افزایش ۲۰ درصدی قربانیان فیشینگ در اکتبر؛ بیش از ۲۰ میلیون دلار سرقت شد

بازنشستگی کلاهبرداران کریپتو با نزدیک شدن تحقیقات

کلاهبرداران بزرگ ارز دیجیتال مانند Inferno و Pink امسال با اعلام بازنشستگی خبرساز شدند، اما قربانیان همچنان مبالغ هنگفتی را از دست می‌دهند. یک کلاهبردار کریپتو معمولاً کاربر را فریب می‌دهد تا کیف پول خود را متصل کرده و تراکنشی را تأیید کند که تمام وجوه کاربر را تخلیه می‌کند. در ماه اکتبر، بیش از ۲۰ میلیون دلار به دلیل طرح‌های فیشینگ از دست رفت، طبق گزارش Scam Sniffer. اگرچه حجم ماهانه ۵۶٪ نسبت به سپتامبر کاهش یافت، اما تعداد قربانیان با ۲۰٪ افزایش به ۱۲,۰۵۸ نفر رسید.

الکس کاتز، مدیرعامل و یکی از بنیان‌گذاران افزونه امنیتی مرورگر Kerberus به Cointelegraph گفت که حجم تخلیه می‌تواند ماه به ماه با شرایط بازار متفاوت باشد، اما افزایش تعداد قربانیان نگران‌کننده است. در همین حال، نیروهای انتظامی و شرکت‌های امنیت سایبری در شناسایی مجرمان سایبری بهتر عمل می‌کنند. "ما فکر می‌کنیم [کلاهبرداران در حال تعطیلی هستند] زیرا آنها بیش از حد درآمد کسب کرده‌اند. اگر ادامه دهند، فقط مسئله زمان است تا نیروهای انتظامی آنها یا همدستانشان را پیدا کنند." کوس، بنیان‌گذار MistTrack، به Cointelegraph گفت.

به عنوان مثال، تتر، بزرگترین صادرکننده استیبل‌کوین جهان، اخیراً حداقل سه کیف پول مرتبط با عملیات کلاهبرداری را مسدود کرده است. در حالی که تتر به درخواست برای اظهار نظر پاسخ نداد، یک محقق خصوصی که Cointelegraph تأیید کرده با مقامات در پرونده‌های کلاهبرداری کریپتو همکاری می‌کند، گفت که این سه کیف پول به درخواست یک آژانس انتظامی مسدود شده‌اند. این محقق با مقامات برای ردیابی یک نهاد مشکوک به نام Konpyl همکاری کرده است.

تحقیقات اخیر Cointelegraph Magazine Konpyl و کیف پول‌های مرتبط را به یک کلاهبرداری جعلی Rabby Wallet مرتبط کرد که حدود ۱.۶ میلیون دلار از قربانیان سرقت کرده بود. شواهد خارج از زنجیره بررسی‌شده توسط مجله در طول تحقیقات، ارتباطاتی بین شخصیت آنلاین Konpyl و یک مدیرعامل کریپتو مستقر در دبی پیدا کرد که هرگونه تخلفی را انکار کرده و ادعا کرد که قربانی اخاذی شده است. سه حساب اخیر مسدود شده توسط تتر نه تنها با کیف پول‌های کلاهبرداری بلکه با Konpyl نیز مرتبط هستند.

حداقل، "[Konpyl] یک مشتری بزرگ کلاهبرداری است"، محقق به Cointelegraph گفت. "[Konpyl] عمدتاً از Inferno Drainer استفاده می‌کند اما با Pink Drainer نیز آزمایش کرده است." کلاهبرداران کریپتو اغلب با بهره‌برداری از آسیب‌پذیری‌های قراردادهای هوشمند، حملات فیشینگ یا از طریق تاکتیک‌های مهندسی اجتماعی به کیف پول‌ها دسترسی پیدا می‌کنند. این کلاهبرداری‌ها توسط توسعه‌دهندگانی ایجاد می‌شوند که دسترسی به بازیگران غیرقانونی را می‌فروشند و به آنها اجازه می‌دهند تا بهره‌برداری‌ها و سرقت‌های بعدی را در ازای دریافت هزینه انجام دهند. این مدل به عنوان "کلاهبرداری به عنوان یک سرویس" شناخته شده است.

