicio conservan la mayor parte del botín, mientras que los proveedores de servicios cobran una comisión del 10% al 20%. Este modelo reduce significativamente la barrera técnica para el fraude, lo que hace que el crimen cibernético sea más eficiente y escalable, lo que lleva a una proliferación de ataques de phishing en la industria de la encriptación, especialmente aquellos usuarios que carecen de conciencia de seguridad son más propensos a convertirse en objetivos de ataque.
Cómo funciona el ataque de phishing
Los atacantes de phishing engañan a los usuarios para que realicen operaciones inseguras mediante el diseño de interfaces frontales y contratos inteligentes maliciosos. A menudo dirigen a los usuarios a hacer clic en enlaces o botones maliciosos, engañando a los usuarios para que aprueben transacciones maliciosas ocultas, e incluso engañan directamente a los usuarios para que revelen sus claves privadas. Una vez que los usuarios firman estas transacciones maliciosas o exponen sus claves privadas, los atacantes pueden transferir fácilmente los activos de los usuarios a sus propias cuentas.
Los medios comunes incluyen:
Falsificación de front-end de proyectos conocidos: imitación cuidadosa de sitios web oficiales, haciendo que los usuarios crean que están interactuando con un proyecto de confianza.
Esquemas de airdrop de tokens: Promocionar en redes sociales oportunidades atractivas como "airdrops gratuitos", "pre-venta anticipada", "minting gratuito de NFT", para atraer a las víctimas a hacer clic en el enlace.
Eventos falsos de hackeo y estafas de recompensas: Afirmar que un proyecto conocido ha sufrido un ataque de hackers o que sus activos están congelados, y que están otorgando compensaciones o recompensas a los usuarios, atrayendo a los usuarios a sitios de phishing a través de situaciones de emergencia falsas.
Proceso rápido de creación de sitios web de phishing
Con la ayuda de "fraude como servicio", crear sitios web de phishing se ha vuelto excepcionalmente fácil:
Acceda al canal de comunicación del proveedor de servicios y use un comando simple para crear un dominio gratuito y una dirección IP.
Selecciona uno de entre cientos de plantillas, ingresa al proceso de instalación y en unos minutos podrás crear un sitio web de phishing con una interfaz realista.
Buscar víctimas. Una vez que alguien entra en el sitio web, cree en la información fraudulenta y conecta su billetera para aprobar transacciones maliciosas, los activos de la víctima serán transferidos.
Todo el proceso solo toma unos minutos, lo que reduce en gran medida el costo del crimen.
Sugerencias de seguridad
Ante el creciente auge de los ataques de phishing, los usuarios deben mantenerse en alta alerta al participar en transacciones de encriptación.
No confíes en la publicidad de "la oportunidad de ganar algo fácil", como airdrops sospechosos o compensaciones.
Antes de conectar la billetera, verifica cuidadosamente la URL y mantente alerta ante sitios web que imiten proyectos conocidos. Puedes utilizar herramientas de consulta de dominios WHOIS para verificar la fecha de registro.
No envíe frases de recuperación, claves privadas u otra información privada a sitios web o aplicaciones sospechosas.
Antes de firmar un mensaje o aprobar una transacción, verifique cuidadosamente si implica operaciones de Permit o Approve que puedan resultar en pérdidas de fondos.
Esté atento a las alertas emitidas por instituciones de seguridad autorizadas. Si descubre que ha autorizado inadvertidamente tokens a una dirección fraudulenta, retire la autorización de inmediato o transfiera los activos restantes a una dirección segura.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
7
Compartir
Comentar
0/400
GasFeeWhisperer
· hace2h
Otra temporada de tomar a la gente por tonta.
Ver originalesResponder0
CryptoAdventurer
· hace6h
Otra vez cobrando el impuesto a la inteligencia~ el olor a tontos es cada vez más fuerte
Ver originalesResponder0
ser_ngmi
· 07-23 15:16
Ni siquiera los perros de pesca lo hacen.
Ver originalesResponder0
PuzzledScholar
· 07-23 15:07
Ser engañados de la habilidad se está volviendo más fuerte.
Ver originalesResponder0
CryptoTarotReader
· 07-23 15:00
inversor minorista es muy difícil. Este dinero llega más rápido que un temblor.
Ver originalesResponder0
GateUser-44a00d6c
· 07-23 14:57
tontos son los que son tomados así una y otra vez.
La industria de ataques de phishing en el mundo de la encriptación: pérdidas de más de 243 millones de dólares en el tercer trimestre de 2024.
