Threats

Cảnh báo chiến dịch tấn công lừa đảo có chủ đích nhằm vào người dùng ngân hàng

Vu Huong Giang

12 min read
Cảnh báo chiến dịch tấn công lừa đảo có chủ đích nhằm vào người dùng ngân hàng

Trong quá trình giám sát và đảm bảo an toàn thông tin trên không gian mạng, nhóm Viettel Threat Hunting (VTH) của Viettel Threat Intelligence đã phát hiện một chiến dịch tấn công lừa đảo có chủ đích nhằm vào các tổ chức ngân hàng tại Việt Nam. Bài viết này sẽ mang đến cái nhìn tổng quan về chiến dịch.

1.Tổng quan

Trong khoảng thời gian từ đầu năm 2021 đến nay, nhóm VTH chúng tôi theo dõi và ngăn chặn nhiều website lừa đảo, giả mạo thương hiệu của các khách hàng. Cụ thể, nhóm VTH đang theo dõi 2 chiến dịch lừa đảo sử dụng hình thức giả mạo tin nhắn định danh (Fake SMS Brandname):

  • Chiến dịch 1: Diễn ra từ tháng 12/2020 đến nay. Đây là lần đầu ghi nhận tin nhắn giả mạo các ngân hàng, hoạt động trong dịp cận và trong tết Nguyên đán, đã được các cơ quan báo chí và cục An toàn thông tin cảnh báo:

https://ictnews.vietnamnet.vn/bao-mat/hacker-dung-bts-gia-mao-phat-tan-tin-nhan-mao-danh-ngan-hang-de-lua-nguoi-dung-276713.

htmlhttps://ictnews.vietnamnet.vn/bao-mat/tin-nhan-lua-dao-hoanh-hanh-canh-giac-khong-bay-luon-thuong-tet-276636.

htmlhttps://vnexpress.net/dung-tram-phat-song-gia-gui-tin-nhan-mao-danh-ngan-hang-4232944.html

  • Chiến dịch 2: Diễn ra từ đầu tháng 3/2021 đến nay.

Với chiến dịch 2, chúng tôi chú ý đến một số tên miền đặc biệt với đuôi [.]cc và [.]top. Bằng các biện pháp nghiệp vụ, chúng tôi tìm thêm được nhiều các IP và domain tương tự, với cùng hình thức tấn công, nội dung tin nhắn giả mạo, giao diện trang web giả mạo giống nhau, … chúng tôi nhận định đây là chiến dịch lừa đảo có chủ đích mới.

- Hình thức tấn công: Phishing – lừa đảo có chủ đích, mạo danh các tổ chức ngân hàng tại Việt Nam

- Nạn nhân ảnh hưởng: Người dùng của tổ chức ngân hàng có liên quan

- Thời gian hoạt động: Tháng 3/2021 – hiện nay.

2. Hình thức tấn công

Theo đánh giá của chúng tôi, đây không phải là hình thức tấn công mới, nhưng được các nhóm tấn công sử dụng rất nhiều trong các chiến dịch lừa đảo thời gian gần đây.

Bằng cách sử dụng tin nhắn định danh (SMS Brand Name) giả để đánh lừa người dùng, tạo niềm tin đây là tin nhắn từ hệ thống thật, dụ họ đăng nhập vào website giả mạo nhằm đánh cắp thông tin tài khoản ngân hàng.

Tin nhắn định danh được nhiều tổ chức ngân hàng, thương hiệu lớn sử dụng với mục địch dễ dàng thông tin tới khách hàng cũng như để dịnh danh. Các tin nhắn này không hiển thị số thuê bao mà chỉ hiển thị tên của thương hiệu đã đăng kí và được xét duyệt từ nhà mạng.

Quy trình đăng kí, xét duyệt SMS Brandname khá phức tạp và mỗi SMS Brandname là duy nhất nên khó có khả năng nhóm tấn công đăng kí giả mạo tại các nhà mạng. Vậy chúng làm cách nào để gửi tin nhắn lừa đảo bằng SMS Brandname. Nhóm VTH chúng tôi đưa ra các giả thuyết:

  • Giả thuyết 1: Nhóm tấn công sử dụng các dịch vụ SMS Fake Sender ID. Đây là các dịch vụ từ nước ngoài, được cung cấp trong các group kín hoặc được bán trong nguồn chợ đen từ Darkweb. Nhóm tấn công trả tiền để thuê dịch vụ này.
  • Giả thuyết 2: Nhóm tấn công sử dụng các thiết bị phát sóng di động giả mạo (IMSI Catcher và SMS Broadcaster). Chúng được dùng để gửi tin nhắn tới điện thoại người dùng mà không thông qua mạng di động. Nhóm tấn công sử dụng các thiết bị này để gửi lượng lớn tin nhắn trong một phạm vi rộng.
  • Giả thuyết 3: Điện thoại của người dùng có thể đã nhiễm mã độc, nhóm tấn công lợi dụng điều này để gửi các tin nhắn lừa đảo

