Cảnh báo các hình thức tấn công lừa đảo có chủ đích

Cảnh báo các hình thức tấn công lừa đảo có chủ đích

I. Tổng quan

1.      Tổng quan tình hình An ninh mạng 6 tháng cuối năm 2021:

Theo thống kê của dịch vụ Viettel Threat Intelligence (VCS-Threat Intelligence), trong năm 2021, ghi nhận hơn 1900 trang web phishing lừa đảo và hơn 1100 trang web giả mạo, sử dụng thương hiệu của các tổ chức lớn. Con số này lớn gấp 3 lần so với năm 2020. Những chiến dịch tấn công ngày càng tinh vi, khi áp dụng nhiều chiêu trò lừa đảo mới, kỹ thuật mới, gây khó cho việc theo dõi và phát hiện.

Thống kê số lượng tấn công phishing nhắm vào khách hàng của VCS-Threat Intelligence

Ngành tài chính ngân hàng vẫn là mục tiêu hàng đầu của các nhóm lừa đảo, chiếm 48% tổng số các cuộc tấn công phishing.

Phân bổ tỉ lệ tấn công phishing theo ngành

Dự báo thời điểm cuối năm, giáp tết Nguyên đán 2022, số lượng các cuộc tấn công lừa đảo sử dụng công nghệ cao không có dấu hiệu giảm và sẽ tiếp tục tăng mạnh. Các tổ chức doanh nghiệp, người dân cần nêu cao cảnh giác, tiếp tục nâng cao nhận thức đề phòng các hình thức tấn công lừa đảo, chiếm đoạt tài sản.

2.      Một số trường hợp ghi nhận giả mạo, lừa đảo, chiếm đoạt tài sản trong thực tế.

Một số trường lừa đảo, chiếm đoạt tài sản trong thực tế

Bên cạnh hình thức truyền thống như gửi email, tin nhắn có chứa kèm đường link lừa đảo, VCS-Threat Intelligence ghi nhận các cuộc tấn công giả mạo lực lượng Công an, viện kiểm sát, tòa án, … với số tiền chiếm đoạt rất lớn.

Các cuộc tấn công lừa đảo gây tổn lớn với tài sản của người dùng, bên cạnh đó làm ảnh hưởng nghiêm trọngtới uy tín của các tổ chức doanh nghiệp, ngân hàng, tổ chức tài chính, cơ quan nhà nước.

Trong bài viết này, VCS-Threat Intelligence sẽ nêu ra các cách nhận dạng những hình thức tấn công lừa đảo và các biện pháp khuyến nghị, giúp người dùng tránh trở thành nạn nhân của các nhóm lừa đảo.

II. Cách thức tấn công

VCS-Threat Intelligence ghi nhận và theo dõi những chiến dịch tấn công lừa đảo phishing đầu từ năm 2018, qua từng thời kì các nhóm lừa đảo sử dụng nhiều chiêu thức, thủ đoạn, phương pháp kỹ thuật cũ và mới khác nhau. Nhưng điểm chung đều lợi dụng tâm lý nhẹ dạ cả tin, thiếu thông tin kiểm chứng của người bị hại để nhằm mục đích lừa đảo, lấy mã OTP của các tài khoản ngân hàng, ví điện tử, … để thực hiện hành vi chiếm đoạt tài sản.

VCS-Threat Intelligence đưa ra số kịch bản phổ biến được các nhóm đối tượng sử dụng trong thời gian gần đây.

- Kịch bản 1: Lừa đảo thông qua các hình thức chuyển tiền nước ngoài (western union, moneygram, …)

- Kịch bản 2: Lừa đảo mạo danh cán bộ ngân hàng, thông qua tin nhắn gửi từ các ngân hàng, tổ chức tài chính, điển hình là cách thức tấn công giả mạo tin nhắn định danh (SMS Brand Name)

- Kịch bản 3: Lừa đảo mạo danh Cảnh sát giao thông gửi thông báo phạt nguội, thông báo phạt tiền vi phạm giao thông

- Kịch bản 4: Lừa đảo mạo danh cán bộ cơ quan thực thi pháp luật, hù dọa khởi tố, bắt giam

- Kịch bản 5: Thủ đoạn mới, lừa đảo, chiếm đoạt sim số điện thoại để lấy mã OTP gửi về điện thoại.