"یک تغییر ذهنی که باید انجام دهید این است که کلاهبرداران کسب‌وکار هستند"، کاتز گفت. "اگر واقعاً به تراکنش‌های تخلیه نگاه کنید، درصد زیادی به شخصی که کلاهبردار را مستقر کرده می‌رود، زیرا آنها کمیسیون می‌گیرند." در طول سال‌ها، این ابزارهای نرم‌افزاری تحت برندهای خود بازاریابی شده‌اند و خدماتی مانند Inferno، Pink و Monkey Drainer محبوبیت یافته‌اند. این سه تنها کلاهبرداران موجود نیستند، اما ویژگی مشترکی دارند. همه آنها اعلام کرده‌اند که تعطیل شده‌اند، با Inferno که آخرین بار در اکتبر خاموش شد. Inferno ادعا کرد که خدماتش توسط Angel Drainer به عهده گرفته شده است.

Monkey Drainer یکی از اولین‌هایی بود که از مدل SaaS برای کلاهبرداری استفاده کرد. این سرویس در مارس ۲۰۲۳ تعطیل شد و سپس دسته بعدی کلاهبرداران مانند Inferno و Pink ظهور کردند. گفته می‌شود Pink Drainer توسط یکی از اعضای سابق جامعه امنیتی توسعه یافته که به مبارزه با Monkey Drainer کمک کرده بود و سپس به سمت تاریک رفت. Pink Drainer در ماه مه ۲۰۲۴ پس از جمع‌آوری حدود ۸۵ میلیون دلار از بیش از ۲۱,۰۰۰ قربانی اعلام بازنشستگی کرد. Inferno پس از اعلام بازنشستگی در نوامبر ۲۰۲۳ غیرفعال بود، اما پس از خروج Pink دوباره ظاهر شد. آخرین تعطیلی Inferno چند روز پس از مسدود شدن سه کیف پول توسط تتر در ۱۶ اکتبر اعلام شد، که همان روزی بود که تحقیقات Cointelegraph Magazine درباره Konpyl و کیف پول جعلی Rabby منتشر شد.

شواهد زنجیره‌ای نشان‌دهنده رابطه‌ای بین حساب‌های مرتبط با Konpyl و حساب‌های مرتبط با Inferno است، اگرچه کارشناسان امنیتی تحلیل‌های متفاوتی درباره جزئیات ارائه داده‌اند. یکی از نمونه‌های رابطه زنجیره‌ای از یک حادثه تخلیه در مارس ۲۰۲۴ می‌آید، زمانی که یک قربانی ۴.۳۹ میلیون دلار ارز دیجیتال به یک دزد کریپتو مجهز به مجموعه Inferno Drainer از دست داد.

برخی از توکن‌های سرقت‌شده با کمک کارآگاه بلاکچین ZachXBT سوزانده شدند، اما بقیه توکن‌ها تجمیع شده و به آدرس 0x344…12ac3 منتقل شدند که شرکت امنیتی MistTrack مشکوک است متعلق به Inferno Drainer باشد. در اینجا، حدود ۷۶۷,۶۱۰ دلار اتر بسته‌بندی‌شده وارد پلتفرم DeFi CoW Protocol می‌شود. در طرف دیگر، این مبلغ توسط آدرس 0x87B…A53d92 (خروجی CoW) به صورت تتر (USDT) دریافت می‌شود.

از این آدرس خروجی CoW، می‌توان رابطه‌ای با Konpyl ترسیم کرد. آدرس خروجی سه تراکنش با 0xF2F…6a608 دارد، دو بار در آگوست ۲۰۲۲ و یک بار در مه ۲۰۲۴. اولین تراکنش از این سه تراکنش، تراکنش تأمین مالی برای این کیف پول 0xF2F است، یا اولین انتقال ثبت‌شده به آن حساب. کیف پول 0xF2F از طریق هفت تراکنش به یک حساب مرتبط با Konpyl متصل است که به اکتبر ۲۰۲۳ بازمی‌گردد و مجموعاً حدود نیم میلیون دلار است، که کیف پول 0xF2F را به عنوان پلی که طرح مرتبط با Inferno Drainer در مارس ۲۰۲۴ و نهاد مرتبط با حادثه کیف پول جعلی Rabby در سال ۲۰۲۴ را متصل می‌کند، تعیین می‌کند.

