Kripto Arayan Süzgeç Hizmet Olarak Dolandırıcılık Operasyonları Başarılı

Son haftalarda suçlular, kripto para kimlik avı sitelerine bağlantılar yaymak için ABD Menkul Kıymetler ve Borsa Komisyonu, tehdit istihbarat şirketi Mandiant ve kripto platformu CoinGecko dahil olmak üzere üç yüksek profilli sosyal medya hesabının güvenliğini ihlal etti (bkz.: Cryptohack Özeti: X’te Kimlik Avı Dolandırıcılığı Yağıyor).

Çevrimiçi suçlarla ilgili pek çok şeyde olduğu gibi, bu saldırılar da çeşitli barındırılan hizmetlere dayanıyordu.

Uzmanlar, kripto para birimini hedef alan birçok hırsızın MS Drainer, Angel Drainer ve Chick Drainer gibi hizmet olarak dolandırıcılık operasyonlarından yararlandığını söylüyor. Bu tür hizmetler kötü amaçlı yazılım sağlar ve bazen çalınan tüm kripto varlıkların kesilmesi karşılığında kullanıcılar için kimlik avı sayfaları oluşturup barındırır. Bu tür hizmetlerin müşterileri, genellikle X (eski adıyla Twitter) ve Discord gibi sosyal ağlar aracılığıyla, kullanıcıların cüzdanlarını boşaltmak için tasarlanmış kimlik avı sitelerine yönlendiren bağlantılar dolaştırıyor.

Blockchain güvenlik platformu Scam Sniffer, geçen yıl kimlik avı dolandırıcılıklarının 324.000’den fazla kripto para birimi kullanıcısından yaklaşık 300 milyon dolarlık dijital varlık çaldığını bildirdi.

Kripto para birimini çalmak için isteğe bağlı süzgeçleri kullanmak çok kazançlı olabilir. Scam Sniffer, geçen yıl kaçakçılar tarafından gerçekleştirilen bilinen en büyük soygunun, Eylül ayında 24 milyon dolar değerindeki varlıkların çalınmasını içerdiğini söyledi. Bu durumda firma, kurbanın “ödeneği artırma” amaçlı bir kimlik avı saldırısına maruz kaldığını ve bu saldırıya başka bir adrese izin vererek Ethereum tokenlarını geri almalarına izin vermeyi kabul ettiklerini söyledi. Ödeneği artırma yeteneği, Ethereum blok zincirleri için standart olan ERC-20 token akıllı sözleşmelerinin bir özelliğidir, ancak Ethereum projesi bu özelliğin saldırganlar tarafından düzenli olarak suistimal edildiği konusunda uyarmaktadır.

Bu tür dolandırıcılıklar genellikle saldırganların kurbanı kandırarak cüzdanlarını kimlik avı sitesine bağlayan bir QR kodunu taramaya çalışmasıyla başlar; bunun ardından kötü amaçlı yazılım en değerli varlıkları tespit eder ve kötü amaçlı bir işlem oluşturmaya çalışır; ancak bu günler veya haftalar sürebilir. Siber güvenlik firması Group-IB’den yeni bir rapor şöyle diyor:

Inferno Çok Zincirli Süzgeç

Group-IB, hizmet olarak dolandırıcılık kimlik avı operasyonlarının gelişmeye devam ettiğini, saldırganların 2023 yılında 100’den fazla farklı kripto para birimi markasını taklit ettikleri 16.000’den fazla benzersiz alan oluşturduğunu söyledi.

En iyi bilinen Drainer hizmet olarak dolandırıcılık operasyonlarından biri Inferno Multichain Drainer’dı. Yaratıcıları bunu Kasım 2022’de duyurdu ancak Mart 2023’e kadar faaliyete geçmedi ve Kasım 2023’e kadar faaliyet gösterdi. Bu süre zarfında Scam Sniffer, 134.000 kurbandan yaklaşık 81 milyon dolar değerindeki varlıkları çalmak için kullanıldığını söyledi.

