Tấn công bằng Seed Flooding: Tại sao PhishDestroy lại hành động công khai
Các trang web lừa đảo “Attacks”
Chúng tôi không giấu giếm điều này. Khi PhishDestroy phát hiện một trang web lừa đảo đang hoạt động nhằm thu thập các cụm từ hạt giống của ví tiền điện tử, chúng tôi sẽ tràn ngập trang web đó bằng các cụm từ hạt giống có định dạng hợp lệ. Dưới đây là chi tiết về những gì chúng tôi làm, lý do tại sao chúng tôi làm điều đó, và lý do tại sao chúng tôi không cảm thấy xấu hổ về điều này.

Vấn đề: Một trang web lừa đảo hiện đang hoạt động
Hãy tưởng tượng bạn phát hiện ra một trang lừa đảo ví tiền điện tử đang chạy quảng cáo trả phí trên Google Ads. Trang web này trông có vẻ hợp pháp. Nó có lượng truy cập. Cứ vài phút lại có người dùng thật truy cập vào trang này, nhập cụm từ hạt giống của họ và mất trắng tất cả.
Bạn hãy báo cáo sự việc cho Google. Bạn hãy báo cáo sự việc cho cơ quan đăng ký tên miền. Bạn hãy gửi báo cáo vi phạm đến nhà cung cấp dịch vụ lưu trữ. Và rồi bạn chỉ còn biết chờ đợi.
Trong khi đó, kẻ lừa đảo tiếp tục lừa thêm nạn nhân thứ 47. Rồi thứ 48. Rồi thứ 49.
Quy trình báo cáo lạm dụng tiêu chuẩn diễn ra trong khoảng thời gian từ 5 đến 10 ngày làm việc. Trong khi đó, các trang web lừa đảo đang hoạt động có thể gây ra thiệt hại tài chính không thể khắc phục chỉ trong vài giờ. Khoảng cách này không phải là lỗi của hệ thống — mà là một lỗ hổng cấu trúc mà những kẻ lừa đảo cố tình khai thác.

“Ngập hạt” là gì?
Ngập lụt dữ liệu là một kỹ thuật chống lừa đảo qua email, trong đó định dạng hợp lệ nhưng trống/vô giá trị Các cụm từ hạt giống của ví tiền điện tử được tự động gửi vào một biểu mẫu lừa đảo với tần suất được kiểm soát.

Tại sao phương pháp này lại hiệu quả: Cấu trúc của một bộ công cụ lừa đảo giá rẻ
Phần lớn các trang web lừa đảo tiền điện tử đang hoạt động là các bộ công cụ sao chép-dán được xây dựng trên các dịch vụ của bên thứ ba thuộc gói miễn phí. Đây là điểm yếu lớn nhất của họ. Để tìm hiểu chi tiết hơn, hãy xem cuộc điều tra toàn diện của chúng tôi.

| Mô-đun | Giới hạn gói miễn phí | Tác động của lũ lụt |
|---|---|---|
| EmailJS | ~200 bài dự thi/tháng | Hết hạn trong vài giờ, ngừng gửi email |
| Formspree | 50 bài gửi/tháng | Bị vô hiệu hóa gần như ngay lập tức |
| Web3Forms | 250 bài gửi/tháng | Bị trung hòa nhanh chóng |
| API Bot Telegram | Giới hạn tốc độ mỗi giây | Bị cuốn vào các vòng lặp chờ thời gian |
| Gói miễn phí của Firebase | Hạn mức đọc/ghi | Chi phí cơ sở dữ liệu tăng vọt hoặc bị khóa |
Chúng tôi đã trực tiếp quan sát thấy cơ sở hạ tầng lừa đảo ngừng hoạt động sau khi lượng dữ liệu ban đầu tràn ngập khiến hệ thống thông báo của nó bị quá tải. Kẻ lừa đảo không biết tại sao hệ thống lại ngừng hoạt động. Chúng chỉ đơn giản là không còn nhận được dữ liệu nữa.
Cách tiếp cận kỹ thuật của chúng tôi: Cloudflare Workers, chứ không phải mạng botnet

Chúng tôi sử dụng Cloudflare Workers. Các yêu cầu xuất phát từ chính mạng biên của Cloudflare. Không có địa chỉ IP cá nhân nào bị lạm dụng. Không có mạng botnet. Không gây quá tải cho máy chủ của bên thứ ba. Chỉ có hệ thống thu thập dữ liệu của kẻ lừa đảo bị ảnh hưởng.
