Cảnh báo về chiến dịch tấn công phishing tại Việt Nam

Viettel Threat Intelligence (VTI) cảnh báo về nguy cơ tấn công phishing có chủ đích tại Việt Nam đang tiếp diễn từ đầu tháng 6 năm nay. Trong quá trình diễn ra chiến dịch này, nhóm nghiên cứu VTI đánh giá kĩ thuật sử dụng và hình thức khai thác tuy không mới, nhưng nhóm tấn công này luôn cập nhật và hướng tới mục tiêu đa dạng hóa nhằm tăng tỉ lệ thành công.

Tóm lược:

  • Hình thức sử dụng: lừa đảo, phishing có chủ đích/mạo danh các tổ chức lớn tại Việt Nam.
  • Nạn nhân ảnh hưởng: người dùng ngân hàng/các thương hiệu có liên quan bị ảnh hưởng.
  • Thời gian diễn ra chiến dịch: từ tháng 6/2020 – hiện nay.

1. Thông tin về chiến dịch

Nhóm tấn công sử dụng hạ tầng đi thuê của hãng OVHcloud với địa chỉ IP là 167.114.2[.]51, liên tục đăng ký các tên miền phishing lừa đảo chủ yếu liên quan tới các yếu tố:

  • Mạo danh thương hiệu ngân hàng để lừa tiền người dùng.
  • Giả mạo dịch vụ cho vay tiền mặt.
  • Giả mạo trang đăng nhập thanh toán điện tử như Zing, Vinagame…
  • Lừa đảo trúng thưởng qua sự kiện tặng quà, tri ân khách hàng...

Tổng quan chiến dịch có thể minh họa theo hình:

Minh họa chiến dịch Phishing được sử dụng của hạ tầng IP 167.114.2[.]51. Ảnh: VTI

Tuy áp dụng đa dạng hóa các hình thức lừa đảo khác nhau, nhưng chung quy mục đích của nhóm lừa đảo này luôn hướng đến mục tiêu cuối cùng là lừa người dùng đăng nhập thông tin ngân hàng vào form phishing đánh cắp thông tin.

Minh họa các bước thường thấy trong chiến dịch Phishing có chủ đích. Ảnh: VTI.

Bước 1 – Tiếp cận gián tiếp:

Nhóm tấn công lừa đảo bằng nhiều cách khác nhau để tác động nạn nhân truy cập vào các trang dựng trước có nội dung đa dạng. Theo quan sát của VTI – các hình thức tác động của nhóm này chủ yếu sẽ bằng hai hình thức:

  • Tin nhắn SMS: Nhóm tấn công bằng cách gián tiếp có được thông tin cơ bản của khách hàng như họ tên, địa chỉ, số điện thoại… (qua dữ liệu được bán trên chợ đen, qua những vụ lọ lọt dữ liệu phổ biến trước đó…). Khi nắm được những thông tin cơ bản, nhóm lừa đảo sẽ nhắn vào số điện thoại người dùng nhằm lừa truy cập vào trang lừa đảo nhằm nhập thông tin đăng nhập Internet Banking. Phương thức tiếp cận này thường đạt hiệu quả không cao, thường sẽ cần có thêm yếu tố con người (Bước 4: Tiếp cận chủ động). Phương thức gián tiếp qua SMS thường ghi nhận trong các case về: vay tiền, lừa đảo ngân hàng, giả mạo trang thanh toán điện tử.
Minh họa lừa đảo Phishing qua SMS. Nguồn: Blog của các ngân hàng lớn tại Việt Nam.
  • Tin nhắn trên FB Messenger: hình thức này hiện tại được ghi nhận chủ yếu lợi dụng cho chương trình tri ân, trúng thưởng quà tặng… Nhóm lừa đảo gửi các tin nhắn spam vào Facebook người dùng với nội dung trúng thưởng xe máy hoặc những vật đắt tiền nhằm tăng tính hiệu quả.
Một case lừa đảo qua tin nhắn Messenger trên Facebook qua trang hopquavn979[.]com. Ảnh: VTI.