Các bước của cuộc tấn công

Các kịch bản lừa đảo ngày càng tinh vi, thay vì gửi hàng loạt như trước, các nhóm lừa đảo có xu hướng tấn công có chủ đích trong thời gian gần đây. Cách thức tấn công chia thành 4 bước như sau:

1.      Chuẩn bị - Thu thập thông tin:

Trong bước này, nhóm lừa đảo sẽ thu thập thông tin cá nhân của nạn nhân và chuẩn bị các công cụ, trang web phishing giả mạo, hoặc ứng dụng độc hại để sẵn sàng cho việc tấn công.

Thu thập thông tin cá nhân là quá trình sử dụng các hình thức gián tiếp hoặc trực tiếp để thu thập thông tin các nạn nhân. Các thông tin này bao gồm: Họ tên, ngày tháng năm sinh, quê quán, số CMND/CCCD, số điện thoại, thông tin liên quan đến tài khoản ngân hàng như số tài khoản, số dư trong tài khoản, …

· Thu thập gián tiếp

Thu thập gián tiếp là phương thức nhóm lừa đảo tìm kiếm, thu thập, mua bán thông tin của người dùng trên không gian mạng.

Việc mua bán dữ liệu cá nhân đang diễn ra khá phổ biến hiện nay. Chỉ với vài thao tác đơn giản, chúng ta có thể tìm thấy rất nhiều thông tin cá nhân người dùng được rao bán trên các diễn đàn, hội nhóm trên không gian mạng.

Dữ liệu cá nhân được rao bán trên các diễn đàn
Dữ liệu cá nhân được VCS-Threat Intelligence ghi nhận

Ngoài việc mua dữ liệu, nhóm tấn công còn có thể thu thập thông tin từ logs của các loại mã độc đánh cắp thông tin phổ biến hiện nay như Redline Stealer, Oski Stealer, …

Các hội nhóm kín trên KGM rao bán dữ liệu

Trong quá trình giám sát trên không gian mạng, VCS-Threat Intelligence phát hiện và thu thập một lượng lớn dữ liệu dạng logs, bao gồm tài khoản đăng nhập, mật khẩu để truy cập vào các hệ thống thư điện tử, tài khoản ngân hàng, …

Tài khoản cá nhân liên quan đến Khách hàng được VCS-Threat Intelligence ghi nhận

Sau khi có được lượng dữ liệu, các nhóm lừa đảo tiến hành lọc dữ liệu, xác định nhóm đối tượng tiềm năng để tiến hành bước tiếp theo của cuộc tấn công.

· Thu thập trực tiếp

Thu thập trực tiếp, phương thức này thường được nhóm lừa đảo sử dụng trong các chiến dịch tấn công có chủ đích. Nhóm tấn công thường tương tác trực tiếp với nạn nhân để lấy thông tin cá nhân bằng một số hình thức sau:

- Gọi điện, thông báo nạn nhân với nội dung chương trình trúng thưởng xe máy hoặc các vật đắt tiền, từ đó yêu nạn nhân cung cấp các thông tin để có thể nhận thưởng.

- Gọi điện, giả mạo là cán bộ thuộc lực lượng Công an, thông báo nạn nhân vi phạm Luật Giao thông đường bộ nhưng chưa đến cơ quan chức năng xử lý, yêu cầu nạn nhân cung cấp thông tin cá nhân.

-  Xây dựng các trang web với nội dung đăng ký vay vốn, nhận quà tặng, … với các form có sẵn để thu thập thông tin cá nhân

Ví dụ form thu thập thông tin cá nhân

Kết luận: Khi có những thông tin cá nhân của nạn nhân, nhóm tấn công có cơ sở để tạo dựng niềm tin, phục vụ cho các bước tiếp tấn công sau đó.

Bên cạnh việc thu thập thông tin cá nhân của các nạn nhân, nhóm lừa đảo cũng chuẩn bị các tài khoản mạng xã hội ảo (facebook, zalo, telegram, …), số điện thoại, các trang web phishing để làm tiền đề cho các bước tiếp theo của cuộc tấn công.