Dòng chảy lũ lụt
Giới hạn tốc độ: Một quy định nghiêm ngặt 2 submissions per 10 seconds. Không phải là một cuộc tấn công DDoS. Đó là một quá trình lây nhiễm chậm rãi, có chủ đích và nhắm mục tiêu cụ thể, với quy mô lớn đến mức ngay cả tỷ lệ lây nhiễm khiêm tốn trên mỗi trang web cũng trở nên đáng kể khi áp dụng cho hàng chục mục tiêu cùng lúc.
Chúng tôi không có ý định làm sập các máy chủ. Chúng tôi đang biến ngày làm việc của bọn lừa đảo thành một cơn ác mộng và khiến cơ sở dữ liệu của chúng trở nên vô giá trị — mà hoàn toàn không gây ra bất kỳ tác động phụ nào đối với cơ sở hạ tầng hợp pháp.
Các nghiên cứu điển hình thực tế: Kiểm soát ô nhiễm trong thực tiễn
Các hoạt động dưới đây được trích dẫn nguyên văn từ nhật ký sản xuất của chúng tôi. Tên miền và mã định danh nhà cung cấp chỉ bị che giấu trong những trường hợp việc công bố thông tin có thể giúp đối tượng trốn tránh; các bản ghi lưu lượng HTTP không bị chỉnh sửa. Cả hai mục tiêu đều đang hoạt động tại thời điểm can thiệp, đã xác nhận có lưu lượng truy cập đến từ quảng cáo trả phí, và đã được phân loại độc lập là lừa đảo qua email bởi ≥ 2 nhà cung cấp bên ngoài trên VirusTotal trước khi chúng tôi thực hiện bất kỳ hành động nào.
Học thuyết tác chiến
Mọi chiến dịch rải hạt đều được triển khai trong khuôn khổ năm nguyên tắc này. Không có ngoại lệ nào cả; một chiến dịch không thể đáp ứng đủ cả năm nguyên tắc này sẽ không được tiến hành.
Trường hợp 1 — Formspark Exfil Endpoint, đã hết hạn mức hàng tháng
checkblochn.pages.dev Đã vô hiệu hóaMô hình mối đe dọa: Mồi nhử phục hồi ví (“Dapp Node Sync”) đánh cắp cụm từ hạt giống BIP-39 gồm 12 từ và chuyển chúng đến một điểm cuối Formspark do kẻ tấn công kiểm soát ở gói dịch vụ miễn phí. Đã xác nhận có lưu lượng truy cập từ quảng cáo trả phí của hai nền tảng quảng cáo ngay từ khi bắt đầu tương tác.
messageLịch trình hoạt động (UTC, được ẩn danh tính đến thời điểm bắt đầu hoạt động T-zero)
submit-form.com/32BrdUqfX trích xuất từ trang JS; cấu trúc dữ liệu tải đã được phân tích ngược. phân tích2 req / 10 s, một Worker của Cloudflare, chuỗi UA đã được xác định, nguồn gốc đã được ký.200 OK với formspark-quota: 64. Đã ghi nhận giá trị ban đầu.formspark-quota vượt qua giá trị 0 → điểm cuối sẽ ngừng chuyển tiếp mà không có thông báo. rèm thoát nướcformspark-quota: −18. Nhân viên ứng phó lũ lụt bị sa thải.Gửi qua mạng (giá trị hạt giống là một mồi nhử mang tính biểu tượng — 12 từ ngẫu nhiên theo tiêu chuẩn BIP-39 không liên quan đến bất kỳ ví thực nào)
Phản hồi — T+01:02 (mức cơ sở, hạn mức còn lại)
Phản hồi — T+06:12 (hết hạn ngạch, điểm cuối vẫn trả về mã trạng thái 200 nhưng sẽ không chuyển tiếp)
Tác động có thể quan sát được. Từ thời điểm T+06:08 cho đến khi ngừng giao dịch cuối cùng vào thời điểm T+19:30 — a Khoảng thời gian 13 giờ 22 phút — mỗi nạn nhân thực sự đã liên hệ checkblochn.pages.dev và đã hoàn tất quy trình khôi phục, gửi cụm từ hạt giống của họ đến một điểm cuối, điểm cuối này đã trả về 200 OK nhưng không còn chuyển tiếp nội dung tin nhắn đến hộp thư đến của người dùng nữa. Trang lừa đảo xuất hiện để thực hiện thành công trên trình duyệt của nạn nhân (không có lỗi, không có cảnh báo), điều này là mong muốn: phản ứng theo bản năng kiểu “nó không hoạt động” thường khiến người dùng nhập lại cùng thông tin đăng nhập trên trang web giả mạo tiếp theo mà họ tìm thấy. Ở đây, quá trình tương tác được thực hiện mà không có sự tham gia của người điều khiển.
