Viettel Threat Intelligence (VTI) cảnh báo về nguy cơ tấn công phishing có chủ đích tại Việt Nam đang tiếp diễn từ đầu tháng 6 năm nay. Trong quá trình diễn ra chiến dịch này, nhóm nghiên cứu VTI đánh giá kĩ thuật sử dụng và hình thức khai thác tuy không mới, nhưng nhóm tấn công này luôn cập nhật và hướng tới mục tiêu đa dạng hóa nhằm tăng tỉ lệ thành công.

Tóm lược:

  • Hình thức sử dụng: lừa đảo, phishing có chủ đích/mạo danh các tổ chức lớn tại Việt Nam.
  • Nạn nhân ảnh hưởng: người dùng ngân hàng/các thương hiệu có liên quan bị ảnh hưởng.
  • Thời gian diễn ra chiến dịch: từ tháng 6/2020 – hiện nay.

1. Thông tin về chiến dịch

Nhóm tấn công sử dụng hạ tầng đi thuê của hãng OVHcloud với địa chỉ IP là 167.114.2[.]51, liên tục đăng ký các tên miền phishing lừa đảo chủ yếu liên quan tới các yếu tố:

  • Mạo danh thương hiệu ngân hàng để lừa tiền người dùng.
  • Giả mạo dịch vụ cho vay tiền mặt.
  • Giả mạo trang đăng nhập thanh toán điện tử như Zing, Vinagame…
  • Lừa đảo trúng thưởng qua sự kiện tặng quà, tri ân khách hàng...

Tổng quan chiến dịch có thể minh họa theo hình:

Minh họa chiến dịch Phishing được sử dụng của hạ tầng IP 167.114.2[.]51. Ảnh: VTI

Tuy áp dụng đa dạng hóa các hình thức lừa đảo khác nhau, nhưng chung quy mục đích của nhóm lừa đảo này luôn hướng đến mục tiêu cuối cùng là lừa người dùng đăng nhập thông tin ngân hàng vào form phishing đánh cắp thông tin.

Minh họa các bước thường thấy trong chiến dịch Phishing có chủ đích. Ảnh: VTI.

Bước 1 – Tiếp cận gián tiếp:

Nhóm tấn công lừa đảo bằng nhiều cách khác nhau để tác động nạn nhân truy cập vào các trang dựng trước có nội dung đa dạng. Theo quan sát của VTI – các hình thức tác động của nhóm này chủ yếu sẽ bằng hai hình thức:

  • Tin nhắn SMS: Nhóm tấn công bằng cách gián tiếp có được thông tin cơ bản của khách hàng như họ tên, địa chỉ, số điện thoại… (qua dữ liệu được bán trên chợ đen, qua những vụ lọ lọt dữ liệu phổ biến trước đó…). Khi nắm được những thông tin cơ bản, nhóm lừa đảo sẽ nhắn vào số điện thoại người dùng nhằm lừa truy cập vào trang lừa đảo nhằm nhập thông tin đăng nhập Internet Banking. Phương thức tiếp cận này thường đạt hiệu quả không cao, thường sẽ cần có thêm yếu tố con người (Bước 4: Tiếp cận chủ động). Phương thức gián tiếp qua SMS thường ghi nhận trong các case về: vay tiền, lừa đảo ngân hàng, giả mạo trang thanh toán điện tử.
Minh họa lừa đảo Phishing qua SMS. Nguồn: Blog của các ngân hàng lớn tại Việt Nam.
  • Tin nhắn trên FB Messenger: hình thức này hiện tại được ghi nhận chủ yếu lợi dụng cho chương trình tri ân, trúng thưởng quà tặng… Nhóm lừa đảo gửi các tin nhắn spam vào Facebook người dùng với nội dung trúng thưởng xe máy hoặc những vật đắt tiền nhằm tăng tính hiệu quả.
Một case lừa đảo qua tin nhắn Messenger trên Facebook qua trang hopquavn979[.]com. Ảnh: VTI.

Bước 2 + Bước 3 – Thu thập thông tin người dùng (Không bắt buộc):

  • Tùy vào độ phức tạp kì công của chương trình được sử dụng, người dùng nhập các thông tin cơ bản vào form của nhóm lừa đảo (VD: form đăng ký vay tiền, form nhận quà tặng xe máy…). Sau khi người dùng nhập thông tin cơ bản, nhóm lừa đảo có nền tảng nhất định để thực hiện Bước 4.
Nhóm lừa đảo thực hiện các chương trình cho vay tiền để thu thập thông tin người dùng. Ảnh: VTI.

Bước 4 – tiếp cận chủ động: Thông qua kênh liên lạc Zalo hoặc gọi điện trực tiếp, nhóm lừa đảo thực hiện các thủ thuật Social Engineering nhằm lừa người dùng truy cập các trang phishing và đăng nhập thông tin nhạy cảm Internet Banking.

Bước 5 – Mất thông tin: người dùng khi bị tác động và đăng nhập tài khoản Internet Banking và nhập mã OTP sẽ nhanh chóng bị chuyển hết tiền về tài khoản kẻ lừa đảo. Lúc này số tiền bị mất sẽ không thể thu hồi lại.

2. Phishing qua ngân hàng

Tổng quan chiến dịch Phishing nhắm vào ngân hàng. Ảnh: VTI.

Dấu hiệu nhận biết dễ dàng nhất của nhóm này luôn sử dụng các loại form đăng nhập có sẵn cùng chung một template của ví điện tử (đôi khi sửa một số hình ảnh, icon cơ bản…)

Phần lớn các form phishing trong chiến dịch đều chung một Template. Ảnh: VTI.

Có thể thấy nhóm này sử dụng các công cụ để tự động hóa việc triển khai các form đăng nhập đối với một tên miền mới.

Nhóm lừa đảo sử dụng HTTrack để clone và triển khai tự động các trang phishing. Ảnh: VTI.

Đáng chú ý, nhóm này thường xuyên sử dụng tên miền đẹp mạo danh các tên tuổi thương hiệu lớn, ví dụ như:

  • Ngày 11/7/2020 mạo danh Tổ chức tài chính lớn của nhà nước với tên miền: ngan*******nuocvn[.]com
  • Ngày 01/8/2020 mạo danh Tổ chức ngân hàng lớn tại Việt Nam với tiên miền: **bankonline[.]com
  • Ngày 02/8/2020 mạo danh Cổng thông tin thanh toán điện tử lớn tại Việt Nam với tên miền: na***vn[.]com (Hiện tại đang được cấu hình để redirect về trang chính chủ).

(Còn tiếp)