Trang web phishing được giả mạo giống với các trang giao dịch trực tuyến, smartbanking của các ngân hàng, tổ chức tài chính, với mục đích thu thập thông tin đăng nhập và lấy thông tin mã OTP khi người dùng nhập vào.

https://s3-ap-southeast-1.amazonaws.com/viettelcybersecurity.com/2021/06/6F64D4F8-A2E4-4A3C-862F-9EA71E19E8D1.JPEG
Giao diện trang web phishing lừa đảo ngân hàng

Trong phần sau, VCS-Threat Intelligence sẽ nêu ra một số thủ đoạn các đối tượng sử dụng để thực hiện lừa đảo và một số điểm đặc biệt của hạ tầng các chiến dịch tấn công.

2.      Lừa đảo nạn nhân

Đây là bước quan trọng nhất trong quá trình tấn công, ở bước này, nhóm lừa đảo sử dụng nhiều kỹ thuật Social Engineering hoặc có thể cài đặt các công cụ, mã độc vào điện thoại nạn nhân, với mục đích lấy được mã OTP, phục vụ cho mục đích truy cập trái phép vào tài khoản ngân hàng, ví điện tử, … để chiếm đoạt tài sản.

Thủ đoạn của nhóm lừa đảo lợi dụng sự nhẹ dạ cả tin, tâm lý hoang mang, lo sợ của nạn nhân, các hình thức lừa đảo ngày càng tinh vi, bài bản hơn. Các thông tin cá nhân của nạn nhân được thu thập từ trước được dùng để tạo niềm tin cho nạn nhân. VCS-Threat Intelligence thông tin một số hình thức lừa đảo được ghi nhận như sau:

  • Lừa đảo thông qua giả mạo các dịch vụ chuyển tiền quốc tế (Western Union, MoneyGram, Seven Bank, …)

Đây là hình thức lừa đảo xuất hiện từ lâu, tuy cũ nhưng vẫn được các nhóm lừa đảo sử dụng nhiều vì sự đơn giản của nó. Mạng xã hội là con đường nhanh nhất để tiếp cận các nạn nhân. Nạn nhân được nhắm đến thường là những người kinh doanh, bán hàng online trên facebook. Các đối tượng lừa đảo giả làm người mua hàng cho người thân, bạn bè, nhưng do ở nước ngoài nên không thể chuyển tiền trực tiếp cho người bán, cần chuyển qua các dịch vụ chuyển tiền quốc tế. Các đối tượng giả mạo hóa đơn, chứng từ của dịch vụ chuyển tuyển, sau đó yêu cầu nạn nhân truy cập vào trang web phishing, điền thông tin để nhận được tiền.

Các trường hợp lừa đảo trên facebook
  • Lừa đảo giả mạo, tự xưng nhân viên ngân hàng, tổ chức tài chính, kết hợp với giả mạo tin nhắn định danh (SMS Brand Name).
Minh họa sơ bộ hình thức tấn công

Hình thức này xuất hiện từ khoảng cuối năm 2020. Tin nhắn định danh được nhiều tổ chức ngân hàng, thương hiệu lớn sử dụng với mục đích dễ dàng thông tin tới khách hàng cũng như để dịnh danh. Các tin nhắn này không hiển thị số thuê bao mà chỉ hiển thị tên của thương hiệu đã đăng kí và được xét duyệt từ nhà mạng. Lợi dụng điều này, nhóm lừa đảo tiến hành gửi các tin nhắn giả mạo để đánh lừa người dùng đây là tin nhắn từ ngân hàng, tổ chức tài chính.

Nhóm lừa đảo thực hiện cuộc gọi giả mạo cán bộ làm việc trong ngân hàng, tổ chức tài chính. Các đối tượng dùng số điện thoại cá nhân, gọi để hỗ trợ tra soát chuyển tiền nhầm, xác thực thông tin, yêu cầu mở khóa tài khoản, … Sau đó, tin nhắn SMS giả mạo đính kèm đường link sẽ được gửi tới nạn nhân, đồng thời các đối tượng hướng dẫn nạn nhân cung cấp thông tin vào đường link dẫn tới trang web phising giả mạo, tương tự giao diện của dịch vụ ngân hàng điện tử. Nạn nhân được yêu cầu nhập thông tin đăng nhập, mật khẩu, mã OTP, thông tin thẻ, từ đó nhóm lừa đảo có thể chiếm đoạt tiền từ tài khoản của nạn nhân.