Một khoảng thời gian bảo vệ kéo dài 13 giờ dành cho mỗi người truy cập tiếp theo vào một trang web mà quảng cáo trả phí vẫn đang tích cực quảng bá. Khoảng thời gian này kết thúc khi Cloudflare Pages phản hồi báo cáo lạm dụng theo quy trình song song của chúng tôi — hoàn toàn đúng như thiết kế. Làn sóng truy cập ồ ạt này không thay thế cho việc gỡ bỏ hợp pháp; nó chỉ che lấp khoảng thời gian đó cho đến khi đòn hạ gục hợp pháp đã trúng đích.
Trường hợp 2 — EmailJS Relay, các định danh do nhà điều hành công bố
allsyncapp.pages.dev Hoạt động đang diễn raMô hình mối đe dọa: Mồi nhử “đồng bộ hóa” ví, gửi mã hạt giống mà nạn nhân đã nhập vào hộp thư của kẻ điều hành qua EmailJS — một dịch vụ SaaS hợp pháp chuyên về email giao dịch. Trang lừa đảo này chứa thông tin của người vận hành service_id, template_id và user_id trong JavaScript phía máy khách, bởi vì nếu thiếu các định danh đó, trình duyệt của nạn nhân sẽ không thể hoàn tất yêu cầu POST để kích hoạt việc gửi email. Do đó, các định danh này là một phần của diện tích tấn công công khai mà nhà điều hành đã tự nguyện phơi bày.
Yêu cầu đã thu thập — nội dung tải trọng được trích nguyên văn từ chính yêu cầu POST của trang lừa đảo
Trích xuất mã định danh (biểu thức chính quy một dòng trên mã nguồn trang lừa đảo)
Điểm cốt lõi về giáo lý. Trường hợp này mang tính gợi mở chính bởi vì chúng tôi không phát hiện thấy bất kỳ điểm cuối nào. Nhà khai thác xuất bản ba thông tin nhận dạng cần thiết để EmailJS gửi mã hạt giống đến hộp thư của họ. Bất kỳ trình duyệt nào hiển thị trang lừa đảo đều sở hữu những thông tin này. Worker của chúng tôi thực hiện chính xác những gì trình duyệt của nạn nhân làm — gửi biểu mẫu với định dạng và các thông tin nhận dạng chính xác theo hướng dẫn của chính trang web đó. Điểm khác biệt nằm ở phần dữ liệu tải: các từ ngẫu nhiên theo tiêu chuẩn BIP-39 thay vì thông tin đăng nhập ví thực sự.
Mô hình kết quả. Khi đạt đến giới hạn hàng tháng, EmailJS sẽ trả về 402 Payment Required hoặc 429 Too Many Requests và mẫu email đó không được gửi đi. Hộp thư của kẻ lừa đảo bỗng im bặt. Song song đó, bộ phận Trust & Safety của EmailJS nhận được một đơn khiếu nại chính thức kèm theo các thông tin nhận dạng về dịch vụ/mẫu email/người dùng cùng một liên kết đến bộ bằng chứng mà chúng tôi đã công bố — điều này, theo tiền lệ trước đây, sẽ dẫn đến việc tài khoản EmailJS của người vận hành bị đã chấm dứt, không bị giới hạn về tần suất. Nhà điều hành phải tạo một tài khoản EmailJS mới, tạo lại các mã định danh, chỉnh sửa trang lừa đảo đã triển khai và vô hiệu hóa mọi liên kết phân phối hiện có — một quy trình kéo dài nhiều giờ cho mỗi lần luân chuyển.