Revelando la industrialización de los ataques de phishing en el mundo de la encriptación
Desde junio de 2024, el equipo de seguridad ha monitoreado una gran cantidad de transacciones de phishing similares, con un monto involucrado que supera los 55 millones de dólares solo en junio. A medida que entramos en agosto y septiembre, la actividad de phishing se ha vuelto más frecuente, intensificándose cada vez más. En el tercer trimestre de 2024, los ataques de phishing se han convertido en el método de ataque que causa la mayor pérdida económica, con 65 acciones de ataque que han obtenido más de 243 millones de dólares. Los análisis sugieren que los recientes ataques de phishing son muy probablemente relacionados con un infame equipo de herramientas de phishing. Este equipo había anunciado su "jubilación" a finales de 2023, pero ahora parece haber regresado, creando una serie de ataques a gran escala.
Este artículo analizará los métodos utilizados por grupos típicos de ataques de phishing y detallará sus características de comportamiento, con el fin de ayudar a los usuarios a mejorar su capacidad para identificar y prevenir fraudes de phishing.
Estafa como servicio(Scam-as-a-Service)modelo
En el mundo de la encriptación, los equipos de phishing han inventado un nuevo patrón malicioso llamado "fraude como servicio". Este patrón empaqueta herramientas y servicios de fraude y los ofrece de manera comercial a otros criminales. Durante el período en que anunciaron por primera vez el cierre del servicio, de noviembre de 2022 a noviembre de 2023, el monto del fraude superó los 80 millones de dólares.
Estos proveedores de servicios ayudan a los compradores a iniciar ataques rápidamente al ofrecer herramientas y infraestructura de phishing listas para usar, incluyendo el frontend y backend de sitios web de phishing, contratos inteligentes y cuentas de redes sociales. Los phishers que compran el servicio conservan la mayor parte del botín, mientras que los proveedores de servicios cobran una comisión del 10% al 20%. Este modelo reduce significativamente la barrera técnica para el fraude, lo que hace que el crimen cibernético sea más eficiente y escalable, lo que lleva a una proliferación de ataques de phishing en la industria de la encriptación, especialmente aquellos usuarios que carecen de conciencia de seguridad son más propensos a convertirse en objetivos de ataque.
Cómo funciona el ataque de phishing
Los atacantes de phishing engañan a los usuarios para que realicen operaciones inseguras mediante el diseño de interfaces frontales y contratos inteligentes maliciosos. A menudo dirigen a los usuarios a hacer clic en enlaces o botones maliciosos, engañando a los usuarios para que aprueben transacciones maliciosas ocultas, e incluso engañan directamente a los usuarios para que revelen sus claves privadas. Una vez que los usuarios firman estas transacciones maliciosas o exponen sus claves privadas, los atacantes pueden transferir fácilmente los activos de los usuarios a sus propias cuentas.
Los medios comunes incluyen:
Falsificación de front-end de proyectos conocidos: imitación cuidadosa de sitios web oficiales, haciendo que los usuarios crean que están interactuando con un proyecto de confianza.
Esquemas de airdrop de tokens: Promocionar en redes sociales oportunidades atractivas como "airdrops gratuitos", "pre-venta anticipada", "minting gratuito de NFT", para atraer a las víctimas a hacer clic en el enlace.
Eventos falsos de hackeo y estafas de recompensas: Afirmar que un proyecto conocido ha sufrido un ataque de hackers o que sus activos están congelados, y que están otorgando compensaciones o recompensas a los usuarios, atrayendo a los usuarios a sitios de phishing a través de situaciones de emergencia falsas.
Proceso rápido de creación de sitios web de phishing
Con la ayuda de "fraude como servicio", crear sitios web de phishing se ha vuelto excepcionalmente fácil:
Acceda al canal de comunicación del proveedor de servicios y use un comando simple para crear un dominio gratuito y una dirección IP.
Selecciona uno de entre cientos de plantillas, ingresa al proceso de instalación y en unos minutos podrás crear un sitio web de phishing con una interfaz realista.
Buscar víctimas. Una vez que alguien entra en el sitio web, cree en la información fraudulenta y conecta su billetera para aprobar transacciones maliciosas, los activos de la víctima serán transferidos.
Todo el proceso solo toma unos minutos, lo que reduce en gran medida el costo del crimen.
Sugerencias de seguridad
Ante el creciente auge de los ataques de phishing, los usuarios deben mantenerse en alta alerta al participar en transacciones de encriptación.