Với hình thức tấn công giả mạo SMS Brandname:

Hình 1: Minh họa sơ bộ hình thức tấn công

Bước 1: Nhóm tấn công thực hiện gửi tin nhắn giả mạo trực tiếp vào điện thoại của nạn nhân. Nội dung tin nhắn giả mạo tin nhắn từ hệ thống, thông báo tài khoản của nạn nhân đã bị khóa, yêu cầu nạn nhân truy cập website giả mạo.

Hình 2: Tin nhắn giả mạo gửi tới nạn nhân

Bước 2: Nạn nhân truy cập website giả mạo, cung cấp thông tin cá nhân tài khoản ngân hàng (tài khoản/mật khẩu). Website giả mạo có thể điều hướng sang website khác hoặc yêu cầu nạn nhân chờ đợi.

Hình 3: Giao diện các website giả mạo/lừa đảo

Bước 3: Nhóm tấn công sử dụng thông tin của nạn nhân để đăng nhập trên các website chính thức của các tổ chức ngân hàng để lấy mã xác thực OTP.

Bước 4: Mã OTP được gửi tới điện thoại nạn nhân, website giả mạo điều hướng sang trang yêu cầu nạn nhân nhập mã OTP. Nếu nạn nhân cung cấp thông tin OTP, nhóm tấn công có thể chiếm đoạt tiền trong tài khoản của nạn nhân.

Hình 4: Trang điều hướng yêu cần nạn nhân chờ đợi

Nhận định: Với các hình thức lừa đảo sử dụng SMS Fake Brandname, nhất là trong môi trường các thành phố lớn với mật độ dân cư đông đúc, nhóm tấn công có thể tiếp cận, spam tin nhắn giả mạo với số lượng lớn, từ đó nâng cao khả năng thành công của chiến dịch lừa đảo.

Các ngân hàng tại Việt Nam đã đưa ra các biện pháp ngăn chặn cũng như thông báo, cảnh báo tới khách hàng về chiến dịch tấn công lừa đảo, tuy nhiên chiến dịch chưa có dấu hiệu dừng lại. Ngay khi chúng tôi đang viết bài viết này, vẫn đang tiếp tục có nhiều domain giả mạo được đăng kí mới.

Hình 5: Cảnh báo lừa đảo giả mạo của ngân hàng

Đối với khách hàng sử dụng dịch vụ của Viettel Threat Intelligence, chúng tôi cũng đưa ra các cảnh báo kịp thời:

Hình 6: Cảnh báo lừa đảo giả mạo Viettel Threat Intelligence

3. Thời gian và tần suất hoạt động:

Chiến dịch lừa đảo có chủ đích mới này nhằm vào nhiều ngân hàng lớn tại Việt Nam, trong đó:

• Ngân hàng A: Diễn ra từ cuối tháng 3/2021 đến nay.

• Ngân hàng B: Diễn ra từ giữa tháng 5/2021 đến nay.

• Các ngân hàng khác: Diễn ra từ cuối tháng 5 đến nay.

Hình 7: Thống kê số lượng domain phishing theo các ngân hàng

Dự đoán trong thời gian tới, số lượng domain và các ngân hàng ảnh hưởng sẽ tiếp tục gia tăng.

Hình 8: Thống kê số lượng đăng kí tên miền theo thời gian

Các domain lừa đảo mới được đăng kí liên tục, tập trung nhiều nhất vào khoảng từ cuối tháng 5/2021 đến nay.

Thay vì đăng kí nhiều domain một lúc và sử dụng dần dần như trong các chiến dịch cũ, nhóm tấn công này đăng kí domain đều đặn và trải dài, chỉ khi xác định mục tiêu, chúng mới đăng kí domain trước chỉ 1 ngày. Cách này tỏ ra hiệu quả hơn vì các hệ thống theo dõi nếu không có nguồn dữ liệu đăng kí domain mới được cập nhật kịp thời, sẽ khó phát hiện được các domain này. Viettel Threat Intelligence với nguồn dữ liệu luôn được cập nhật mới nhất, theo dõi 24/7, cùng với các biện pháp nghiệp vụ, kịp thời phát hiện và cảnh báo tới khách hàng về những domain lừa đảo, giúp giảm thiểu thiệt hại cho khách hàng.