So sánh các kiểu tấn công: “Seed Flooding” không phải là gì
Một cáo buộc thường xuyên được đưa ra là chúng tôi tiến hành các “cuộc tấn công” vào các trang web lừa đảo. Cách diễn giải đó sẽ sụp đổ ngay lập tức khi bạn so sánh hồ sơ lưu lượng truy cập thực tế với hồ sơ hoạt động mà nó đang bị nhầm lẫn.
| Kích thước | Ngâm hạt (của chúng tôi) | DDoS / Tấn công lũ L7 | Lạm dụng việc gửi thư rác | Chiến dịch bí mật của LE |
|---|---|---|---|---|
| Mục đích | Bảo vệ nạn nhân — hoàn thành chỉ tiêu “exfil” của kẻ lừa đảo trước khi có nạn nhân tiếp theo | Tấn công từ chối dịch vụ vào cơ sở hạ tầng | Lợi ích thương mại / việc lan truyền thông điệp | Thu thập chứng cứ, lừa dối có kiểm soát |
| Năng suất | 0,1 – 0,3 yêu cầu/giây — dưới đây Điều khoản dịch vụ của nhà cung cấp | 103 – 108 req/s — hướng tới mức bão hòa | Xử lý theo đợt / tự động với khối lượng lớn | Một tương tác thông thường |
| Mục tiêu | Một kẻ tấn công sử dụng phương thức exfil trên một điểm cuối đã công bố | Tầng máy chủ web / tầng mạng của tổ chức nạn nhân | Biểu mẫu liên hệ của các trang web hợp pháp | Cơ sở hạ tầng hoặc nhân vật đáng ngờ |
| Tác động đến cơ sở hạ tầng | Không có — số đếm của nhà cung cấp hoạt động đúng theo quy định trong Điều khoản Dịch vụ (ToS) | Dịch vụ bị gián đoạn, tắc nghẽn ở phía nhà cung cấp | Hộp thư đến quá tải, sự thay đổi của CAPTCHA, khối lượng công việc kiểm duyệt | Tùy thuộc vào thao tác |
| Người dùng hợp pháp bị ảnh hưởng | Zero — các biểu mẫu lừa đảo không có người dùng hợp pháp | Tất cả bọn họ | Nhân viên / người điều hành là chủ sở hữu biểu mẫu | Thiết kế có tính đến việc tránh né |
| Bản sắc ban đầu | Được đặt tên là PhishDestroy Cloudflare Workers — có thể kiểm toán | Mạng botnet, nguồn giả mạo, phản xạ | Proxy dùng một lần | Cơ sở hạ tầng được phân loại |
| Mô hình ủy quyền | Điểm cuối là được mời: biểu mẫu yêu cầu rõ ràng thông tin này, các định danh được công khai trên trang | Không có — chính khối lượng yêu cầu đã gây ra tác hại | Vượt qua mục đích sử dụng dự kiến, phớt lờ các tín hiệu chống lạm dụng | Cơ sở pháp lý |
| Các biện pháp pháp lý song song | Các báo cáo về hành vi lạm dụng đã được nộp trước đó dữ liệu về các đợt lũ lụt, kèm theo mã trường hợp | Không áp dụng | Không áp dụng | Tích hợp vào quy trình vận hành |
Một yêu cầu “seed-flood” là một yêu cầu POST HTTPS duy nhất có kích thước khoảng 140 byte, xuất phát từ một Worker của Cloudflare chứa nguồn gốc đã được ký của chúng tôi, với tốc độ chỉ bằng một phần nhỏ so với mức mà chính nhà cung cấp công bố là chấp nhận được, nhắm đến một điểm cuối mà nhà điều hành đã chọn nhúng các thông tin nhận dạng vào một trang web công khai. Đó là toàn bộ hiện vật có thể quan sát được. Mọi yếu tố cấu thành khiến một yêu cầu trở thành một “cuộc tấn công” — truy cập trái phép, ý đồ làm cạn kiệt tài nguyên, bão hòa lưu lượng, các bên thứ ba bị ảnh hưởng, nguồn gốc ẩn — đều không tồn tại. Phân tích pháp lý sau đây không phải là lập luận mang tính chủ quan; đó là tự nhiên việc diễn giải luật sau khi các tình tiết thực tế đã được trình bày rõ ràng.
Phân tích pháp lý — Điều đó có hợp pháp không? Có đạo đức không?

Việc gửi dữ liệu đến một biểu mẫu web công khai — ngay cả khi đó là dữ liệu giả — về bản chất không phải là hành vi vi phạm pháp luật trong hầu hết các khung công nghệ. Chúng tôi không truy cập vào các hệ thống riêng tư, không khai thác các lỗ hổng bảo mật trái phép, cũng như không chặn bắt các thông tin liên lạc. Kẻ lừa đảo đã giăng một cái bẫy. Chúng tôi đang đổ đá vào đó.
