Group-IB vừa phát hiện vụ tấn công lừa đảo chưa từng có tại Việt Nam. Chiến dịch mạo danh 27 tổ chức tài chính quen thuộc của Việt Nam vẫn đang hoạt động. Đã phát hiện 240 tên miền liên kết trong hệ thống lừa đảo và chỉ tính riêng từ đầu năm 2021, có ít nhất 7.800 người dùng có nguy cơ trở thành nạn nhân khi truy cập 44 trang web giả mạo này.
Tin nhắn lừa đảo và thủ đoạn mà nhiều người dùng tại Việt Nam thường gặp phải.
Theo thông tin từ Group-IB, công ty an ninh mạng hàng đầu thế giới có trụ sở chính tại Singapore, vừa phát hiện một vụ tấn công lừa đảo chưa từng có tại Việt Nam. Theo đó, các đối tượng đã mạo danh 27 tổ chức tài chính, ngân hàng quen thuộc của Việt Nam để tìm cách thu thập chi tiết thông tin cá nhân của khách hàng, thậm chí đánh cắp tài khoản ngân hàng của họ. sử dụng các kỹ thuật cho phép họ vượt qua xác minh OTP.
Nhóm Ứng cứu Khẩn cấp Máy tính Group-IB (CERT-GIB) đã xác định 240 tên miền được liên kết nằm trong cơ sở hạ tầng của chiến dịch lừa đảo. Khi phát hiện hoạt động bất thường, CERT-GIB đã thông báo ngay cho Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT).
Toàn bộ 240 tên miền đã bị chặn sau nỗ lực của CERT-GIB và các cơ quan hữu quan của Việt Nam. Tuy nhiên, các tên miền mới vẫn thường xuyên xuất hiện. Group-IB tiếp tục làm việc với các công ty đăng ký tên miền và các cơ quan chức năng để loại bỏ các tên miền mới khi chúng được xác định, ngăn ngừa gia tăng rủi ro thiệt hại tài chính cho người dùng và giảm thiểu thiệt hại cho danh tiếng của tổ chức tài chính liên quan.
Thủ thuật cũ nhưng hữu ích
Chiến dịch lừa đảo nói trên đã được khởi động vào tháng 5 năm 2019, với việc đăng ký tên miền đầu tiên. Miền lừa đảo mới nhất đã được kích hoạt vào ngày 1/6/2022. Nhờ công cụ Phân tích Đồ thị Mạng của Group-IB, CERT-GIB đã có thể xác định 240 tên miền liên kết được kết nối với nhau.
CERT-GIB có khả năng xác định số lượng người dùng truy cập 44 trong số 240 trang web được ghi lại nơi bộ đếm đã được cài đặt. Chỉ tính riêng từ đầu năm 2021, đã có ít nhất 7.800 người dùng có nguy cơ trở thành nạn nhân khi truy cập vào 44 trang web giả mạo này.
CERT-GIB xác định 240 miền được kết nối với nhau. Nguồn: Group-IB. Hệ thống phân tích mối đe dọa
Mặc dù số lượng người dùng truy cập các trang web giả mạo và bị tấn công không được ghi nhận chính xác, nhưng con số này được cho là sẽ không nhỏ – dựa trên việc xem xét quy mô và thời gian của các cuộc tấn công. gian lận, cũng như sự tinh vi của các phương pháp mà tội phạm mạng sử dụng.
Chiến dịch nhắm mục tiêu vào các tổ chức tài chính lớn của Việt Nam với mỗi trang web lừa đảo triển khai kế hoạch đánh cắp mã OTP và các chiến thuật truyền thông có mục tiêu, tùy chỉnh cao.
Sau đó, mặc dù các miền này hiện không hoạt động, các miền mới thường xuyên được thêm vào. CERT-GIB chỉ ra rằng lý do nằm ở chính thiết kế của cơ sở hạ tầng: các tên miền chỉ hoạt động trong một thời gian ngắn, khiến việc phát hiện và loại bỏ chúng trở nên phức tạp. Cũng vì lý do này, số lượng miền thực tế có thể cao hơn nhiều.
Các kỹ thuật lừa đảo tinh vi
Kế hoạch lừa đảo này sử dụng tin nhắn SMS, Telegram và WhatsApp giả mạo và thậm chí cả bình luận trên các trang Facebook của các công ty dịch vụ tài chính hợp pháp của Việt Nam để dụ nạn nhân vào các trang web lừa đảo. Tin nhắn lừa đảo được ngụy trang dưới dạng tin nhắn chính thức đến từ các ngân hàng, sàn giao dịch hoặc các công ty thương mại điện tử.
Một trong những tin nhắn SMS lừa đảo mà CERT-GIB truy xuất được thông báo nạn nhân đã được tặng quà và cần đăng nhập vào trang của ngân hàng để nhận quà, và cơ hội sẽ sớm có. hết hạn, từ đó tạo động lực thúc đẩy người dùng. Một trong những chiến thuật của các nhà vận động là sử dụng các URL rút gọn khiến người dùng bình thường không thể phân biệt được tính hợp pháp của URL.
