Chien dich tien cong mang tinh vi tai Viet Nam

Chiến dịch tiến công mạng tinh vi tại Việt Nam, ai cũng có thể “dính bẫy”-Công nghệ thông tin



Chiến dịch này mạo danh 27 tổ chức tài chính quen thuộc của Việt Nam, hiện vẫn đang duy trì hoạt động.


Chiến dịch tiến công chưa từng có tiền lệ tại Việt Nam

đơn vị an ninh mạng Group-IB (Singapore) vừa thông tin việc phát hiện một vụ tiến công lừa đảo mà đối với họ là chưa từng có tiền lệ tại Việt Nam. Chiến dịch này mạo danh 27 tổ chức tài chính quen thuộc của Việt Nam, hiện vẫn đang duy trì hoạt động. Theo đó, những tên tội phạm mạng tìm cách thu thập chi tiết thông tin cá nhân của các khách hàng, thậm chí là đánh cắp tài khoản nhà băng của họ, sử dụng các kỹ thuật cho phép chúng vượt qua bước xác thực OTP.

Đội Ứng cứu máy tính nguy cấp của Group-IB (CERT-GIB) đã xác định được 240 tên miền liên kết nằm trong cơ sở hạ tầng của chiến dịch lừa đảo. Khi phát hiện có hoạt động bất thường nói trên, CERT-GIB đã thông tin ngay cho Trung tâm Ứng cứu nguy cấp không gian mạng Việt Nam (VNCERT).

Tất cả 240 tên miền đã bị chặn sau nỗ lực của CERT-GIB và chính quyền địa phương. Tuy nhiên, các tên miền mới vẫn liên tục xuất hiện. Hiện, Group-IB đang tiếp tục hợp tác với các đơn vị đăng ký tên miền và các cơ quan chức năng để gỡ bỏ các tên miền mới khi chúng được xác định.

Theo Group-IB, chiến dịch nói trên được khởi động vào tháng 5/2019 với việc kẻ gian đăng ký tên miền đầu tiên. Tên miền lừa đảo mới nhất đã được kích hoạt vào ngày 1/6/2022. Nhờ công cụ phân tách Đồ thị mạng của Group-IB, CERT-GIB đã có thân xác định 240 tên miền được kết nối với nhau:

Chiến dịch tấn công mạng tinh vi tại Việt Nam, ai cũng có thể "dính bẫy" - 1

Cơ sở hạ tầng của những kẻ lừa đảo. (Nguồn: Hệ thống phân tách mối đe dọa của Group-IB)

mặc dầu các tên miền này hiện không hoạt động, nhưng các tên miền mới vẫn thường xuyên được bổ sung. CERT-GIB chỉ ra nguyên nhân nằm ở chính thiết kế của hạ tầng: Các tên miền chỉ hoạt động trong thời gian ngắn, khiến việc phát hiện và gỡ bỏ chúng trở nên phức tạp. Cũng vì lý do này, số lượng tên miền thực tế có thể cao hơn rất nhiều.

CERT-GIB có khả năng xác định số lượng người dùng truy cập vào 44 trong số 240 trang web được ghi nhận, nơi các bộ đếm đã được cài đặt. Chỉ tính từ đầu năm 2021, đã có chí ít 7.800 người dùng có nguy cơ trở nên nạn nhân khi truy cập vào 44 trang web giả mạo này. mặc dầu số lượng người dùng truy cập vào các website giả mạo và bị tiến công chẳng thể ghi nhận chính xác tuyệt đối, nhưng CERT-GIB dự đoán con số này là không hề nhỏ.

Kỹ thuật lừa đảo tinh vi

Kế hoạch lừa đảo này sử dụng tin nhắn SMS, Telegram và WhatsApp giả mạo, và thậm chí cả bình luận trên các trang Facebook của các đơn vị dịch vụ tài chính hợp pháp của Việt Nam để lôi kéo nạn nhân vào các trang lừa đảo. Các tin nhắn lừa đảo được ngụy trang giống như các thông tin chính thức đến từ các nhà băng, sàn giao dịch hoặc đơn vị thương nghiệp điện tử.