PhishDestroy không cung cấp tư vấn pháp lý. Vấn đề này nằm trong một vùng xám thực sự, và quy định có thể khác nhau tùy theo từng khu vực pháp lý. Chúng tôi hoạt động với sự nhận thức đầy đủ về sự phức tạp này.
Cơ sở dữ liệu của kẻ lừa đảo sẽ ra sao?
Nó trở nên vô dụng — hàng nghìn mục cần được xác minh thủ công, tỷ lệ tín hiệu trên nhiễu sụt giảm nghiêm trọng. Hoặc nó bị hỏng — Firebase Spark và các phiên bản MongoDB dùng chung đều có các giới hạn cứng. Việc vượt quá các giới hạn này sẽ dẫn đến những hậu quả nhất định.
Cả hai kết quả đều tốt
Cho dù cơ sở dữ liệu có trở thành vô dụng hoặc hoàn toàn ngừng hoạt động — Cụm từ hạt giống của các nạn nhân thực sự sẽ không bao giờ rơi vào tay kẻ tấn công dưới dạng có thể sử dụng được. Mỗi cụm từ hạt giống chưa qua xử lý đều tương đương với một ví tiền không thể bị rút cạn.
Khi nào chúng ta nên kích hoạt chế độ ngập hạt?
| Tiêu chí | Kiểm tra | Tại sao điều này lại quan trọng |
|---|---|---|
| Đã xác nhận có lưu lượng truy cập | Bắt buộc | Các nền tảng quảng cáo hoặc công cụ phân tích lưu lượng truy cập giúp xác nhận rằng người dùng thực sự đang truy cập vào trang web |
| Phân tích cấu trúc của các vụ lừa đảo qua email | Bắt buộc | Các mô-đun exfil thuộc gói miễn phí đã được xác định trước khi chúng ta tiến hành cuộc tấn công lũ |
| Các báo cáo về hành vi lạm dụng đã được nộp | Bắt buộc | Chúng tôi luôn song song theo đuổi con đường hợp pháp |
| Không có việc ngừng cung cấp dịch vụ trong phạm vi SLA | Yếu tố kích hoạt điển hình | Không nhận được phản hồi từ nhà đăng ký tên miền/nhà cung cấp dịch vụ lưu trữ trong khoảng thời gian hợp lý |
| Trang web quảng cáo có lượng truy cập lớn / quảng cáo trả phí | Yếu tố kích hoạt tức thì | Quảng cáo trả phí có nghĩa là chúng tôi hành động mà không cần chờ đợi các thủ tục hành chính rườm rà |
Nhìn nhận tổng thể
Hệ sinh thái tiền điện tử mất đi hàng tỷ đô la mỗi năm đối với các vụ lừa đảo qua email. Từ trước đến nay, phía phòng thủ thường chỉ phản ứng thụ động. PhishDestroy ra đời nhằm giới thiệu can thiệp chủ động vào chu kỳ này.
Chúng tôi không hoạt động trong bóng tối. Chúng tôi công bố phương pháp luận của mình. Chúng tôi giải thích các kỹ thuật của mình. Chúng tôi ghi chép lại các bộ công cụ lừa đảo mà chúng tôi phân tích. Cộng đồng an ninh mạng xứng đáng được đánh giá các phương pháp chống lừa đảo, chứ không chỉ đơn thuần sử dụng một dịch vụ “hộp đen”.

Bạn có thể làm gì
- Báo cáo cho Tính năng Duyệt web an toàn của Google, PhishTank, và nhà đăng ký tên miền
- Hãy gửi cho chúng tôi — chúng tôi ưu tiên xử lý các mối đe dọa đang hoạt động có lưu lượng truy cập cao
- Kiểm tra cơ sở dữ liệu giải phẫu của chúng tôi để hiểu được những gì bạn đang nhìn thấy
- Nâng cao nhận thức — phần lớn các nạn nhân không biết trang lừa đảo lấy cụm từ hạt giống trông như thế nào cho đến khi đã quá muộn
Nếu bạn cho rằng việc đổ tiền vào túi bọn tội phạm là trái đạo đức — đó là quan điểm của bạn, và bạn hoàn toàn có quyền giữ quan điểm đó. Chúng tôi đã nêu rõ quan điểm của mình.