Một số tin nhắn giả mạo thương hiệu
  • Lừa đảo giả mạo cán bộ cơ quan thực thi pháp luật (công an, viện kiểm sát, tòa án, …) để hù dọa khởi tố, bắt giam

Nhóm lừa đảo gọi điện thoại giả danh cán bộ cơ quan cảnh sát điều tra, viện kiểm sát, tòa án, … đang điều tra phá án ma túy, đường dây rửa tiền xuyên quốc gia. Để tin tưởng, đối tượng đọc cụ thể thông tin cá nhân của nạn nhân như họ tên, số CMND/CCCD, địa chỉ, tài khoản ngân hàng, … Đồng thời hù dọa hành vi phạm tội có thể bị tạm giam để điều tra Sau đó yêu cầu nạn nhân chuyển tiền vào tài khoản của đối tượng để phục vụ công tác điều tra, xác minh, không bị tạm giam. Các nạn nhân dù biết mình không liên quan đến vụ án, nhưng do mất bình tĩnh, không suy nghĩ thấu đáo sự việc, lo sợ bị bắt tạm giam nên chuyển tiền vào tài khoản của đối tượng. Nhận được tiền, đối tượng cắt đứt liên lạc với nạn nhân.

Trong nhiều trường hợp, đối tượng còn gửi tin nhắn SMS, thông qua mạng xã hội như Facebook, Zalo để gửi cho nạn nhân các văn bản giả mạo như “Lệnh bắt bị can để tạm giam”, “Giấy triệu tập”, … gây tâm lý hoang mang lo sợ. Trường hợp khác, đối tượng hướng dẫn nạn nhân cài đặt ứng dụng giả mạo, nhưng thực chất là ứng dụng độc hại, có thể chiếm quyền máy điện thoại của nạn nhân để thực hiện các hành vi trộm cắp mã OTP.

Giả mạo thông báo của Bộ công an
Ví dụ website/ứng dụng giả mạo
  • Lừa đảo giả danh Cảnh sát giao thông gửi thông báo vi phạm

Ở hình thức này, nhóm lừa đảo lợi dụng công tác xử lý vi phạm qua hình ảnh để lừa nạn nhân. Lợi dụng việc phạt nguội là người vi phạm giao thông không bị xử lý ngay, mà trải qua các quy trình như: Khi vi phạm giao thông, camera giám sát ghi lại và gửi về trung tâm xử lý phân tích để xác định lỗi vi phạm. Sau đó, CSGT sẽ gửi thông báo đến chủ phương tiện. Sau 15 ngày mà chủ phương tiện chưa đến làm việc, CSGT sẽ phối hợp với công an địa phương để gửi lại thông báo tới chủ phương tiện. Nhóm lừa đảo lợi dụng khoảng thời gian CSGT hoàn tất việc thực hiện quy trình xử phạt trên để tạo dựng thông tin giả mạo gửi tới các chủ phương tiện để nhằm mục đích lừa đảo đóng tiền phạt.

Các đối tượng gọi điện cho nạn nhân, thông báo có liên quan đến vụ việc điều khiển phương tiện giao thông gây tai nạn rồi bỏ trốn, hoặc vi phạm Luật Giao thông đường bộ, đồng thời đối tượng đọc chính xác các thông tin cá nhân của nạn nhân, hướng dẫn cách chuyển khoản để đóng tiền phạt.

Các đầu số gọi đến từ nước ngoài, khi nạn nhân gọi lại thường không liên lạc được.

Các đầu số lừa đảo gọi điện cho nạn nhân
  • Lừa đảo chiếm đoạt sim số điện thoại

Đây là một trong những chiêu thức lừa đảo mới xuất hiện gần đây của nhóm lừa đảo sử dụng công nghệ cao, đó là chiếm đoạt quyền kiểm soát sim của chủ thuê bao di động.

Sơ đồ hình thức tấn công chiếm đoạt SIM

Hầu hết các nhà mạng sẽ cung cấp một dịch vụ giúp người dùng có thể dễ dàng hoán đổi số điện thoại thẻ SIM này sang thẻ SIM khác. Điều này rất hữu ích trong trường hợp điện thoại bị mất, người dùng muốn chuyển đổi mạng di động hoặc thẻ SIM bị hư hỏng.

