Trong quá trình giám sát và đảm bảo an toàn thông tin trên không gian mạng, nhóm Viettel Threat Hunting (VTH) của Viettel Threat Intelligence đã phát hiện một chiến dịch tấn công lừa đảo có chủ đích nhằm vào các tổ chức ngân hàng tại Việt Nam. Bài viết này sẽ mang đến cái nhìn tổng quan về chiến dịch.

1.Tổng quan

Trong khoảng thời gian từ đầu năm 2021 đến nay, nhóm VTH chúng tôi theo dõi và ngăn chặn nhiều website lừa đảo, giả mạo thương hiệu của các khách hàng. Cụ thể, nhóm VTH đang theo dõi 2 chiến dịch lừa đảo sử dụng hình thức giả mạo tin nhắn định danh (Fake SMS Brandname):

  • Chiến dịch 1: Diễn ra từ tháng 12/2020 đến nay. Đây là lần đầu ghi nhận tin nhắn giả mạo các ngân hàng, hoạt động trong dịp cận và trong tết Nguyên đán, đã được các cơ quan báo chí và cục An toàn thông tin cảnh báo:

https://ictnews.vietnamnet.vn/bao-mat/hacker-dung-bts-gia-mao-phat-tan-tin-nhan-mao-danh-ngan-hang-de-lua-nguoi-dung-276713.

htmlhttps://ictnews.vietnamnet.vn/bao-mat/tin-nhan-lua-dao-hoanh-hanh-canh-giac-khong-bay-luon-thuong-tet-276636.

htmlhttps://vnexpress.net/dung-tram-phat-song-gia-gui-tin-nhan-mao-danh-ngan-hang-4232944.html

  • Chiến dịch 2: Diễn ra từ đầu tháng 3/2021 đến nay.

Với chiến dịch 2, chúng tôi chú ý đến một số tên miền đặc biệt với đuôi [.]cc và [.]top. Bằng các biện pháp nghiệp vụ, chúng tôi tìm thêm được nhiều các IP và domain tương tự, với cùng hình thức tấn công, nội dung tin nhắn giả mạo, giao diện trang web giả mạo giống nhau, … chúng tôi nhận định đây là chiến dịch lừa đảo có chủ đích mới.

- Hình thức tấn công: Phishing – lừa đảo có chủ đích, mạo danh các tổ chức ngân hàng tại Việt Nam

- Nạn nhân ảnh hưởng: Người dùng của tổ chức ngân hàng có liên quan

- Thời gian hoạt động: Tháng 3/2021 – hiện nay.

2. Hình thức tấn công

Theo đánh giá của chúng tôi, đây không phải là hình thức tấn công mới, nhưng được các nhóm tấn công sử dụng rất nhiều trong các chiến dịch lừa đảo thời gian gần đây.

Bằng cách sử dụng tin nhắn định danh (SMS Brand Name) giả để đánh lừa người dùng, tạo niềm tin đây là tin nhắn từ hệ thống thật, dụ họ đăng nhập vào website giả mạo nhằm đánh cắp thông tin tài khoản ngân hàng.

Tin nhắn định danh được nhiều tổ chức ngân hàng, thương hiệu lớn sử dụng với mục địch dễ dàng thông tin tới khách hàng cũng như để dịnh danh. Các tin nhắn này không hiển thị số thuê bao mà chỉ hiển thị tên của thương hiệu đã đăng kí và được xét duyệt từ nhà mạng.

Quy trình đăng kí, xét duyệt SMS Brandname khá phức tạp và mỗi SMS Brandname là duy nhất nên khó có khả năng nhóm tấn công đăng kí giả mạo tại các nhà mạng. Vậy chúng làm cách nào để gửi tin nhắn lừa đảo bằng SMS Brandname. Nhóm VTH chúng tôi đưa ra các giả thuyết:

  • Giả thuyết 1: Nhóm tấn công sử dụng các dịch vụ SMS Fake Sender ID. Đây là các dịch vụ từ nước ngoài, được cung cấp trong các group kín hoặc được bán trong nguồn chợ đen từ Darkweb. Nhóm tấn công trả tiền để thuê dịch vụ này.
  • Giả thuyết 2: Nhóm tấn công sử dụng các thiết bị phát sóng di động giả mạo (IMSI Catcher và SMS Broadcaster). Chúng được dùng để gửi tin nhắn tới điện thoại người dùng mà không thông qua mạng di động. Nhóm tấn công sử dụng các thiết bị này để gửi lượng lớn tin nhắn trong một phạm vi rộng.
  • Giả thuyết 3: Điện thoại của người dùng có thể đã nhiễm mã độc, nhóm tấn công lợi dụng điều này để gửi các tin nhắn lừa đảo

Với hình thức tấn công giả mạo SMS Brandname:

Hình 1: Minh họa sơ bộ hình thức tấn công

Bước 1: Nhóm tấn công thực hiện gửi tin nhắn giả mạo trực tiếp vào điện thoại của nạn nhân. Nội dung tin nhắn giả mạo tin nhắn từ hệ thống, thông báo tài khoản của nạn nhân đã bị khóa, yêu cầu nạn nhân truy cập website giả mạo.

Hình 2: Tin nhắn giả mạo gửi tới nạn nhân

Bước 2: Nạn nhân truy cập website giả mạo, cung cấp thông tin cá nhân tài khoản ngân hàng (tài khoản/mật khẩu). Website giả mạo có thể điều hướng sang website khác hoặc yêu cầu nạn nhân chờ đợi.

Hình 3: Giao diện các website giả mạo/lừa đảo

Bước 3: Nhóm tấn công sử dụng thông tin của nạn nhân để đăng nhập trên các website chính thức của các tổ chức ngân hàng để lấy mã xác thực OTP.

Bước 4: Mã OTP được gửi tới điện thoại nạn nhân, website giả mạo điều hướng sang trang yêu cầu nạn nhân nhập mã OTP. Nếu nạn nhân cung cấp thông tin OTP, nhóm tấn công có thể chiếm đoạt tiền trong tài khoản của nạn nhân.

Hình 4: Trang điều hướng yêu cần nạn nhân chờ đợi

Nhận định: Với các hình thức lừa đảo sử dụng SMS Fake Brandname, nhất là trong môi trường các thành phố lớn với mật độ dân cư đông đúc, nhóm tấn công có thể tiếp cận, spam tin nhắn giả mạo với số lượng lớn, từ đó nâng cao khả năng thành công của chiến dịch lừa đảo.

Các ngân hàng tại Việt Nam đã đưa ra các biện pháp ngăn chặn cũng như thông báo, cảnh báo tới khách hàng về chiến dịch tấn công lừa đảo, tuy nhiên chiến dịch chưa có dấu hiệu dừng lại. Ngay khi chúng tôi đang viết bài viết này, vẫn đang tiếp tục có nhiều domain giả mạo được đăng kí mới.

Hình 5: Cảnh báo lừa đảo giả mạo của ngân hàng

Đối với khách hàng sử dụng dịch vụ của Viettel Threat Intelligence, chúng tôi cũng đưa ra các cảnh báo kịp thời:

Hình 6: Cảnh báo lừa đảo giả mạo Viettel Threat Intelligence

Đọc phần tiếp theo tại: https://blog.viettelcybersecurity.com/canh-bao-chien-dich-tan-cong-lua-dao-co-chu-dich-nham-vao-nguoi-dung-ngan-hang-2/

Tác giả: Nhóm Viettel Threat Hunting (VTH) - Viettel Threat Intelligence