Bước 2 + Bước 3 – Thu thập thông tin người dùng (Không bắt buộc):

  • Tùy vào độ phức tạp kì công của chương trình được sử dụng, người dùng nhập các thông tin cơ bản vào form của nhóm lừa đảo (VD: form đăng ký vay tiền, form nhận quà tặng xe máy…). Sau khi người dùng nhập thông tin cơ bản, nhóm lừa đảo có nền tảng nhất định để thực hiện Bước 4.
Nhóm lừa đảo thực hiện các chương trình cho vay tiền để thu thập thông tin người dùng. Ảnh: VTI.

Bước 4 – tiếp cận chủ động: Thông qua kênh liên lạc Zalo hoặc gọi điện trực tiếp, nhóm lừa đảo thực hiện các thủ thuật Social Engineering nhằm lừa người dùng truy cập các trang phishing và đăng nhập thông tin nhạy cảm Internet Banking.

Bước 5 – Mất thông tin: người dùng khi bị tác động và đăng nhập tài khoản Internet Banking và nhập mã OTP sẽ nhanh chóng bị chuyển hết tiền về tài khoản kẻ lừa đảo. Lúc này số tiền bị mất sẽ không thể thu hồi lại.

2. Phishing qua ngân hàng

Tổng quan chiến dịch Phishing nhắm vào ngân hàng. Ảnh: VTI.

Dấu hiệu nhận biết dễ dàng nhất của nhóm này luôn sử dụng các loại form đăng nhập có sẵn cùng chung một template của ví điện tử (đôi khi sửa một số hình ảnh, icon cơ bản…)

Phần lớn các form phishing trong chiến dịch đều chung một Template. Ảnh: VTI.

Có thể thấy nhóm này sử dụng các công cụ để tự động hóa việc triển khai các form đăng nhập đối với một tên miền mới.

Nhóm lừa đảo sử dụng HTTrack để clone và triển khai tự động các trang phishing. Ảnh: VTI.

Đáng chú ý, nhóm này thường xuyên sử dụng tên miền đẹp mạo danh các tên tuổi thương hiệu lớn, ví dụ như:

  • Ngày 11/7/2020 mạo danh Tổ chức tài chính lớn của nhà nước với tên miền: ngan*******nuocvn[.]com
  • Ngày 01/8/2020 mạo danh Tổ chức ngân hàng lớn tại Việt Nam với tiên miền: **bankonline[.]com
  • Ngày 02/8/2020 mạo danh Cổng thông tin thanh toán điện tử lớn tại Việt Nam với tên miền: na***vn[.]com (Hiện tại đang được cấu hình để redirect về trang chính chủ).

3. Dấu vết trên không gian mạng

Việc tracking tìm kiếm thông tin về nhóm lừa đảo không hề dễ dàng gì khi các tên miền của nhóm lừa đảo đều được đăng ký Whois bằng fake name hoặc sử dụng Whois protected.

Toàn bộ tên miền đăng ký đều là thông tin giả, hoặc sử dụng Whois Protected. Ảnh: VTI

Trong quá trình tìm hiểu về chiến dịch phishing, nhóm nghiên cứu VTI hợp tác với nhóm Cyber Space (@cyberg0100) để tìm kiếm đào sâu một số thông tin của hạ tầng tên miền taichinh24g[.]online được sử dụng bởi nhóm lừa đảo Phishing để tìm kiếm nếu có tồn tại các mối liên hệ với nhau trên không gian mạng.

Nhóm VTI hợp tác với nhóm Cyber Space (@cyberg0100).

Với thế mạnh về OSINT skill, nhóm Cyber Space đã giúp chúng tôi tìm kiếm được một số thông tin khả nghi. Tuy không nhìn được ra bức tranh toàn cảnh nhưng đây là có thể là đầu mối hữu ích cho các cơ quan điều tra nếu muốn đi sâu vào case này.

Dựa trên số điện thoại của trang vay2s[.]com (hình ở phần trên), chúng tôi tìm được tài khoản Zalo khả nghi.

Tài khoản Zalo từ số điện thoại trên trang vay tiền. Ảnh: VTI.

