SlowMist, 2022’de kaydedilen 303 blockchain güvenlik olayının yaklaşık üçte birinin kimlik avı saldırıları, hile ve dolandırıcılıklardan oluştuğunu tespit etti.
Blockchain güvenlik firması SlowMist, kötü niyetli tarayıcı yer imleri, sahte satış siparişleri ve mesajlaşma uygulaması Discord’a yayılan Truva atı dahil olmak üzere 2022’de kripto dolandırıcılarının kurbanlar üzerinde kullandığı beş yaygın kimlik avı tekniğini vurguladı.
SlowMist’in 9 Ocak tarihli raporuna göre, güvenlik firması yıl boyunca toplam 303 blockchain güvenlik olayı kaydetti ve bu olayların %31,6’sı kimlik avı, rug pull veya diğer dolandırıcılıklardan kaynaklandı.
Kötü amaçlı tarayıcı yer işaretleri
Kimlik avı stratejilerinden biri, çoğu modern tarayıcıda bulunan bir özellik olan yer imi yöneticilerini kullanır.
SlowMist, dolandırıcıların bir proje sahibinin Discord hesabına erişmek için bunları kullandığını söyledi.
Firma, “Bu kimlik avı sayfaları aracılığıyla yer imlerine JavaScript kodu ekleyerek, saldırganlar potansiyel olarak bir Discord kullanıcısının bilgilerine erişebilir ve bir proje sahibinin hesabının izinlerini ele geçirebilir” diye yazdı.
Dolandırıcı, kurbanları bir kimlik avı sayfası aracılığıyla kötü amaçlı yer işaretini eklemeye yönlendirdikten sonra, kurban Discord’da oturum açmışken yer işaretini tıklayana kadar bekler; bu, yerleştirilen JavaScript kodunu tetikler ve kurbanın kişisel bilgilerini dolandırıcının Discord kanalına gönderir.
Bu işlem sırasında, dolandırıcı bir kurbanın Discord Token’ını (şifreli Discord kullanıcı adı ve şifresi) çalabilir ve böylece kurbanın hesabına erişim sağlayarak kurban gibi görünerek sahte mesajlar ve daha fazla kimlik avı dolandırıcılığına bağlantılar göndermesine olanak tanır.
“Sıfır dolar satın alma” NFT kimlik avı
SlowMist’e göre 56 büyük NFT güvenlik ihlalinden 22’si kimlik avı saldırılarının sonucuydu.
Dolandırıcılar tarafından kullanılan en popüler yöntemlerden biri, kurbanları sahte bir satış siparişi aracılığıyla neredeyse hiçbir şey ödemeden NFT’ler üzerinden imzalamaları için kandırır.
Kurban siparişi imzaladıktan sonra dolandırıcı, kullanıcının NFT’lerini kendileri tarafından belirlenen bir fiyattan bir pazar yeri aracılığıyla satın alabilir.
SlowMist, “Ne yazık ki, çalınan bir imzanın yetkisini Revoke gibi siteler aracılığıyla kaldırmak mümkün değil” diye yazdı.
“Ancak, oluşturmuş olduğunuz bekleyen tüm emirlerin yetkisini kaldırabilirsiniz, bu da kimlik avı saldırıları riskini azaltmaya ve saldırganın imzanızı kullanmasını engellemeye yardımcı olabilir.”
Truva atı dolandırıcılığı
SlowMist’e göre, bu tür bir saldırı genellikle, saldırganın kurbanları yeni bir projenin test edilmesine katılmaya davet ettiği ve ardından yaklaşık 800 MB’lik yürütülebilir bir dosya içeren sıkıştırılmış bir dosya biçiminde bir program gönderdiği Discord’daki özel mesajlar aracılığıyla gerçekleşir.
Programı indirdikten sonra “cüzdan” gibi anahtar sözcükleri içeren dosyaları tarayacak ve bunları saldırganın sunucusuna yükleyecektir.
SlowMist, “RedLine Stealer’ın en son sürümü, yerel bilgisayarda kurulu dijital para birimi cüzdan bilgilerini tarayarak ve onu uzaktan kumandalı bir makineye yükleyerek kripto para birimini çalma yeteneğine de sahiptir” dedi.
“RedLine Stealer, kripto para birimini çalmanın yanı sıra dosya yükleyip indirebilir, komutları yürütebilir ve virüslü bilgisayar hakkında periyodik bilgileri geri gönderebilir.”
“Boş Çek” eth_sign kimlik avı
Bu kimlik avı saldırısı, dolandırıcıların seçtikleri herhangi bir işlemi imzalamak için özel anahtarınızı kullanmalarına olanak tanır. Cüzdanınızı bir dolandırıcılık sitesine bağladıktan sonra, MetaMask’tan kırmızı bir uyarı ile bir imza başvuru kutusu açılabilir.
Saldırganlar imzaladıktan sonra imzanıza erişerek herhangi bir veriyi oluşturmalarına ve eth_sign aracılığıyla imzalamanızı istemelerine olanak tanır.
Firma, “Bu tür bir kimlik avı, özellikle yetkilendirme söz konusu olduğunda çok kafa karıştırıcı olabilir” dedi.
Aynı son numaraya aktarma dolandırıcılığı
Saldırganlar, bu dolandırıcılık için, son birkaç hane dışında benzer bir adrese sahip kurbanlara .01 USDT veya 0.001 USDT gibi küçük miktarlarda jeton atar. Amaç, kullanıcıları transfer geçmişlerinde yanlışlıkla yanlış adresi kopyalamaları için kandırmaktır.
2022 raporunun geri kalanı, sözleşme güvenlik açıkları ve özel anahtar sızıntısı dahil olmak üzere yıl boyunca diğer blockchain güvenlik olaylarını kapsıyor.
Yıl içinde sözleşme güvenlik açıklarını kullanan yaklaşık 92 saldırı gerçekleşti ve akıllı sözleşme tasarımındaki kusurlar ve saldırıya uğramış programlardan kaynaklanan toplam kayıp yaklaşık 1,1 milyar dolar.
Öte yandan özel anahtar hırsızlığı, saldırıların kabaca %6,6’sını oluşturuyor ve en az 762 milyon dolarlık kayıpla sonuçlanıyor, en belirgin örnekler “Ronin Bridge” ve “Harmony’s Horizon Bridge” hack’leri.
