来源:Chainalysis;编译:白水,
2024 年 4 月 17 日,在执法部门和行业合作伙伴与国际组织联合开展行动后,伦敦大都会警察局宣布中断 LabHost,这是一家臭名昭著的网络钓鱼即服务 (PhaaS) 提供商,网络犯罪分子能够利用该提供商侵入世界各地受害者的银行账户。 LabHost 自 2021 年以来一直活跃,据信已经发起了数千起网络钓鱼攻击,这意味着这次成功的执法行动使互联网变得更加安全。
LabHost 向网络犯罪分子收取访问网络钓鱼工具的月费,并接受加密货币付款。 因此,我们可以分析 LabHost 的链上活动。 请继续阅读该分析,以及有关 LabHost 的运营和在网络犯罪中的作用的入门知识。
LabHost 介绍
LabHost 是一家 PhaaS 提供商,销售“网络钓鱼套件”,网络犯罪分子利用这些套件来构建模仿银行网页的虚假网页。 这些虚假网站旨在诱骗银行客户输入登录信息,以供网络犯罪分子窃取。 据 Bleeping Computer 称,LabHost 还提供网络托管基础设施来保持网络钓鱼页面在线,提供电子邮件活动工具,用于通过垃圾邮件将受害者引导至网络钓鱼页面,甚至还提供用于规避双因素身份验证的工具。
LabHost 对这些工具按月收取费用,并提供不同定价级别的各种产品。
LabHost 通过 Bleeping Computer 的定价计划。
2023 年,LabHost 专门为加拿大银行推出了高性能网络钓鱼工具包,人气不断上升。 然而,其工具使网络犯罪分子能够瞄准世界各地的银行客户以及运输服务和 Spotify 等应用程序的用户。 根据伦敦警察厅关于此次行动的新闻稿,网络犯罪分子利用 LabHost 创建了 40,000 多个钓鱼网站,该服务拥有超过 2,000 名注册用户。 该机构还表示,网络犯罪分子使用 LabHost 窃取了超过 480,000 个信用卡号、64,000 个 PIN 码以及超过 100 万个各种在线服务的密码。
LabHost 的链上活动和加密货币的使用
自 2021 年 8 月开始活跃以来,LabHost 确定的加密货币钱包已通过数千次转账收到了价值超过 110 万美元的加密货币,付款方式包括比特币、以太坊、莱特币和门罗币。 LabHost 的比特币收款具体可以在下面的调查图表中看到。 我们可以假设其中大部分代表网络犯罪分子为使用 LabHost 的网络钓鱼工具支付月费。
然后,LabHost 将大部分资金发送到一些主流交易所(可能是为了兑现),以及一个流行的混合器,可能会洗钱并混淆其来源。 我们可以在下面的调查图表中看到其中的一些活动。
我们也可以在 LabHost 的以太坊活动中看到类似的模式,尽管没有使用混合器。
与许多网络犯罪组织一样,LabHost 使用了一系列第三方服务和基础设施提供商。 我们可以在下面的链分析调查图表中看到这方面的链上证据。
在这里,我们看到 LabHost 向两种类型的服务提供商发送资金:一个促进企业加密支付的支付处理器(也称为商业服务提供商)和两个基础设施即服务提供商。 虽然我们无法透露与 LabHost 进行交易的所有基础设施提供商的确切性质,但其他犯罪组织已将这些服务用于网络托管、电子邮件工具、代理服务等。 LabHost 可能也做了同样的事情。
最后,区块链分析还显示,许多使用 LabHost 的网络犯罪分子似乎也是 iSpoof 的客户,iSpoof 是另一家用于欺诈的非法工具提供商,于 2022 年被伦敦警察局和其他执法机构关闭。 下图显示了同时使用 iSpoof 和 LabHost 进行交易的几个钱包。
上面显示的 20 个与 iSpoof 和 LabHost 进行交易的钱包(我们几乎可以认为它们参与了在线欺诈)总共发送和接收了价值超过 530 万美元的比特币,这表明他们的犯罪活动广泛且利润丰厚。
打击网络欺诈
正如我们之前所讨论的,诈骗可能是整个加密犯罪生态系统中对消费者的最大威胁。 此案例表明,加密货币在诈骗中的作用不仅仅限于宣传加密庞氏骗局或试图从用户的加密钱包中获取资金的威胁行为者。 银行账户在 LabHost 支持的网络钓鱼攻击中遭到入侵的受害者可能不知道针对他们的犯罪与加密货币有联系,但在许多情况下,所涉及的网络犯罪分子如果不支付加密货币,可能无法访问 LabHost 的工具。 加密货币几乎可以在所有形式的犯罪中发挥至关重要的作用,即使是在不明显的案件中。
由于伦敦警察厅和参与此次破坏的其他机构的努力,LabHost 是一个受到严重阻碍的加密货币犯罪组织。