Ngoài ra còn phát hiện thêm domain https://taichinh24h.online vì trùng “Naming Convention” với các trang vay tiền trước đó (vaytien24s[.]online, taichinh24g[.]online….). Dựa trên số điện thoại có trên trang web Phishing (có thể được sử dụng bởi nhóm lừa đảo), chúng tôi tìm được một số bài quảng cáo về dịch vụ vay tiền của nhóm này trên không gian mạng.

Mẩu quảng cáo của số điện thoại khả nghi cho vay tiền. Ảnh: @cyberg010034

Dựa vào thông tin lịch sử đăng bài trên các trang quảng cáo và số điện thoại, chúng tôi tìm được một page FB tên gọi @vaytien365 với các thành viên page có liên quan.

Một số user khả nghi có thể liên quan tới các trang dịch vụ vay tiền. Ảnh: @cyberg0100

Ngoài ra khi sử dụng kĩ năng Google Reverse Image Search đối với banner được sử dụng trong các trang vay tiền thì sẽ phát hiện thêm một số trang có điểm tương đồng cùng về chủ đề cho vay tiền, nằm cùng hạ tầng IP lừa đảo.

Phát hiện được thêm một số trang vay tiền Phishing trong chiến dịch. Nguồn: @cyberg0100

Đào sâu vào các đầu mối đã tìm thấy, chúng tôi còn tìm được nhiều đầu mối, số điện thoại, Zalo, contact và các trang liên quan… tuy nhiên chưa thể kết luận cuối và ra được cái nhìn tổng quan về nó. Các dấu vết về chiến dịch này trên mạng xã hội chỉ tồn tại rải rác và tách biệt.

Các trang vay tiền của chiến dịch này đều lừa người dùng click vào phần sao kê giao dịch (sau khi người dùng đã khai báo thông tin và được kẻ lừa đảo liên hệ qua Zalo) để dẫn về form Phishing.

Kẻ lừa đảo hướng dẫn lừa người dùng qua Zalo truy cập trang “sao kê giao dịch” vốn là form Phishing.
Form phishing với đầy đủ các thương hiệu ngân hàng phổ biến tại Việt Nam. Ảnh: VTI
Kẻ tấn công đã kì công dựng từng form đăng nhập với từng thương hiệu ngân hàng. Ảnh: VTI

4. So sánh với chiến dịch Phishing cũ sử dụng hạ tầng 174.136.14[.]95

Đây không phải lần đầu tiên đội ngũ Viettel Threat Intelligence (VTI) ghi nhận chiến dịch Phishing của nhóm này, tháng 3 tháng 4 cũng đã ghi nhận chiến dịch Phishing của nhóm tấn công này ở mức lẻ tẻ, VTI nhận thấy chiến dịch của tháng 6, tháng 7 có một số điểm mới:

  • Đã có cơ chế chống Bruteforce đối với một số trường nhập vào của trang Phishing.
  • Số lượng tên miền lừa đảo tăng lên so với hạ tầng IP chiến dịch cũ.
  • Đa dạng hóa nội dung bằng cách dịch chuyển phân bố nội dung từ lừa đảo trúng thưởng sang ngân hàng, cho vay vốn,…

Chiến dịch Phishing mới có phần cải thiện đáng kể bằng cách đa dạng hóa nội dung, chuyển dịch cơ cấu giữa các hình thức lừa đảo.

Chiến dịch cũ nội dung chưa đa dạng, chủ yếu đánh vào chủ đề trúng thưởng. Ảnh: VTI.
Nội dung chiến dịch mới được đa dạng hóa thêm nội dung ngân hàng, vay vốn và thanh toán thẻ. Ảnh: VTI
Biểu thị so sánh số lượng loại tên miền giữa hai chiến dịch. Ảnh: VTI

Dựa trên một số thông tin chúng tôi crawl được từ không gian mạng, chúng ta có thể thấy được một số phần khá rõ ràng của nhóm này.

Hoạt động của nhóm tấn công trong hai chiến dịch biểu thị theo thời gian. Ảnh: VTI.

Có thể thấy nhóm này hoạt động rất mạnh vào thời gian đầu tháng 3 và giữa tháng 4, nhưng sau đó gần như im lặng trong suốt tháng 5 thì sang tháng 6 và tháng 7 hoạt động trở lại trong chiến dịch mới.

