Sự nguy hiểm của những tin nhắn giả mạo nhằm đánh cắp tài khoản ngân hàng tại Việt Nam: Tên miền lừa đảo mọc lên liên tục như ‘cỏ dại sau mưa’, thủ đoạn cũ nhưng hết sức lợi hại
Group-IB vừa phát hiện một vụ tấn công lừa đảo chưa từng có tiền lệ tại Việt Nam. Chiến dịch mạo danh 27 tổ chức tài chính quen thuộc của Việt Nam hiện vẫn đang duy trì hoạt động. Đã phát hiện 240 tên miền liên kết trong hệ thống lừa đảo và chỉ tính từ đầu năm 2021, có ít nhất 7.800 người dùng có nguy cơ trở thành nạn nhân khi truy cập vào 44 trang web giả mạo này. Vậy nên, hãy cảnh giác với những tin nhắn có nội dung hối thúc hoặc đe dọa và kiểm tra kỹ đường link…
Group-IB hoạt động trong lĩnh vực an ninh mạng, xác định gian lận trực tuyến, điều tra tội phạm công nghệ cao và bảo vệ quyền sở hữu trí tuệ, có trụ sở chính tại Singapore. Các trung tâm nghiên cứu và tình báo mạng về mối đe dọa của công ty được đặt tại Trung Đông (Dubai), châu Á – Thái Bình Dương (Singapore), châu Âu (Amsterdam) và Nga (Moscow).
Họ cũng là một đối tác tích cực trong các cuộc điều tra toàn cầu do các tổ chức thực thi pháp luật quốc tế như Europol và INTERPOL dẫn đầu. Group-IB cũng là thành viên của Nhóm tư vấn về An ninh mạng của Trung tâm tội phạm mạng châu Âu Europol (EC3), được thành lập để thúc đẩy sự hợp tác chặt chẽ hơn giữa Europol và các đối tác thực thi phi pháp luật hàng đầu của Europol.
Đội Ứng cứu máy tính khẩn cấp của Group-IB (CERT-GIB) đã xác định được 240 tên miền liên kết nằm trong cơ sở hạ tầng của chiến dịch lừa đảo. Khi phát hiện có hoạt động bất thường, CERT-GIB đã thông báo ngay cho Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT). Tất cả 240 tên miền đã bị chặn sau nỗ lực của CERT-GIB và chính quyền địa phương. Tuy nhiên, các tên miền mới vẫn thường xuyên xuất hiện.
Vậy nên, Group-IB vẫn đang tiếp tục hợp tác với các công ty đăng ký tên miền và các cơ quan chức năng khác để gỡ bỏ các tên miền mới khi chúng được xác định, ngăn chặn nguy cơ gia tăng tổn thất tài chính cho người dùng và giảm thiểu thiệt hại đến danh tiếng của các tổ chức tài chính có liên quan.
THỦ ĐOẠN CŨ NHƯNG LỢI HẠI
Chiến dịch lừa đảo nói trên được khởi động vào tháng 5/2019, với việc đăng ký tên miền đầu tiên. Tên miền lừa đảo mới nhất đã được kích hoạt vào ngày 1/6/2022. Nhờ công cụ Phân tích Đồ thị mạng của Group-IB, CERT-GIB đã có thể xác định 240 tên miền được kết nối với nhau.
CERT-GIB có khả năng xác định số lượng người dùng truy cập vào 44 trong số 240 trang web được ghi nhận, nơi các bộ đếm đã được cài đặt. Chỉ tính từ đầu năm 2021, đã có ít nhất 7.800 người dùng có nguy cơ trở thành nạn nhân khi truy cập vào 44 trang web giả mạo này.
Cơ sở hạ tầng của những kẻ lừa đảo. Nguồn: Hệ thống phân tích mối đe dọa của Group-IB
Mặc dù số lượng người dùng truy cập vào các website giả mạo và bị tấn công không được ghi nhận chính xác, tuy nhiên, dự đoán con số này là không hề nhỏ - dựa trên việc cân nhắc quy mô và thời gian diễn ra các hành vi gian lận, cũng như mức độ tinh vi của các phương thức được tội phạm mạng áp dụng.
Chiến dịch này nhắm đến các tổ chức tài chính lớn của Việt Nam với mỗi trang web lừa đảo, triển khai một kế hoạch đánh cắp mã OTP cùng các chiến thuật truyền thông có mức độ tùy biến cao, nhắm trúng đích.
Sau đó, mặc dù các tên miền này hiện không hoạt động, song các tên miền mới vẫn thường xuyên được bổ sung. CERT-GIB chỉ ra nguyên nhân nằm ở chính thiết kế của hạ tầng: các tên miền chỉ hoạt động trong thời gian ngắn, khiến việc phát hiện và gỡ bỏ chúng trở nên phức tạp. Cũng vì lý do này, số lượng tên miền thực tế có thể cao hơn rất nhiều.
KỸ THUẬT LỪA ĐẢO TINH VI
Kế hoạch lừa đảo này sử dụng tin nhắn SMS, Telegram và WhatsApp giả mạo và thậm chí cả bình luận trên các trang Facebook của các công ty dịch vụ tài chính hợp pháp của Việt Nam để lôi kéo nạn nhân vào các trang lừa đảo. Các tin nhắn lừa đảo được ngụy trang giống như các thông tin chính thức đến từ các ngân hàng, sàn giao dịch hoặc công ty thương mại điện tử.
