揭秘加密世界钓鱼攻击产业化

从2024年6月开始，安全团队监测到大量相似的钓鱼/资金耗尽交易，仅6月份涉案金额就超过5500万美元。进入8、9月后，相关钓鱼地址活动更加频繁，钓鱼攻击呈愈演愈烈之势。2024年第三季度，钓鱼攻击已成为造成最大经济损失的攻击手段，攻击者在65次行动中获取超过2.43亿美元。

分析显示，近期频发的钓鱼攻击很可能与臭名昭著的钓鱼工具团队有关。该团队曾在2023年底高调宣布"退休"，但如今似乎再度活跃，掀起了一系列大规模攻击。

本文将分析典型的网络钓鱼攻击团伙的作案手法，并详细列举其行为特征，以帮助用户提高对网络钓鱼诈骗的识别和防范能力。

诈骗即服务模式

在加密世界中，某些团队发明了一种新的恶意模式，称为"诈骗即服务"。这一模式将诈骗工具和服务打包，以商品化方式提供给其他犯罪分子。在2022年11月至2023年11月他们第一次宣布关闭服务期间，其诈骗金额超过8000万美元。

这些团队通过向买家提供现成的钓鱼工具和基础设施，包括钓鱼网站前后端、智能合约以及社交媒体账户，帮助他们快速发起攻击。购买服务的钓鱼者保留大部分赃款，而提供服务的团队收取10%-20%的佣金。这一模式大大降低了诈骗的技术门槛，使网络犯罪变得更加高效和规模化，导致钓鱼攻击在加密行业内泛滥，尤其是那些缺乏安全意识的用户更容易成为攻击目标。

诈骗即服务的运作方式

在介绍这种服务模式之前，我们可以先了解一下典型的去中心化应用（DApp）的工作流程。一个典型的DApp通常由前端界面（如Web页面或移动应用）和区块链上的智能合约组成。用户通过区块链钱包连接到DApp的前端界面，前端页面生成相应的区块链交易，并将其发送至用户的钱包。用户随后使用区块链钱包对这笔交易进行签名批准，签名完成后，交易被发送至区块链网络，并调用相应的智能合约执行所需的功能。

那么，钓鱼攻击者是如何骗取用户资金的呢？答案在于他们通过设计恶意的前端界面和智能合约，巧妙地诱导用户执行不安全的操作。攻击者通常会引导用户点击恶意链接或按钮，从而欺骗他们批准一些隐藏的恶意交易，甚至在某些情况下，直接诱骗用户泄露自己的私钥。一旦用户签署了这些恶意交易或暴露了私钥，攻击者就能轻松地将用户的资产转移到自己的账户中。

以下是一些最常见的手段：

1. 伪造知名项目前端：攻击者通过精心模仿知名项目的官方网站，创建看似合法的前端界面，让用户误以为自己正在与可信任的项目进行交互，从而放松警惕，连接钱包并执行不安全操作。

2. 代币空投骗局：他们在社交媒体上大肆宣传钓鱼网站，声称有"免费空投"、"早期预售"、"免费铸造NFT"等极具吸引力的机会，从而引诱受害者点击链接。受害者在被吸引到钓鱼网站后，往往会不自觉地连接钱包并批准恶意交易。

3. 虚假黑客事件与奖励骗局：网络犯罪分子宣称某知名项目因遭遇黑客攻击或资产冻结，现正向用户发放补偿或奖励。他们通过这些虚假的紧急情况吸引用户前往钓鱼网站，诱骗他们连接钱包，最终窃取用户资金。

可以说，钓鱼诈骗并不是什么新鲜手段，在2020年之前就已经十分普遍，但这种服务模式很大程度上是近两年钓鱼诈骗愈演愈烈的最大推手。在这种模式出现之前，钓鱼攻击者们每次进行攻击，需要准备链上启动资金、创建前端网站和智能合约，虽然这些钓鱼网站大多粗制滥造，通过使用一套模板并进行简单的修改，就能重新创建新的诈骗项目，但网站的运维，页面设计还是需要一定的技术门槛。而这些工具提供者，完全消除了钓鱼诈骗的技术门槛，为缺乏相应技术的买家提供了创建和托管钓鱼网站的服务，并从诈骗所得中抽取利润。

揭秘：创建一个钓鱼网站需要几步？

看完了这些团队如何分赃，我们再来看看在这种服务模式的帮助下，攻击者打造一个钓鱼网站到底有多么容易。

第一步，进入提供的通讯频道后，只需一个简单的命令，一个免费域名和对应的IP地址就被创建了出来。

第二步，从机器人提供的上百种模板中，任选1个，随后进入安装流程，几分钟后，一个界面像模像样的钓鱼网站就被创造了出来。

第三步，寻找受害者。一旦有受害者进入了该网站，相信了页面上的欺诈信息，并连接钱包批准了恶意交易，受害者的资产就会被转移。而攻击者在这种服务的帮助下，打造一个这样的钓鱼网站，仅需要三步，花费的时间也仅需要几分钟。

总结和启示

这种钓鱼工具的回归无疑为行业用户带来了巨大的安全隐患，凭借其强大的功能和隐蔽的攻击手段，以及极低的犯罪成本，成为网络犯罪分子实施钓鱼攻击和资金盗窃的首选工具之一。

用户在参与加密货币交易时，需要时刻保持警惕，牢记以下几点：

• 天下没有免费的午餐：不要相信任何"天上掉馅饼"的宣传，例如可疑的免费空投、补偿，仅信任官方网站或接受过专业审计服务的项目。
• 时刻检查网络链接：在任何网站连接钱包之前，仔细检查URL，是否模仿了知名项目，并尽量使用WHOIS域名查询工具，查看其注册时间，注册时间过短的网站很可能是欺诈项目。
• 保护隐私信息：不要向任何可疑网站或App提交自己的助记词、私钥，在钱包要求签名任何消息或批准交易之前，仔细检查该交易是否是可能导致资金损失的Permit或Approve交易。
• 关注诈骗信息更新：关注定时发布预警信息的官方社交媒体账号，如果发现自己不慎向诈骗地址授权了代币，及时撤回授权或将剩余资产转移至其他安全地址。