Theo điều tra của VTI, việc “án binh bất động” của nhóm lừa đảo trong tháng 5 có phần nào liên quan tới chuyên án bắt giữ một nhóm lừa đảo Phishing với thủ đoạn tương tự nhắm tới hơn 100 nạn nhân bị lừa tới hàng tỷ đồng.

Chuyên án bắt giữ các đối tượng Phishing lừa đảo vào đầu tháng 5/2020. Nguồn: VTI.
Phần bố số lượng tên miền Phishing đăng ký theo giờ trong ngày của hai chiến dịch. Ảnh: VTI.

Nhìn vào phân bố số lượng tên miền Phishing đăng ký theo giờ Việt Nam trong ngày của hai chiến dịch được sử dụng (màu xanh là chiến dịch cũ, màu hồng chiến dịch mới) có thể đưa ra được một số nhận định:

  • Giờ hoạt động mạnh nhất của nhóm này thường trong khoảng cuối giờ sáng, cuối giờ chiều, tối. Vào khung giờ trưa thì không hoạt động nhiều, các khung giờ đêm thì chỉ tồn tại một số hoạt động lẻ tẻ, không quá nhiều.
  • Có thể nhận định được nhanh rằng nhóm lừa đảo cũng sinh hoạt theo khung giờ Việt Nam (GMT +7) hoặc các khung giờ GMT +6 hoặc GMT +8 (của các nước láng giềng trong khu vực).
Phân bố số lượng tên miền Phishing theo loại được tạo trong chiến dịch cũ. Ảnh: VTI.
Phân bố số lượng tên miền Phishing theo loại được tạo trong chiến dịch mới. Ảnh: VTI.

Nhìn hai biểu đồ phân bố số lượng tên miền theo loại của chiến dịch cũ và mới, có thể thấy nhóm lừa đảo đã phát triển hơn về mặt nội dung, thường xuyên cập nhật liên tục theo tuần chứ không dừng ngắt quãng lại như chiến dịch trước.

Dựa vào thông tin đã thu thập trước đây vào cuối năm 2019 và so sánh tính chất giữa hai chiến dịch, chúng tôi đưa ra một số kết luận sau:

  • Nhóm lừa đảo này đã từng hoạt động lẻ tẻ vào cuối năm 2019, đến tháng 3 tháng 4 bắt đầu triển khai chiến dịch lừa đảo diện rộng, tháng 6 và tháng 7 tiếp tục triển khai chiến dịch mới.
  • Hoạt động lừa đảo của nhóm ngưng trệ trong tháng 5 vì một số tình hình chuyên án đã bị bắt giữ trong thời gian này.
  • Dựa vào tuần suất phân bố số lượng tên miền đăng ký theo giờ, có thể đưa ra nhận định rằng các đối tượng này sinh hoạt tại những quốc gia trong khung giờ GMT +6 cho tới GMT +8 của các nước láng giềng tại Việt Nam. Hiện tại chưa có sở cứ kết luận những đối tượng lừa đảo này sinh sống trong nước.
  •  Tuy thủ đoạn không mới, có phần cóp nhặt nội dung so với các đối tượng lừa đảo trước đây, nhưng nhóm này đã thể hiện sự cải tiến, rút kinh nghiệm để tăng tính hiệu quả (VD: thêm cơ chế chống Brute-force, sử dụng các công cụ triển khai tự động hóa, đa dạng hóa và bổ sung nội dung cho các loại hình thức, kịch bản lừa đảo…).
  •  Dự kiến trong thời gian tới khi việc khai thác không còn hiệu quả (Vì IP sử dụng sẽ vào danh sách Blacklist của nhiều tổ chức), nhóm này sẽ ngưng sử dụng hạ tầng IP 167.114.2[.]51 và chuyển sang hạ tầng khác với nội dung đa dạng hơn trước đây.

Để tiếp tục theo dõi và xem những nội dung chi tiết hơn nữa của chiến dịch này, độc giả có thể đăng ký tài khoản tại trang cyberintel[.]io để sử dụng dịch vụ Viettel Threat Intelligence.

