揭祕加密世界的釣魚攻擊產業化

2024年6月以來，安全團隊監測到大量相似的網絡釣魚交易，僅6月份涉案金額就超過5500萬美元。進入8、9月後，釣魚活動更加頻繁，呈愈演愈烈之勢。2024年第三季度，釣魚攻擊已成爲造成最大經濟損失的攻擊手段，65次攻擊行動中獲取了超過2.43億美元。分析認爲，近期頻發的釣魚攻擊很可能與臭名昭著的釣魚工具團隊有關。該團隊曾在2023年底宣布"退休"，但如今似乎卷土重來，制造了一系列大規模攻擊。

本文將分析典型網絡釣魚攻擊團夥的作案手法，並詳細列舉其行爲特徵，以幫助用戶提高對網絡釣魚詐騙的識別和防範能力。

詐騙即服務(Scam-as-a-Service)模式

在加密世界中，釣魚團隊發明了一種新的惡意模式，稱爲"詐騙即服務"。這一模式將詐騙工具和服務打包，以商品化的方式提供給其他犯罪分子。在2022年11月至2023年11月他們第一次宣布關閉服務期間，詐騙金額超過8000萬美元。

這些服務提供商通過向買家提供現成的釣魚工具和基礎設施，包括釣魚網站前後端、智能合約以及社交媒體帳戶，幫助他們快速發起攻擊。購買服務的釣魚者保留大部分贓款，而服務提供商收取10%-20%的佣金。這一模式大大降低了詐騙的技術門檻，使得網路犯罪變得更加高效和規模化，導致釣魚攻擊在加密行業內泛濫，尤其是那些缺乏安全意識的用戶更容易成爲攻擊目標。

釣魚攻擊的運作方式

釣魚攻擊者通過設計惡意的前端界面和智能合約，巧妙地誘導用戶執行不安全的操作。他們通常引導用戶點擊惡意連結或按鈕，欺騙用戶批準隱藏的惡意交易，甚至直接誘騙用戶泄露私鑰。一旦用戶簽署這些惡意交易或暴露私鑰，攻擊者就能輕鬆將用戶資產轉移到自己的帳戶中。

常見的手段包括：

1. 僞造知名項目前端：精心模仿官方網站，讓用戶誤以爲正在與可信任項目交互。

2. 代幣空投騙局：在社交媒體上宣傳"免費空投"、"早期預售"、"免費鑄造NFT"等吸引力強的機會，引誘受害者點擊連結。

3. 虛假黑客事件與獎勵騙局：宣稱某知名項目遭遇黑客攻擊或資產凍結，正向用戶發放補償或獎勵，通過虛假緊急情況吸引用戶前往釣魚網站。

釣魚網站的快速創建過程

在"詐騙即服務"的幫助下，攻擊者創建釣魚網站變得異常簡單：

1. 進入服務提供商的通訊頻道，使用簡單命令創建免費域名和IP地址。

2. 從上百種模板中選擇一個，進入安裝流程，幾分鍾內就能創建出界面逼真的釣魚網站。

3. 尋找受害者。一旦有人進入網站，相信欺詐信息並連接錢包批準惡意交易，受害者資產就會被轉移。

整個過程僅需幾分鍾，極大降低了犯罪成本。

安全建議

面對日益猖獗的釣魚攻擊，用戶在參與加密貨幣交易時需保持高度警惕：

• 不要相信"天上掉餡餅"的宣傳，如可疑的免費空投或補償。
• 連接錢包前仔細檢查URL，警惕模仿知名項目的網站。可使用WHOIS域名查詢工具檢查註冊時間。
• 切勿向可疑網站或應用提交助記詞、私鑰等隱私信息。
• 籤名消息或批準交易前，仔細檢查是否涉及可能導致資金損失的Permit或Approve操作。
• 關注權威安全機構發布的預警信息。如發現不慎授權代幣給詐騙地址，及時撤回授權或將剩餘資產轉移至安全地址。