Một trong những tin nhắn SMS lừa đảo được CERT-GIB truy xuất có nội dung thông báo cho nạn nhân rằng họ đã được tặng quà và cần đăng nhập vào trang của ngân hàng để nhận quà, đồng thời cho biết cơ hội này sẽ sớm hết hạn, từ đó tạo động lực thôi thúc người dùng. Một trong những chiến thuật của những kẻ điều hành chiến dịch là sử dụng các URL rút gọn khiến người dùng bình thường không thể phân biệt được tính hợp pháp của URL.
Khi nhấp vào các liên kết đó, nạn nhân sẽ được chuyển tiếp đến một trang web giả mạo có logo của 27 ngân hàng và tổ chức tài chính uy tín, dưới dạng một trang độc lập hoặc dưới dạng tùy chọn thả xuống, theo đó nạn nhân có thể chọn ngân hàng mà họ đã đăng ký.
Tin nhắn được gửi bởi kẻ lừa đảo
Khi nạn nhân chọn một ngân hàng từ danh sách, họ sẽ được chuyển hướng đến một trang lừa đảo khác, trông giống như trang hợp pháp của ngân hàng. Sau khi nạn nhân nhập tên người dùng và mật khẩu, họ sẽ được đưa đến trang web giả mạo tiếp theo yêu cầu cung cấp Mật khẩu dùng một lần (OTP). Tại thời điểm này, những kẻ lừa đảo sử dụng thông tin đăng nhập đã bị đánh cắp để đăng nhập vào tài khoản thực của nạn nhân.
Sau khi nạn nhân nhận được mã OTP từ ngân hàng của họ (theo yêu cầu của những kẻ lừa đảo) và nhập mã vào trang xác thực giả mạo, những tên tội phạm mạng có thể toàn quyền truy cập vào tài khoản ngân hàng của họ. Với những thông tin này, chúng cũng có thể bắt đầu các giao dịch bất hợp pháp.
Sau khi nạn nhân "đăng nhập" vào trang web giả mạo, họ sẽ nhận được một thông báo cho biết "giao dịch vẫn đang được xử lý".
Phương pháp trùng lặp này cho phép những tên tội phạm mạng đánh cắp tiền từ tài khoản của nạn nhân và thu thập một lượng lớn dữ liệu cá nhân (như tên, địa chỉ, số chứng minh nhân dân hoặc căn cước công dân, số điện thoại, ngày sinh và nghề nghiệp). Những thông tin này sẽ được mua đi bán lại trong cộng đồng tội phạm mạng hoặc được bán cho những kẻ xấu, phục vụ các cuộc tấn công tiếp theo nhắm vào nạn nhân.
Trên các thị trường ngầm, Group-IB phát hiện những lời chào bán thông tin của công dân Việt Nam được thu thập từ các chiến dịch lừa đảo. Mặc dù vẫn chưa biết liệu thông tin có xác thực và được lấy trực tiếp từ chiến dịch lừa đảo này hay không, các nhà phân tích của CERT-GIB cũng đã bắt gặp các trường hợp rao bán trực tiếp dữ liệu về chủ tài khoản ngân hàng ở Việt Nam.
NGƯỜI MUA HÀNG NÊN CẨN TRỌNG
Đến nay, chiến dịch này dường như chỉ giới hạn ở Việt Nam. CERT-GIB vẫn đang tiếp tục giám sát cơ sở hạ tầng cho các tên miền mới cũng như các chiến thuật lừa đảo. Trong thời gian này, người dùng cần hết sức cảnh giác với những thông tin đến từ các tổ chức tài chính có nội dung mang tính hối thúc hoặc đe dọa. Điều quan trọng là cần chú ý đến tên miền của URL trong trình duyệt và cảnh giác với các trang web khả nghi, hoặc liên tục điều hướng.
Người dùng cũng nên tránh mua hàng từ những đại lý trái phép hoặc nhấp vào các liên kết đưa ra mức chiết khấu hấp dẫn, bởi đó có thể là dấu hiệu lừa đảo. Điều tối quan trọng là phải xác nhận độ tin cậy của trang nguồn, xác định xem đó có phải là trang web chính thức của tổ chức tài chính của bạn hay không, xem đánh giá, hoặc gọi cho bộ phận hỗ trợ khách hàng nếu bạn cảm thấy nghi ngờ. Bật xác thực hai yếu tố bất cứ khi nào có thể và thường xuyên thay đổi mật khẩu cũng là những thói quen tốt.
Tội phạm mạng tận dụng sơ hở từ sự thiếu hụt những nỗ lực giám sát và ngăn chặn kịp thời nhằm tạo ra các trang web giả mạo. Các công ty từng bị những kẻ lừa đảo mạo danh nên thực hiện giám sát thường xuyên để phát hiện việc các trang giả mạo sử dụng sai tên thương hiệu hợp pháp của họ. Lên bản đồ và ghi nhận thuộc tính của các tên miền mới được đăng ký để xác định mô hình mẫu cũng là một giải pháp, từ đó giúp cải thiện chất lượng và phạm vi phát hiện.
Sử dụng hệ thống Bảo vệ rủi ro kỹ thuật số dựa trên máy học tự động được cập nhật thường xuyên để cải thiện nền tảng kiến thức về cơ sở hạ tầng, chiến thuật và công cụ của tội phạm mạng.