5. Hạ tầng/tên miền Phishing được sử dụng bởi nhóm lừa đảo

5.1. Chiến dịch tháng 6 và tháng 7 sử dụng IP 167.114.2[.]51

Chiến dịch Phishing mới diễn ra từ tháng 6. Ảnh: VTI.

IOC IP:

  • 167.114.2[.]51 (khuyến cáo Blacklist trong vòng 3 tháng).

IOC Phishing ngân hàng:

  • na***vn[.]com (mạo danh cổng thanh toán điện tử lớn tại Việt Nam, nhưng hiện tại chưa được sử dụng, đang được cấu hình để redirect về trang chính chủ)
  •  **bankonline[.]com (mạo danh ngân hàng lớn tại Việt Nam, hiện tại trang phishing không còn sống)
  • hethongnganhangvn[.]com
  • nganhangxacnhanvay[.]com
  • trangxacnhan24h[.]com
  • hethongnganhang[.]com
  • xacnhanvaynganhang[.]com
  • nganhangchuyenkhoan[.]com
  • trangnganhangvn[.]com
  • fbanking24h[.]com
  • hdcrited[.]com (được sử dụng nhiều trong chiến dịch vừa qua)
  • nganhangchuyentien[.]com
  • ngan*******nuocvn[.]com (Tên miền mạo danh Tổ chức tài chính lớn của nhà nước).
  • nganhanggiaodich[.]com
  • trangnganhang[.]com
  • kiemtratrangthaithe[.]com
  • quydoingoaite-western[.]com
  • nganhangxacnhanvn[.]com
  • nganhangxacnhan[.]com
  • bankingplus24h[.]com
  • xacnhannganhangvn[.]com
  • tracuutrangthaithe[.]com
  • xacnhanthongtin[.]com
  • trangxacnhanvn[.]com
  • giaodichnganhangvn[.]com
  • ibankingvtc[.]com
  • kiemtrathecao24h[.]com

IOC Phishing sử dụng chương trình vay vốn tiền mặt:

  • taichinh24g[.]online
  • vay2s[.]com
  • id-vay[.]com
  • vaytien24s[.]online
  • vaytiennhanh[.]online

IOC Phishing sử dụng chương trình thanh toán thẻ điện tử:

  • trangthezing[.]com
  • kiemtrathegame.net
  • tongdaihehongthezing[.]com
  • trangchuzingvng[.]com
  • tongdaithe[.]com
  • kiemtrathevnn[.]com
  • trangchuzing090[.]com
  • xacminhthegame[.]com
  • tongdaizing365[.]com
  • thongtinthevcoin[.]com
  • kiemtrapayzing[.]com
  • tracuuthetructuyen[.]com
  • kiemtrathe[.]com
  • mobigunny[.]com
  • tongdaizing247[.]com
  • kiemtratheonline[.]com
  • xacminhzingme[.]com
  • tracuuthezing247[.]com

IOC Phishing sử dụng chủ đề trúng thưởng:

  • hethongsp[.]com
  • tangthuong79[.]com
  • nhanthuong247vn[.]com
  • hopqua247vn[.]com
  • quavangsp252[.]com
  • tinvangsp505[.]com
  • tinthuongthang8[.]com
  • giaiviet2020[.]com
  • hoso393vn[.]com
  • hoso898vn[.]com
  • lethuongthang7[.]com
  • mxh0779[.]com
  • lelocvang2020vn[.]com
  • vongquayvangsp2020[.]com
  • thongtinsukienthang7[.]com
  • traoqua797vn[.]com
  • traothuong779vn[.]com
  • traothuong595vn[.]com
  • tranggiovang[.]com
  • hososukien252[.]com
  • hosovongquay[.]com
  • thongtinsukienvn2020[.]com
  • sukien577[.]com
  • giaithuongviet2020[.]com
  • traoqua379vn[.]com
  • traoqua525vn[.]com
  • quaysomayman2020[.]com
  • tinthuongthang7[.]com
  • tongdaizing090[.]com
  • tuvanmxh365[.]com
  • giainhatgapo2020[.]com
  • tranghoso88[.]com
  • hotro779[.]com
  • sukienqua2020vn[.]com
  • hoso797vn[.]com
  • hotrodichvu2020[.]com
  • traoquasukien365vn[.]com
  • nhanphanqua2020[.]com
  • traotanglocvang[.]com
  • trangchugrindr[.]com
  • quamayman739[.]com
  • traoquasukien24hvn[.]com
  • sukienvn2020[.]com
  • hopqua393vn[.]com
  • hopquavn979[.]com
  • thongbaoquykhach89[.]com
  • hosogiai2020[.]com
  • traoquasukienthang6[.]com
  • traogiainhat777[.]com

