钓鱼攻击产业化：解析加密世界的"诈骗即服务"生态

2024年第三季度，钓鱼攻击已成为造成最多经济损失的攻击手段，65次攻击行动中获取了超过2.43亿美元。这些频繁爆发的钓鱼攻击很可能与臭名昭著的Inferno Drainer团队有关。该团队曾在2023年底宣布"退休"，但如今似乎再次活跃并制造了一系列大规模攻击。

本文将分析Inferno Drainer等网络钓鱼攻击团伙的典型作案手法，并详细列举其行为特征，以帮助用户提高对网络钓鱼诈骗的识别和防范能力。

什么是"诈骗即服务"

在加密世界中，钓鱼团队发明了一种新的恶意模式，称为"诈骗即服务"。这一模式将诈骗工具和服务打包，以商品化的方式提供给其他犯罪分子。Inferno Drainer就是这一领域的典型代表，在2022年11月至2023年11月他们第一次宣布关闭服务期间，诈骗金额超过8000万美元。

Inferno Drainer通过向买家提供现成的钓鱼工具和基础设施，包括钓鱼网站前后端、智能合约以及社交媒体账户，帮助他们快速发起攻击。购买服务的钓鱼者保留大部分赃款，而Inferno Drainer收取10%-20%的佣金。这一模式大大降低了诈骗的技术门槛，使得网络犯罪变得更加高效和规模化，导致钓鱼攻击在加密行业内泛滥，尤其是那些缺乏安全意识的用户更容易成为攻击目标。

"诈骗即服务"的运作方式

钓鱼攻击者通过设计恶意的前端界面和智能合约，巧妙地诱导用户执行不安全的操作。攻击者通常会引导用户点击恶意链接或按钮，从而欺骗他们批准一些隐藏的恶意交易，甚至在某些情况下，直接诱骗用户泄露自己的私钥。一旦用户签署了这些恶意交易或暴露了私钥，攻击者就能轻松地将用户的资产转移到自己的账户中。

常见的手段包括：

1. 伪造知名项目前端：攻击者精心模仿知名项目的官方网站，创建看似合法的前端界面，让用户误以为正在与可信任的项目进行交互。

2. 代币空投骗局：在社交媒体上大肆宣传钓鱼网站，声称有"免费空投"、"早期预售"、"免费铸造NFT"等极具吸引力的机会，引诱受害者点击链接。

3. 虚假黑客事件与奖励骗局：宣称某知名项目遭遇黑客攻击或资产冻结，现正向用户发放补偿或奖励，吸引用户前往钓鱼网站。

Inferno Drainer的分赃方式

2024年5月21日，Inferno Drainer在etherscan上公开了一条签名验证消息，宣告回归，并创建了新的Discord频道。我们对其中一个钓鱼地址的交易进行了分析，发现了以下分赃模式：

1. Inferno Drainer通过CREATE2创建一个合约。

2. 调用创建的合约，将受害人的代币批准给钓鱼地址（Inferno Drainer服务的买家）和分赃地址。

3. 向两个分赃地址和买家转入不同比例的代币，完成分赃。

在一个具体案例中，购买钓鱼服务的买家拿走了82.5%的赃款，而Inferno Drainer保留了17.5%。

创建钓鱼网站的简易步骤

在"诈骗即服务"的帮助下，攻击者创建一个钓鱼网站变得异常简单：

1. 进入Drainer提供的通讯频道，使用简单命令创建免费域名和IP地址。

2. 从提供的上百种模板中选择一个，进行安装。

3. 等待受害者进入网站并连接钱包批准恶意交易。

整个过程仅需几分钟，极大降低了犯罪成本。

安全建议

面对日益猖獗的钓鱼攻击，用户应保持高度警惕：

• 不要轻信"天上掉馅饼"的宣传，如可疑的免费空投或补偿。
• 连接钱包前仔细检查网站URL，警惕模仿知名项目的网站。
• 保护私密信息，不向可疑网站提供助记词或私钥。
• 批准交易前仔细检查是否涉及Permit或Approve操作。
• 关注安全预警信息，及时处理可能的授权风险。

在加密货币世界，保持警惕和持续学习是保护资产安全的关键。