Với thông tin cá nhân thu thập được từ trước, đối tượng thực hiện đăng ký thay đổi sim số điện thoại với nhà mạng. Sau đó, đối tượng mạo danh nhân viên nhà mạng, gọi điện thoại giới thiệu chương trình “hỗ trợ chuyển đổi sim từ 3G lên 4G”, hoặc đổi sim để nhận ưu đãi, hối thúc nạn nhân nâng cấp lên sim 4G nếu không sẽ bị khóa số và không thể sử dụng dịch vụ của nhà mạng. Đồng thời, để nạn nhân tin tưởng, đối tượng đọc số CCCD, họ tên, địa chỉ chính xác của nạn nhân. Kết hợp với việc nhận được mã OTP được gửi từ của các nhà mạng, khiến nạn nhân sập bẫy.

Sau đó, đối tượng hướng dẫn nạn nhân soạn tin theo cú pháp, cung cấp mã OTP cho đối tượng. Khi thực hiện thao tác soạn và gửi tin nhắn, sim số điện thoại của nạn nhân sẽ bị đánh cắp, lúc này, điện thoại di động của nạn nhân mất kết nối dữ liệu mạng và nạn nhận không thể nhận các cuộc gọi điện thoại hoặc tin nhắn SMS. Điều này là do số di động đã được chuyển sang một thẻ SIM khác.

3.      Chiếm đoạt tài sản nạn nhân

Sau khi lừa nạn nhân đăng nhập, cung cấp thông tin tài khoản ngân hàng, ví điện tử thông qua các trang web phishing, các đối tượng có thể truy cập vào tài khoản ngân hàng của nạn nhân và thực hiện các lệnh chuyển tiền tới tài khoản của đối tượng. Thông thường, đối tượng yêu cầu nạn nhân cung cấp 2 mã OTP, một mã phục vụ bước đăng nhập, một mã phục vụ bước chuyển tiền.

Đối với các hình thức lừa đảo mới, ví dụ như lừa đảo chiếm đoạt sim số điện thoại, khi có quyền kiểm soát sim của nạn nhân, đối tượng lợi dụng tính năng quên mật khẩu của các dịch vụ email, tài khoản ngân hàng, …, thực hiện khôi phục mật khẩu bằng số điện thoại. Vì có quyền kiểm soát sim, nghiễm nhiên đối tượng có được mã OTP gửi về điện thoại của nạn nhân. Từ đó thay đổi mật khẩu, thông tin cá nhân trong tài khoản ngân hàng, thực hiện giao dịch chuyển tiền, chiếm đoạt tài khoản.

4.      Tiêu thụ tài sản chiếm đoạt

· Tiền sau khi chiếm đoạn được của nạn nhân sẽ được nhóm lừa đảo chuyển tới nhiều tài khoản ngân hàng, ví điện tử khác nhau để tẩu tán số tiền. Các tài khoản ngân hàng này đều là tài khoản ma, do các đối tượng mua từ các nhóm chuyên bán tài khoản ngân hàng trên mạng.

· Tiền chiếm đoạt được chuyển vào các ví điện tử, quy đổi ra thẻ điện thoại để nạp vào các hình thức game cờ bạc.

· Tiền chiếm đoạt được chuyển để mua tiền điện tử, vì loại tiền này pháp luật hiện nay chưa có quy định chặt chẽ để xử lý.

5.      Hạ tầng chiến dịch tấn công

Thông tin về một số domain được sử dụng trong chiến dịch phishing lừa đảo trong thời gian cuối năm 2021, đầu năm 2022 được VCS-Threat Intelligence thu thập được.

Các domain, IP phishing được VCS-Threat Intelligence thu thập
Thông tin Whois của các domain phishing
Mã nguồn của một trang web phishing

Từ các thông tin liên quan đến các domain phishing, có thể nhận định:

- Các domain phishing thường có chứa tên hoặc tên viết tắt của các tổ chức ngân hàng, tài chính mà nhóm lừa đảo nhắm tới.

- Nhóm lừa đảo thực hiện các chiến dịch tấn công chia thành nhiều đợt, mỗi đợt, nhóm lừa đảo sử dụng hạ tầng khác nhau, điều này gây khó khăn trong việc phát hiện và theo dõi chiến dịch. Số lượng domain đăng kí nhiều, nhưng không sử dụng hoặc không bật giao diện, gây nhiễu, cảnh báo nhầm trong việc theo dõi.