این حرکات، به گفته محقق خصوصی، نشان می‌دهد که نهاد معروف به Konpyl ممکن است یک کاربر بزرگ Inferno Drainer باشد یا حتی درگیرتر باشد. با این حال، Fantasy، سرپرست تحقیقات در شرکت بیمه کریپتو Fairside Network، نظر متفاوتی دارد. Fantasy به Cointelegraph گفت که ممکن است هیچ‌یک از کیف پول‌های شناسایی‌شده قبل از ورود به CoW Protocol واقعاً متعلق به Inferno Drainer نباشند. بلکه ممکن است همه کیف پول‌ها متعلق به مشتریان Inferno Drainer باشند. "یک مشتری Inferno به‌طور داوطلبانه از سرقت بیشتری صرف‌نظر نمی‌کند. توضیح محتمل‌تر این است که این یک مشتری است که درآمدهای سرقت را تجمیع می‌کند"، او به Cointelegraph گفت و به تراکنش‌هایی اشاره کرد که نشان می‌دهد هزینه‌های تخلیه به کیف پول جداگانه‌ای پرداخت شده است.

Fantasy همچنین یک جایگزین دیگر برای ارتباط Konpyl با این بهره‌برداری‌ها ارائه داد. "من تعجب می‌کنم اگر او یک معامله‌گر OTC [خارج از بورس] باشد و بازیگران تهدید از او برای پول‌شویی استفاده کنند. این ممکن است توضیحی باشد که چرا خروجی‌های Rhino Konpyl به این شکل تجمیع می‌شوند"، Fantasy با تحلیل حرکات زنجیره‌ای Konpyl که توسط Cointelegraph Magazine در تحقیقات اکتبر خلاصه شده بود، نظریه‌پردازی کرد. "پنهان کردن حرکات با استفاده از معامله‌گران OTC یک تاکتیک غیرمعمول نیست. معمولاً این نوع معامله‌گران اهمیتی نمی‌دهند که وجوه از کجا آمده است، تا زمانی که هزینه خود را دریافت کنند."

در همین حال، Fun، بنیان‌گذار Scam Sniffer، به Cointelegraph گفت که مشارکت‌های مستمر نهادهایی مانند MistTrack، Scam Sniffer و گروه امنیتی SEAL 911 به لیست سیاه کردن آدرس‌های غیرقانونی کمک می‌کند.

افزونه‌های مرورگر اینترنتی مانند Kerberus نیز وجود دارند، در حالی که کیف پول‌ها به طور فزاینده‌ای خدمات امنیتی کاربر مانند Blockaid را ادغام می‌کنند. "برای امنیت آنها، تعطیلی اجتناب‌ناپذیر بود"، Fun گفت. "چه Inferno Drainer باشد یا Pink Drainer، آنها فقط خدماتی هستند که توسط کلاهبرداران استفاده می‌شوند. مجرمان واقعی پشت این نام‌های کلاهبرداری پنهان شده‌اند." با این حال، کاتز از Kerberus هشدار می‌دهد که تعطیلی‌ها در دنیای کلاهبرداران کریپتو باید با احتیاط نگریسته شود، زیرا ممکن است آنها در حال تظاهر به تعطیلی باشند، مانند "بازنشستگی" Inferno در نوامبر ۲۰۲۳، که تنها برای بازگشت و ایجاد ویرانی در نیمه اول ۲۰۲۴ بود. "آنها ممکن است بگویند که تعطیل شده‌اند تا شرکت‌های امنیتی را به کاهش هوشیاری وادار کنند. اما در نهایت، آنها می‌توانند با نام جدیدی بازگردند و دوباره فعالیت کنند"، کاتز گفت. "اینها مجرمان هستند — بیایید این را کاملاً روشن کنیم. شما نمی‌توانید به مجرمان اعتماد کنید، مهم نیست چه می‌گویند."