Trong quá trình tìm hiểu về chiến dịch phishing, nhóm nghiên cứu Viettel Threat Intelligence (VTI) đã hợp tác với nhóm Cyber Space (@cyberg0100) để tìm kiếm đào sâu một số thông tin của hạ tầng tên miền taichinh24g[.]online được sử dụng bởi nhóm lừa đảo Phishing để tìm kiếm nếu có tồn tại các mối liên hệ với nhau trên không gian mạng.

3. Dấu vết trên không gian mạng

Việc tracking tìm kiếm thông tin về nhóm lừa đảo không hề dễ dàng gì khi các tên miền của nhóm lừa đảo đều được đăng ký Whois bằng fake name hoặc sử dụng Whois protected.

Toàn bộ tên miền đăng ký đều là thông tin giả, hoặc sử dụng Whois Protected. Ảnh: VTI

Trong quá trình tìm hiểu về chiến dịch phishing, nhóm nghiên cứu VTI hợp tác với nhóm Cyber Space (@cyberg0100) để tìm kiếm đào sâu một số thông tin của hạ tầng tên miền taichinh24g[.]online được sử dụng bởi nhóm lừa đảo Phishing để tìm kiếm nếu có tồn tại các mối liên hệ với nhau trên không gian mạng.

Nhóm VTI hợp tác với nhóm Cyber Space (@cyberg0100).

Với thế mạnh về OSINT skill, nhóm Cyber Space đã giúp chúng tôi tìm kiếm được một số thông tin khả nghi. Tuy không nhìn được ra bức tranh toàn cảnh nhưng đây là có thể là đầu mối hữu ích cho các cơ quan điều tra nếu muốn đi sâu vào case này.

Dựa trên số điện thoại của trang vay2s[.]com (hình ở phần trên), chúng tôi tìm được tài khoản Zalo khả nghi.

Tài khoản Zalo từ số điện thoại trên trang vay tiền. Ảnh: VTI.

Ngoài ra còn phát hiện thêm domain https://taichinh24h.online vì trùng “Naming Convention” với các trang vay tiền trước đó (vaytien24s[.]online, taichinh24g[.]online….). Dựa trên số điện thoại có trên trang web Phishing (có thể được sử dụng bởi nhóm lừa đảo), chúng tôi tìm được một số bài quảng cáo về dịch vụ vay tiền của nhóm này trên không gian mạng.

Mẩu quảng cáo của số điện thoại khả nghi cho vay tiền. Ảnh: @cyberg010034

Dựa vào thông tin lịch sử đăng bài trên các trang quảng cáo và số điện thoại, chúng tôi tìm được một page FB tên gọi @vaytien365 với các thành viên page có liên quan.

Một số user khả nghi có thể liên quan tới các trang dịch vụ vay tiền. Ảnh: @cyberg0100

Ngoài ra khi sử dụng kĩ năng Google Reverse Image Search đối với banner được sử dụng trong các trang vay tiền thì sẽ phát hiện thêm một số trang có điểm tương đồng cùng về chủ đề cho vay tiền, nằm cùng hạ tầng IP lừa đảo.

Phát hiện được thêm một số trang vay tiền Phishing trong chiến dịch. Nguồn: @cyberg0100

Đào sâu vào các đầu mối đã tìm thấy, chúng tôi còn tìm được nhiều đầu mối, số điện thoại, Zalo, contact và các trang liên quan… tuy nhiên chưa thể kết luận cuối và ra được cái nhìn tổng quan về nó. Các dấu vết về chiến dịch này trên mạng xã hội chỉ tồn tại rải rác và tách biệt.

Các trang vay tiền của chiến dịch này đều lừa người dùng click vào phần sao kê giao dịch (sau khi người dùng đã khai báo thông tin và được kẻ lừa đảo liên hệ qua Zalo) để dẫn về form Phishing.

Kẻ lừa đảo hướng dẫn lừa người dùng qua Zalo truy cập trang “sao kê giao dịch” vốn là form Phishing.
Form phishing với đầy đủ các thương hiệu ngân hàng phổ biến tại Việt Nam. Ảnh: VTI
Kẻ tấn công đã kì công dựng từng form đăng nhập với từng thương hiệu ngân hàng. Ảnh: VTI

(Còn tiếp)