Bằng cách nhấp vào các liên kết đó, nạn nhân được chuyển hướng đến một trang web giả mạo có logo của 27 ngân hàng và tổ chức tài chính có uy tín, dưới dạng trang độc lập hoặc dưới dạng tùy chọn thả xuống, theo đó nạn nhân có thể chọn ngân hàng mà họ đã đăng ký.
Tin nhắn do kẻ lừa đảo gửi
Khi nạn nhân chọn một ngân hàng từ danh sách, họ sẽ được chuyển hướng đến một trang lừa đảo khác, trông giống như trang hợp pháp của ngân hàng. Sau khi nạn nhân nhập tên người dùng và mật khẩu, họ sẽ được đưa đến trang web giả mạo tiếp theo yêu cầu cung cấp Mật khẩu dùng một lần (OTP). Tại thời điểm này, những kẻ lừa đảo sử dụng thông tin đăng nhập bị đánh cắp để đăng nhập vào tài khoản thực của nạn nhân.
Sau khi nạn nhân nhận được OTP từ ngân hàng của họ (theo yêu cầu của những kẻ lừa đảo) và nhập mã vào trang xác thực giả mạo, tội phạm mạng có thể truy cập đầy đủ vào tài khoản ngân hàng của họ. họ. Với thông tin này, họ cũng có thể bắt đầu các giao dịch bất hợp pháp.
Sau khi nạn nhân “đăng nhập” vào trang web giả mạo, họ sẽ nhận được thông báo “giao dịch vẫn đang được xử lý”.
Phương thức nhân bản này cho phép tội phạm mạng đánh cắp tiền từ tài khoản của nạn nhân và thu thập một lượng lớn dữ liệu cá nhân (chẳng hạn như tên, địa chỉ, số nhận dạng quốc gia hoặc công dân, số điện thoại, ngày sinh và nghề nghiệp). Thông tin này sẽ được mua và bán trong cộng đồng tội phạm mạng hoặc bán cho kẻ xấu để tấn công nạn nhân.
Người mua nên cẩn thận
Đến nay, chiến dịch này dường như chỉ giới hạn ở Việt Nam. CERT-GIB đang tiếp tục giám sát cơ sở hạ tầng cho các miền mới và các chiến thuật lừa đảo. Trong thời gian này, người dùng cần hết sức cảnh giác với những thông tin đến từ các tổ chức tài chính với nội dung hấp dẫn hoặc đe dọa. Điều quan trọng là phải chú ý đến miền của URL trong trình duyệt và đề phòng các trang web đáng ngờ hoặc liên tục điều hướng. Người dùng cũng nên tránh mua từ những người bán lại trái phép hoặc nhấp vào các liên kết cung cấp chiết khấu hấp dẫn, vì đó có thể là dấu hiệu lừa đảo. Điều cực kỳ quan trọng là phải xác nhận độ tin cậy của trang nguồn, xác định xem đó có phải là trang web chính thức của tổ chức tài chính của bạn hay không, xem đánh giá hoặc gọi cho bộ phận hỗ trợ khách hàng nếu bạn cảm thấy nghi ngờ. Bật xác thực hai yếu tố bất cứ khi nào có thể và thường xuyên thay đổi mật khẩu cũng là những thói quen tốt.
Tội phạm mạng lợi dụng việc thiếu các nỗ lực giám sát và ngăn chặn kịp thời để tạo ra các trang web giả mạo. Các công ty đã bị những kẻ lừa đảo mạo danh nên tiến hành giám sát thường xuyên để phát hiện việc sử dụng sai tên thương hiệu hợp pháp của họ bởi các trang web giả mạo. Bản đồ và các thuộc tính thuộc tính của các miền mới đăng ký để xác định các mẫu, do đó cải thiện chất lượng phát hiện và phạm vi bao phủ. Sử dụng hệ thống Bảo vệ Rủi ro Kỹ thuật số dựa trên máy học tự động được cập nhật thường xuyên để cải thiện nền tảng kiến thức về cơ sở hạ tầng, chiến thuật và công cụ của tội phạm mạng.
Trên các thị trường ngầm, Group-IB đã phát hiện ra các đề nghị bán thông tin từ các công dân Việt Nam được thu thập từ các chiến dịch lừa đảo. Mặc dù vẫn chưa biết liệu thông tin có xác thực và có nguồn gốc trực tiếp từ chiến dịch lừa đảo này hay không, các nhà phân tích của CERT-GIB cũng đã bắt gặp các trường hợp dữ liệu về chủ tài khoản được bán trực tiếp. các ngân hàng tại Việt Nam.
Cập nhật tin tức ngành tại: https://blog.hostvn.net/tin-tuc
Mọi thắc mắc vui lòng để lại bên dưới phần bình luận hoặc liên hệ với HOSTVN, chúng tôi sẵn sàng hỗ trợ bạn ngay lập tức!