4. Thông tin chiến dịch:

Khác với các chiến dịch lừa đảo trước đó được chúng tôi ghi nhận, các nhóm tấn công thường sử dụng các nền tảng tạo website miễn phí như Weebly, Wix,… hay sử dụng các hạ tầng IP tập trung để dễ dàng quản lí các domain. Tấn công vào nhiều lĩnh vực từ ngân hàng đến hệ thống ví điện tử, thanh toán trực tuyến, …

Hình 9: Các IP/Domain lừa đảo được thể hiện trên Graph của Viettel Threat Intelligence

Trong chiến dịch lần này, nhóm tấn công tập trung mục tiêu là các ngân hàng, hạ tầng IP được thay đổi liên tục nhằm tránh sự theo dõi, phát hiện. Các IP hosting được đăng kí riêng lẻ, rất khó tìm điểm chung và liên kết giữa các IP/Domain lừa đảo này.

Điều này khiến cho việc tracking tìm kiếm thêm thông tin về nhóm tấn công không hề dễ dàng. Các IP hosting đều được đăng kí của Alibaba Cloud Computing, mỗi IP host từ 3-5 domain lừa đảo. Các tên miền lừa đảo được sử dụng gần giống với thương hiệu các ngân hàng, áp dụng kỹ thuật Typosquatting. Chúng tôi thống kê được có khoảng 18 IP với hơn 80 domain được sử dụng từ đầu tháng 3 tới nay, và có thể con số này sẽ tiếp tục tăng.

Hình 10: Hạ tầng IP&Domain lừa đảo

Kết hợp với việc sử dụng SMS Brandname giả mạo, với mỗi lần thực hiện “bật” tấn công, các domain có thể truy cập trong vòng 2-3 ngày, khi có dấu hiệu bị phát hiện, nhóm tấn công thay đổi giao diện, hoặc tắt hạ tầng IP Domain. Cách tấn công “đánh nhanh, rút gọn” này gây khó khăn trong quá trình giám sát, theo dõi nhóm tấn công này.

Hình 11: Website thay đổi giao diện khi bị phát hiện.

Mặc dù mỗi lần chiến dịch “bật” trong thời gian ngắn, nhưng chúng tôi ghi nhận nhiều kết nối tới các domain giả mạo trên hệ thống giám sát, điều này cho thấy người dùng vẫn còn chủ quan trong việc phòng tránh các cuộc tấn công phishing.

Hình 12: Các kết nối tới hạ tầng domain từ tháng 3/2021

Đến đây, một câu hỏi được đặt ra, liệu các ngân hàng khác có chịu ảnh hưởng bởi chiến dịch tấn công này? Lừa đảo ngân hàng là một mảnh đất màu mỡ để các nhóm tấn công khai thác. Tuy vậy, các nhóm tấn công đều có địa bàn riêng và rất ít “động chạm” đến nhau, mỗi nhóm đều có đặc điểm riêng biệt. Dưới đây là một nhóm tấn công khác đang được nhóm VTH theo dõi.

Hình 13: Chiến dịch tấn công khác nhóm VTH đang theo dõi

5. Phòng tránh các hình thức lừa đảo phishing:

Để phòng tránh các hình thức lừa đảo và đảm bảo an toàn khi giao dịch trên không gian mạng, chúng tôi khuyến cáo người dùng cần lưu ý các vấn đề sau:

• Tuyệt đối không truy cập các đường link, liên kết trong tin nhắn/email lạ hoặc không rõ nguồn gốc.

• Chỉ đăng nhập vào dịch vụ ngân hàng điện tử thông qua website chính thức của ngân hàng đang sử dụng, có thể liên hệ với tổng đài ngân hàng để lấy thông tin trang chính thức.

• Hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử.

• Không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực OTP, số thẻ ngân hàng qua điện thoại, email, mạng xã hội và các trang web.

• Đăng ký sử dụng phương thức xác thực Smart OTP khi giao dịch trực tuyến.

• Kiểm tra các nội dung tin nhắn OTP (số tiền, loại giao dịch, kênh thực hiện giao dịch). Trong trường hợp không khớp đúng với giao dịch đang thực hiện, người dùng tuyệt đối không nhập OTP vào bất cứ màn hình nào.

Khách hàng doanh nghiệp có thể đăng kí nhận các cảnh báo nguy cơ an toàn thông tin mới nhất, giám sát lạm dụng thương hiệu để đưa ra các phản ứng kịp thời tại địa chỉ: https://cyberintel.io

6. Một số hạ tầng của chiến dịch tấn công phishing:

Tác giả: Nhóm Viettel Threat Hunting (VTH) - Viettel Threat Intelligence

Sign up for more like this.

Enter your email
Subscribe