Birçok Inferno kimlik avı sayfası, çoğu zaman Seaport, WalletConnect gibi meşru bir Web3 protokolü gibi davranan kötü amaçlı JavaScript kullanarak, airdrop olarak bilinen yöntemle yeni jetonlar basma ve ödülleri, kesinti tazminatlarını veya ücretsiz jetonları saklama olanağı sunuyordu. Group-IB, ya da Coinbase’in olduğunu söyledi.

Grup-IB güvenlik araştırmacısı Viacheslav Shevchenko raporda şöyle yazdı: “Kurtarıcı tarafından başlatılan her zincir değişikliği ve işlem için kurbanın rızasının gerekli olduğunu belirtmek önemlidir.” “Bazı durumlarda, drenajın operatörleri ilk dolandırıcılık işlemini başlatmadan önce uzun bir süre bekleyebilir.”

Bekleme oyunu, teklifin meşru olup olmadığını görmek için ilk önce küçük bir bakiyeye sahip bir cüzdanı bağlayan kripto para birimi sahiplerini kandırmaya yönelik bir hile olabilir. Shevchenko, “Doğrulama sonrasında daha büyük fonlara sahip bir cüzdan bağlayabilirler” dedi. “Bu yöntem, süzgecin daha değerli bir hesap yakalamasına olanak tanıyor.”

Group-IB, Inferno’nun Mart 2023’te mağazayı kapatan Monkey Drainer’ın halefi olduğunu, ardından çoğu kullanıcının Nisan 2023’te mağazayı kapatana kadar rakip Venom Drainer’a yöneldiğini ve ardından Angel Drainer’a geçtiğini söyledi.

Scam Sniffer, Monkey Drainer öldüğünde MS Drainer, Inferno’nun yanı sıra Angel ve Pink Drainer’lar da dahil olmak üzere bir dizi başka hizmetin başlatıldığını veya artırıldığını söyledi. Diğer büyük oyuncular arasında Chick Drainer ve Rainbow Drainer bulunmaktadır.

Group-IB’nin Yüksek Teknoloji Suç Soruşturma Departmanı başkanı Andrey Kolmakov, “Inferno Drainer faaliyetini durdurmuş olabilir, ancak 2023 boyunca öne çıkması, drenajlar daha da gelişmeye devam ederken kripto para sahipleri için ciddi risklerin bulunduğunu gösteriyor” dedi.

Kârlar Nasıl Bölünür?

Inferno gibi hizmetler, kullanıcılara özel bir Telegram kanalının yanı sıra müşteri portalına erişim sağlar; burada “kötü amaçlı yazılımın özelliklerini ve cüzdanlarını belirli bir kimlik avı web sitesine bağlayan kurbanların sayısı, Onaylanan işlemlerin sayısı ve çalınan varlıkların değeri” dedi Group-IB.

Inferno Drainer’ın arkasındaki geliştiriciler şu kullanım koşullarını duyurdular: Kötü amaçlı yazılımları kullanılarak çalınan tüm varlıkların %20’sini tutacaklar, diğer %80’i ise kullanıcılara yönlendirilecek.

Kullanıcılar kötü amaçlı yazılımı kendi oluşturdukları kimlik avı sitelerine yükleyebiliyorken, geliştiriciler bazen ücretsiz bir eklenti olarak sundukları ve diğer durumlarda %30 kesinti karşılığında teklif ettikleri bir “kimlik avı sitesi oluşturma ve barındırma hizmeti” de sundular. Group-IB, çalınan varlıkların raporunu bildirdi.

Scam Sniffer, MS Drainer gibi bazı hizmetlerin arkasındaki geliştiricilerin ayrıca “kaynak kodunu ve ek katma değerli modülleri satarak” dolandırıcıların saldırılarını ek bir ücret karşılığında daha da özelleştirmelerine olanak tanıdığını söyledi.