4. Thông tin chiến dịch:

Khác với các chiến dịch lừa đảo trước đó được chúng tôi ghi nhận, các nhóm tấn công thường sử dụng các nền tảng tạo website miễn phí như Weebly, Wix,… hay sử dụng các hạ tầng IP tập trung để dễ dàng quản lí các domain. Tấn công vào nhiều lĩnh vực từ ngân hàng đến hệ thống ví điện tử, thanh toán trực tuyến, …

Hình 9: Các IP/Domain lừa đảo được thể hiện trên Graph của Viettel Threat Intelligence

Trong chiến dịch lần này, nhóm tấn công tập trung mục tiêu là các ngân hàng, hạ tầng IP được thay đổi liên tục nhằm tránh sự theo dõi, phát hiện. Các IP hosting được đăng kí riêng lẻ, rất khó tìm điểm chung và liên kết giữa các IP/Domain lừa đảo này.

Điều này khiến cho việc tracking tìm kiếm thêm thông tin về nhóm tấn công không hề dễ dàng. Các IP hosting đều được đăng kí của Alibaba Cloud Computing, mỗi IP host từ 3-5 domain lừa đảo. Các tên miền lừa đảo được sử dụng gần giống với thương hiệu các ngân hàng, áp dụng kỹ thuật Typosquatting. Chúng tôi thống kê được có khoảng 18 IP với hơn 80 domain được sử dụng từ đầu tháng 3 tới nay, và có thể con số này sẽ tiếp tục tăng.

Hình 10: Hạ tầng IP&Domain lừa đảo

Kết hợp với việc sử dụng SMS Brandname giả mạo, với mỗi lần thực hiện “bật” tấn công, các domain có thể truy cập trong vòng 2-3 ngày, khi có dấu hiệu bị phát hiện, nhóm tấn công thay đổi giao diện, hoặc tắt hạ tầng IP Domain. Cách tấn công “đánh nhanh, rút gọn” này gây khó khăn trong quá trình giám sát, theo dõi nhóm tấn công này.

Hình 11: Website thay đổi giao diện khi bị phát hiện.

Mặc dù mỗi lần chiến dịch “bật” trong thời gian ngắn, nhưng chúng tôi ghi nhận nhiều kết nối tới các domain giả mạo trên hệ thống giám sát, điều này cho thấy người dùng vẫn còn chủ quan trong việc phòng tránh các cuộc tấn công phishing.

Hình 12: Các kết nối tới hạ tầng domain từ tháng 3/2021

Đến đây, một câu hỏi được đặt ra, liệu các ngân hàng khác có chịu ảnh hưởng bởi chiến dịch tấn công này? Lừa đảo ngân hàng là một mảnh đất màu mỡ để các nhóm tấn công khai thác. Tuy vậy, các nhóm tấn công đều có địa bàn riêng và rất ít “động chạm” đến nhau, mỗi nhóm đều có đặc điểm riêng biệt. Dưới đây là một nhóm tấn công khác đang được nhóm VTH theo dõi.

Hình 13: Chiến dịch tấn công khác nhóm VTH đang theo dõi

5. Phòng tránh các hình thức lừa đảo phishing:

Để phòng tránh các hình thức lừa đảo và đảm bảo an toàn khi giao dịch trên không gian mạng, chúng tôi khuyến cáo người dùng cần lưu ý các vấn đề sau:

• Tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc.

• Chỉ đăng nhập vào dịch vụ ngân hàng điện tử thông qua website chính thức của ngân hàng đang sử dụng, có thể liên hệ với tổng đài ngân hàng để lấy thông tin trang chính thức.

• Hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử.

• Không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực OTP, số thẻ ngân hàng qua điện thoại, email, mạng xã hội và các trang web.

• Đăng ký sử dụng phương thức xác thực Smart OTP khi giao dịch trực tuyến.

• Kiểm tra các nội dung tin nhắn OTP (số tiền, loại giao dịch, kênh thực hiện giao dịch). Trong trường hợp không khớp đúng với giao dịch đang thực hiện, người dùng tuyệt đối không nhập OTP vào bất cứ màn hình nào.

Khách hàng doanh nghiệp có thể đăng kí nhận các cảnh báo nguy cơ an toàn thông tin mới nhất, giám sát lạm dụng thương hiệu để đưa ra các phản ứng kịp thời tại địa chỉ: https://cyberintel.io

6. Một số hạ tầng của chiến dịch tấn công phishing:

Tác giả: Nhóm Viettel Threat Hunting (VTH) - Viettel Threat Intelligence