- Giao diện chatbox trong trang web phishing, mã nguồn có sử dụng ngôn ngữ tiếng Trung, hạ tầng đăng kí thuộc nhà cung cấp hosting có liên quan đến các cá nhân tại nước ngoài. VCS-Threat Intelligence nghi ngờ nhóm lừa đảo gồm các đối tượng nước ngoài.

- Trang phishing giả mạo giao diện đăng nhập tài khoản Mobile Banking của ngân hàng được đầu tư bài bản, giống với giao diện thật của dịch vụ ngân hàng. Các chiến dịch lừa đảo gần đây, nhóm lừa đảo có bổ sung cơ chế kiểm tra User-Agent để kiểm tra thiết bị truy cập của người dùng, chỉ khi người dùng truy cập điện thoại thì mới trả về nội dung giao diện. Điều này thể hiện rõ nhóm lừa đảo nhắm tới nạn nhân sử dụng điện thoại nhận SMS giả mạo.

Ở phần cuối, VCS-Threat Intelligence sẽ đưa các giải pháp, khuyến nghị đối với các tổ chức doanh nghiệp, người dùng. Đồng thời phân tích một chiến dịch tấn công giả mạo Bộ Công an.

III. Giải pháp, khuyền nghị

VCS-Threat Intelligence luôn tìm kiếm, thu thập thông tin các cuộc tấn công phishing lừa đảo, lộ lọt thông tin ảnh hưởng tới khách hàng. Đưa ra cảnh báo về các hình thức lừa đảo ảnh hưởng tới các tổ chức, doanh nghiệp. Đồng thời phối hợp với các cơ quan có chức năng, thẩm quyền để gỡ bỏ các nội dung lừa đảo, sử dụng thương hiệu trên không gian mạng.

Khách hàng doanh nghiệp có thể đăng kí nhận các cảnh báo nguy cơ an toàn thông tin mới nhất, giám sát lạm dụng thương hiệu để đưa ra các phản ứng kịp thời tại địa chỉ: https://www.cyberintel.io

Nhằm ngăn ngừa, giảm thiểu thiệt hại của các cuộc tấn công lừa đảo, VCS-Threat Intelligence khuyến cáo người dùng:

- Tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc.

- Chỉ đăng nhập vào dịch vụ ngân hàng điện tử thông qua website chính thức của ngân hàng đang sử dụng, có thể liên hệ với tổng đài ngân hàng để lấy thông tin trang chính thức.

- Hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử.

- Giữ bí mật thông tin các nhân, không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực OTP, số thẻ ngân hàng qua điện thoại, email, mạng xã hội và các trang web.

- Đăng ký sử dụng phương thức xác thực Smart OTP khi giao dịch trực tuyến.

- Kiểm tra các nội dung tin nhắn OTP (số tiền, loại giao dịch, kênh thực hiện giao dịch). Trong trường hợp không khớp đúng với giao dịch đang thực hiện, người dùng tuyệt đối không nhập OTP vào bất cứ màn hình nào.

- Không cho mượn, cho thuê các giấy tờ cá nhân như CCCD, CMND, sổ hộ khẩu, thẻ ngân hàng, ...

IV. Phụ lục – Phân tích chiến dịch tấn công phát tán ứng dụng giả mạo Bộ Công an

Chiến dịch tấn công phát tán ứng dụng giả mạo Bộ Công an được VCS-Threat Intelligence phát hiện và theo dõi từ cuối năm 2019. Chiến dịch được VCS-Threat Intelligence đặc biệt chú ý vì phương thức giả mạo cán bộ trong ngành Công an để thực hiện lừa nạn nhân cài đặt ứng dụng độc. Ứng dụng có hành vi của phần mềm gián điệp, có chức năng theo dõi, thu thập thông tin cá nhân của người sử dụng. Các chiến dịch thường không kéo dài lâu và lựa chọn mục tiêu khá cẩn thận, cùng VCS-Threat Intelligence nhận định một số đặc điểm nổi bật của chiến dịch này.

1.      Timeline chiến dịch

Một số mốc chính trong chiến dịch.