5.2  Chiến dịch tháng 3 và tháng 4 sử dụng IP 174.136.14[.]95 (Hiện tại chiến dịch này đã kết thúc, chỉ còn giá trị tham khảo)

Phishing ngân hàng:

  • bo********2020[.]com (cũng mạo danh tổ chức Tài chính lớn tại Việt Nam).
  • ***ibanking[.]com (mạo danh ngân hàng thương mại lớn tại Việt Nam)
  • vtcbanking[.]com
  • westernutionbank[.]com
  • xacnhannganhang[.]com

Phishing giả mạo chương trình trúng thưởng, tặng quà:

  • mc24h[.]com
  • codevip24h[.]com
  • traoxe888[.]com
  • thuongvang365[.]com
  • tinvang2020vn[.]com
  • tangquaxe2020[.]com
  • trangthaithecao2020[.]com
  • thongtinthedt[.]com
  • giainhatfb379[.]com
  • vinfastprize[.]com
  • xenhapkhauuytin[.]com
  • letrian2020[.]com
  • nhanquaxe2020[.]com
  • quatangtrian2020[.]com
  • kiemtrathetructuyen[.]com
  • nhanngay24h[.]com
  • quathu20[.]com
  • traoxe666[.]com
  • legiaithang4[.]com
  • phanqua20[.]com
  • hethongquatang2020[.]com
  • traogiaitrian2020[.]com
  • trianvang2020[.]com
  • trungxe55[.]com
  • thongtingiainhat7979[.]com
  • hethongvangfb2020[.]com
  • quasukienvn77[.]com
  • traoquasukienshopee[.]com
  • shopee24hvn[.]com
  • hotrotrian152[.]com
  • giaithuong2020[.]com
  • giaithuong20[.]com
  • lequagiai2020[.]com
  • kenhqua2020[.]com
  • giaihenho2020[.]com
  • trangqua379[.]com
  • vietnamquafb2020[.]com
  • giaigiovang2020[.]com
  • nhanthuong24h[.]com
  • confirmbanking[.]com
  • giainhat2020[.]com
  • sukienshopee24h[.]com
  • shopeevietnam2020[.]com
  • traogiai2020vn[.]com
  • hethonggiai2020[.]com
  • xethanhlyhaiquan[.]com
  • hethong2020[.]com
  • nhanthuongsh[.]com
  • trungxe888[.]com
  • traoquasukienthang3[.]com
  • kiemtragamezing[.]com
  • traoquaxe2020[.]com
  • tuanlevang168[.]com
  • letrian552[.]com
  • xacnhanhoso2020[.]com
  • vietnamqua2020[.]com
  • hethongvangvn2020[.]com
  • nhanthuongvn2020[.]com
  • quatrianvn777[.]com
  • trianvn379[.]com
  • letrungvang2020[.]com
  • nhangiaivongquay2020fb[.]com
  • sukientraogiai2020[.]com
  • sukientrian2020[.]com
  • shopeevnn2020[.]com
  • shopeeapp2020[.]com
  • hotro2020[.]com
  • nhanthuong2020[.]com
  • loctrianthang3[.]com
  • kiemtrathe247[.]com
  • giaithuongtrian2020[.]com
  • giovang2020[.]com
  • thangvang2020vn[.]com
  • mxh000[.]com
  • locxuan679[.]com
  • trianvn77[.]com
  • hethongvang2020[.]com
  • hopquatang2020[.]com
  • traoquavn2020[.]com
  • traoquatang2020[.]com
  • hosothang2020[.]com
  • tingiaithang3[.]com
  • trungqua222[.]com