Một trong những tin nhắn SMS lừa đảo được CERT-GIB truy xuất có nội dung thông tin cho nạn nhân rằng: Họ đã được tặng quà và cần đăng nhập vào trang của nhà băng để nhận quà, đồng thời cho biết thời cơ này sẽ sớm hết hạn để tạo động lực thôi thúc người dùng. Một trong những chiến thuật của những kẻ điều hành chiến dịch là sử dụng các URL rút gọn khiến người dùng thường ngày chẳng thể phân biệt được tính hợp pháp của URL.

Chiến dịch tấn công mạng tinh vi tại Việt Nam, ai cũng có thể "dính bẫy" - 2

Tin nhắn được gửi bởi kẻ lừa đảo.

Khi nhấp vào các liên kết đó, nạn nhân sẽ được chuyển tiếp đến một trang web giả mạo có logo của 27 nhà băng và tổ chức tài chính uy tín dưới dạng một trang độc lập hoặc dưới dạng tùy chọn thả xuống, sau đó nạn nhân có thể chọn nhà băng mà họ đã đăng ký.

Khi nạn nhân chọn một nhà băng từ danh sách, họ sẽ được chuyển hướng đến một trang lừa đảo khác, trông giống như trang hợp pháp của nhà băng. Sau khi nạn nhân nhập tên người dùng và mật khẩu, họ sẽ được đưa đến trang web giả mạo tiếp theo yêu cầu cung cấp mã bảo mật dùng một lần (OTP).

Tại thời khắc này, những kẻ lừa đảo sử dụng thông tin đăng nhập đã bị đánh cắp để đăng nhập vào tài khoản thực của nạn nhân. Sau khi nạn nhân nhận được mã OTP từ nhà băng của họ (theo yêu cầu của những kẻ lừa đảo) và nhập mã vào trang xác thực giả mạo, những tên tội phạm mạng có thể toàn quyền truy cập vào tài khoản nhà băng của họ. Với những thông tin này, chúng cũng có thể khởi đầu các giao dịch phạm pháp. Chiến dịch tấn công mạng tinh vi tại Việt Nam, ai cũng có thể "dính bẫy" - 3

Sau khi nạn nhân “đăng nhập” vào trang web giả mạo, họ sẽ nhận được một thông tin cho biết “giao dịch vẫn đang được xử lý”.

cách thức trùng lặp này cho phép những tên tội phạm mạng đánh cắp tiền từ tài khoản của nạn nhân và thu thập một lượng lớn dữ liệu cá nhân (tên, địa chỉ, số chứng minh quần chúng hoặc căn cước công dân, số điện thoại, ngày sinh và nghề nghiệp). Những thông tin này sẽ được mua đi bán lại trong cộng đồng tội phạm mạng hoặc được bán cho những kẻ xấu, phục vụ các cuộc tiến công tiếp theo nhắm vào nạn nhân.

Trên các thị trường ngầm, Group-IB phát hiện những lời chào bán thông tin của công dân Việt Nam được thu thập từ các chiến dịch lừa đảo. mặc dầu vẫn chưa biết liệu thông tin có xác thực và được lấy trực tiếp từ chiến dịch lừa đảo này hay không, nhưng các nhà phân tách của CERT-GIB đã bắt gặp các trường hợp rao bán trực tiếp dữ liệu chủ tài khoản nhà băng ở Việt Nam.

Nguồn: http://danviet.vn/chien-dich-tan-cong-mang-tinh-vi-tai-viet-nam-ai-cung-co-the-dinh-bay-50202211…Nguồn: http://danviet.vn/chien-dich-tan-cong-mang-tinh-vi-tai-viet-nam-ai-cung-co-the-dinh-bay-50202211675924695.htm

Phần mềm độc hại đánh cắp mật khẩu, tài khoản ngân hàng nhờ... tấn công MS Word

Một loại phần mềm độc hại hiểm nguy có tên SVCReady vừa bị “bắt quả tang” khi đang lấy thông tin hệ thống để gửi ra ngoài.


Theo Ngọc Phạm (Dân Việt)

Click: Xem thêm

Trả lời