2.      Phương thức tấn công, hạ tầng chiến dịch

  • Phương thức tấn công:

Khác với các phương thức tấn công tạo dựng trang web phishing nhằm mục đích lừa đảo, nhóm đối tượng giả mạo cán bộ thuộc lực lượng Công an, yêu cầu người dùng truy cập các trang web tải ứng dụng giám sát an toàn để xác minh các thông tin.

Ứng dụng giả mạo là phần mềm gián điệp, khi cài đặt trong máy điện thoại nạn nhân sẽ theo dõi, thu thập các thông tin như danh bạ, cuộc gọi, tin nhắn, … và gửi về cho nhóm lừa đảo. Từ đó, nhóm lừa đảo có thể dễ dàng lấy cắp tài khoản ngân hàng, OTP, … chiếm đoạt tài sản của nạn nhân.

  • Hạ tầng chiến dịch:

Các domain được đăng ký theo định dạng với các từ khóa liên quan tới Bộ công an, Việt Nam như “vn”, “84”, “bocongan”, “113”, …

Hình ảnh

Giao diện trang web giả mạo được thiết kế giống với trang web của Bộ Công an, tạo niềm tin, đánh lừa nạn nhân truy cập.

Ứng dụng giả mạo có tên “Vn84App.apk”, “CIMB.apk”, “113app.apk”, “vn84.apk” … có hình nền là huy hiệu Bộ Công an với mục đích lừa nạn nhân đây là ứng dụng thật từ cơ quan chức năng.

3.      Phân tính ứng dụng giả mạo

VCS-Threat Intelligence thu thập 2 mẫu ứng dụng, thực hiện so sánh các phiên bản, nhận định một số đặc điểm chính như sau:

Đặc điểm 1: Mẫu sau cải tiến và phát triển hơn so với mẫu trước

Đặc điểm 2: Mẫu mã độc không sử dụng phương pháp obfuscate nào đặc biệt

Đặc điểm 3: Các chức năng và quyền yêu cầu hầu hết là giống nhau trong các phiên bản

Đặc điểm 4: Ứng dụng chạy dưới dạng service nên dù có tắt thì ứng dụng vẫn chạy ngầm, tiếp tục thu thập thông tin trong máy nạn nhân.


Một số tính năng chính

Kiểm tra và đọc toàn bộ tin nhắn máy nạn nhân
Kiểm tra điều kiện và đặt thành ứng dụng tin nhắn mặc định thay cho ứng dụng tin nhắn ban đầu
Các quyền ứng dụng yêu cầu

Sau khi được cấp quyền, ứng dụng sẽ đẩy rất nhiều thông tin lên server C2 của nhóm lừa đảo (thông tin máy, số điện thoại, IMEI, model, tin nhắn,…)

Tuy vậy chúng đã encode che dấu C2 ( nhưng cũng chưa hoàn thiện lắm ) chứ không còn rõ ràng như các phiên bản trước đó

VCS-Threat Intelligence cũng nhận thấy một tính năng đang được hoàn thiện

Khi ứng dụng gửi dữ liệu lấy từ máy nạn nhân tới Server của nhóm lừa đảo thì cũng nhận lại 1 danh sách các đầu số trong biến “calltransferredlist” và gửi tin nhắn với nội dung từ “Number2”. Đây là cách mà đối tượng khiến nạn nhân tự xoá số / thay đổi số điện thoạinhận OTP. Với điều kiện tiên quyết là phải nhận ra đâu là form SMS gửi tới là OTP để tránh xảy ra các trường hợp có thể tạo bug vì vậy có cơ sở để nghi ngờ phía máy chủ C2 nhóm lừa đảo chưa hoàn thiện tính năng này một cách ưng ý nhất, đây là tính năng mới thêm từ các phiên bản được sử dụng năm 2021. Đó cũng là lý do kịch bản tấn công vẫn phải gọi điện giả mạo yêu cầu nạn nhân nhắn tin thủ công huỷ OTP.

Cấu trúc của mã độc vẫn vậy không có quá nhiều thay đổi nhưng đã cải tiến, tinh gọn code hơn.

Domain C2 sẽ có dạng

Danh sách IOC liên quan đến chiến dịch:

154[.]207[.]17[.]105

160[.]124[.]255[.]97

27[.]102[.]66[.]105

155[.]138[.]161[.]5

84113113vn[.]com

8400113[.]com

vnpc113[.]com

113113vn[.]com