Scam-as-a-Service: как сервисы для опустошения криптокошельков зарабатывают на чужих кражах

Специалисты по кибербезопасности фиксируют рост фишинговых атак, нацеленных на опустошение криптовалютных кошельков. По данным исследователей Check Point Одеда Ванону, Диклы Барды и Романа Зайкина, злоумышленники бьют сразу по широкому кругу блокчейн-сетей — от Ethereum и Binance Smart Chain до Polygon, Avalanche и ещё почти двух десятков других сетей, используя технику «дренажа» кошельков.

Angel Drainer и модель «мошенничество как услуга»

Заметный вклад в эту тенденцию вносит известная фишинговая группировка Angel Drainer. Она предлагает услугу по схеме scam-as-a-service: за предоставление скриптов для опустошения кошельков и сопутствующих сервисов группировка берёт с партнёров комиссию — обычно 20% или 30% от похищенной суммы.

В конце ноября 2023 года о завершении работы объявил похожий сервис Inferno Drainer. Как сообщал сам оператор, за время работы с конца 2022 года сервис помог мошенникам похитить криптовалюту на сумму свыше 70 миллионов долларов у 103 676 жертв. Ещё в мае 2023 года платформа по борьбе с мошенничеством Scam Sniffer описывала Inferno Drainer как поставщика, специализирующегося на мультичейн-схемах и берущего 20% от украденных активов.

«Это было долгое путешествие со всеми вами, и мы хотим поблагодарить вас от всего сердца», — говорилось в прощальном сообщении оператора Inferno Drainer в Telegram-канале. Авторы поблагодарили «Drakan и всех остальных клиентов» и выразили надежду, что их запомнят как «лучший дренер из когда-либо существовавших».

Как работает кража

В основе таких сервисов лежит специальный набор инструментов для незаконного перевода криптовалюты из кошельков жертв без их согласия. Чаще всего это реализуется через фейковые airdrop-акции или фишинг: пользователей заманивают подключить кошелёк к поддельным сайтам, которые распространяются через вредоносную рекламу либо рассылки по почте и в соцсетях.

Ранее в декабре 2023 года Scam Sniffer подробно описала схему, в которой поддельная реклама криптоплатформ в Google и X (бывший Twitter) перенаправляла пользователей на сомнительные сайты, опустошавшие цифровые кошельки.

«Пользователя под видом получения airdrop заставляют взаимодействовать со вредоносным смарт-контрактом, который незаметно увеличивает лимит доступа злоумышленника с помощью функций вроде approve или permit», — отметили в Check Point. «Сам того не подозревая, пользователь предоставляет злоумышленнику доступ к своим средствам, что позволяет украсть токены без дальнейшего взаимодействия с жертвой. Затем атакующие используют миксеры или множественные переводы, чтобы замести следы и обналичить похищенные активы».

Как защититься

Исследователи рекомендуют пользователям для повышения безопасности применять аппаратные кошельки, проверять легитимность смарт-контрактов перед подключением к ним и регулярно проверять выданные кошельком разрешения (allowances) на предмет подозрительной активности.

Источник: The Hacker News.