💬 Социальная инженерия, «ледяной фишинг» и многое другое: как мошенники могут опустошить ваш криптокошелек

Социальная инженерия, «ледяной фишинг» и многое другое: как мошенники могут опустошить ваш криптокошелек

По данным компании Forta Network, занимающейся безопасностью блокчейнов, в мае мошенники запустили не менее 7 905 кошельков с блокчейном для сбора криптовалюты, которую они крадут у обычных пользователей.

Forta, которая недавно запустила собственный токен, управляет сетью ботов, которые обнаруживают различные виды мошенничества в блокчейнах Ethereum, Binance Smart Chain, Polygon, Optimism, Avalanche, Arbitrum и Fantom.

Кристиан Зайферт, научный сотрудник Forta, ранее работавший в отделе исследований безопасности Microsoft, сказал CoinDesk, что алгоритмы Forta могут обнаруживать различные виды аномального поведения при сканировании транзакций в блокчейнах.

Некоторые из этих аномалий — атаки на кошельки пользователей.

Для некоторых атак мошенники полагаются на социальную инженерию — вынюхивают личную информацию пользователя или используют уловки, чтобы заставить пользователей криптовалюты раскрыть свои пароли или начальные фразы. Другие атаки требуют только знания адреса кошелька жертвы.

См. также: Объявление взлома эксплойтом сводит к минимуму человеческий фактор | Мнение

«Многие атаки являются атаками социальной инженерии: пользователей заманивают на веб-сайт, веб-сайт просит их подключить свой кошелек, всплывает транзакция, пользователь подтверждает ее, и их деньги исчезают», — сказал Зайферт.

«Ледяной фишинг»

Наиболее распространенным видом атаки в мае стал так называемый метод «ледяного фишинга», на долю которого пришлось 55,8% всех атак, зарегистрированных Forta. В отличие от более очевидных или хорошо известных фишинговых атак (ледяной фишинг — это игра на более распространенных «фишинговых» атаках, наблюдаемых в Интернете), этот тип не направлен непосредственно на личную информацию пользователей.

Вместо этого ледяной фишер обманом заставляет жертву подписать вредоносную транзакцию в блокчейне, которая открывает доступ к кошельку жертвы, чтобы злоумышленник мог украсть все деньги. В таких случаях жертв часто заманивают на фишинговый сайт, имитирующий реальные криптосервисы.

Эти мошенничества основаны на транзакциях «одобрения токенов», одном из наиболее распространенных способов использования кошельков Web3, не связанных с тюремным заключением, которые позволяют пользователям предоставлять смарт-контрактам определенный объем доступа к своим кошелькам.

На своей странице поддержки MetaMask создатели самого популярного криптокошелька Ethereum отмечают, что, предоставляя одобрение транзакций с токенами, «вы полностью контролируете и несете полную ответственность за все, что делаете. Вот почему так важно, чтобы вы точно знали, что вы делаете. подписаться, когда вы подтвердите одобрение токена».

В мошенничестве, аналогичном упомянутому выше, злоумышленники пытаются обманом заставить пользователей взаимодействовать с различными децентрализованными приложениями (dapps), включая децентрализованные биржи (DEX). По словам Зайферта, такие схемы часто создают иллюзию новой прибыльной возможности, такой как раздача какого-либо нового токена, и используют распространенную склонность поддаваться FOMO или страх упустить возможность.

Однако вместо того, чтобы взаимодействовать с законной службой, пользователь теряет контроль над своими активами в пользу злоумышленника, подписывая транзакцию утверждения токена.

«Пользователи нажимают, нажимают, нажимают, и транзакции всплывают, часто с таймером, и пользователи одобряют их без проверки», — сказал Зайферт.

По словам Зайферта, ледяной фишинг состоит из двух важных шагов: «заманивание жертвы на [вредоносный] веб-сайт и создание положительного повествования.

«Разновидность ледяной фишинговой атаки заключается в том, чтобы обманом заставить пользователей напрямую отправлять нативные активы мошеннику. Это достигается путем подписания функции «обновления безопасности» контракта с мошенником», — сказал Зайферт, добавив, что обычно таким образом крадут небольшие суммы криптовалюты.

NFT, аирдропы и отравление адресов

Некоторые атаки нацелены на трейдеров невзаимозаменяемых токенов (NFT). Например, мошенники разработали методы, которые используют особенности инфраструктуры NFT, такие как протокол Seaport, представленный OpenSea и используемый на многих торговых площадках NFT. Чтобы продать NFT в Seaport, пользователи создают ордера на продажу, подписывая транзакцию, которая транслируется локально на платформе, а не в более широкой сети Ethereum, чтобы сэкономить деньги на комиссии за транзакцию.

Злоумышленники выискивают пользователей с ценными NFT и пытаются обманом заставить их одобрить транзакции, в результате которых их ценные активы будут проданы за небольшую часть рыночной цены.

Сегодня трейдеры NFT часто знают о многих способах их эксплуатации. Некоторые из самых громких ограблений криптовалюты за последние годы были нацелены на влиятельных фигур NFT. Это привело к еще более целенаправленным и изощренным фишинговым атакам.

Для атаки «отравление адреса» злоумышленники изучают историю транзакций кошельков своих жертв и ищут адреса, с которыми они чаще всего взаимодействуют. Затем они создают блокчейн-адрес, который будет выглядеть знакомым для их цели, и отправляют жертве транзакцию с небольшой или нулевой ценностью. Эта транзакция предназначена для того, чтобы «отравить» историю транзакций предполагаемой жертвы, поместив вредоносный адрес в место, откуда они могут по ошибке скопировать и вставить его при совершении следующей транзакции.

Но часто самые простые эксплойты остаются эффективными. Например, Сейферт сказал, что злоумышленники часто используют узнаваемые бренды при разработке эксплойтов социальной инженерии, которые завоевывают доверие или внимание жертв. Так было в случае с мошенническим токеном tLINK, который держатели Chainlink (LINK) получили в начале июня, когда злоумышленник передал держателям LINK предположительно новый токен.

По словам Зайферта, мошенники предлагали пользователям обменять tLINK на настоящие токены LINK на фишинговом веб-сайте в поле описания разосланного токена. И если бы они приняли это предложение, они бы прогорели.

Что делает такие атаки более сложными, так это то, что злоумышленники могут выделить мошеннические токены ERC-20 для законного смарт-контракта, а затем выполнить функцию, которая передает эти поддельные токены любому, у кого есть целевой токен, согласно Forta. Это создает впечатление, что пользователи получили аирдроп по законному контракту, хотя это не что иное, как мошенничество.

См. также: Предотвращение крипто-эксплойтов и взломов в 2023 г.

Подобные атаки даже не требуют от злоумышленников большой разведывательной работы: все, что им нужно знать о жертвах, — это адреса их кошельков.

Гигиена транзакций

По словам Зайферта, поскольку хакеры и мошенники становятся все более усердными, важно всегда обращать внимание на адреса, с которыми взаимодействует ваш кошелек. В идеале кошельки должны иметь встроенные функции безопасности, сказал он, добавив, что на данный момент Forta предоставляет свою базу данных мошеннических адресов кошельку ZenGo.

По словам Зайферта, Forta присваивает кошелькам с блокчейном разные оценки риска, ссылаясь на их причастность к потенциальному мошенническому поведению.

«У нас есть набор детектирующих ботов, модели машинного обучения, которые отслеживают транзакции в режиме реального времени и ищут определенные условия и поведение, например, контракты со строками типа «обновление безопасности» в своем коде», — сказал он.