Chiến dịch phishing các ngân hàng tại Việt Nam
1. Tổng quan
Trong quá trình săn tìm nguy cơ trên không gian mạng, Trung tâm Phân tích và Chia sẻ nguy cơ An ninh mạng Viettel (Viettel Threat Intelligence) đã phát hiện nhiều URL của các trang web lừa đảo, giả mạo thương hiệu doanh nghiệp và tổ chức thuộc lĩnh vực tài chính – dịch vụ tại Việt Nam.
- Lĩnh vực: Tài chính – dịch vụ tại Việt Nam.
- Mục tiêu: Người dùng kinh doanh trên nền tảng Facebook.
- Thời gian hoạt động: Tháng 5/2022 đến nay
2. Kịch bản lừa đảo
Trong vai người dùng có nhu cầu mua hàng từ những cửa hàng, người bán hàng trên Facebook; các đối tượng tiếp cận nạn nhân để thực hiện các hành vi lừa đảo theo các bước:
Bước 1: Đặt mua các sản phẩm, dịch vụ của người bán hàng trên Facebook; đề nghị thanh toán hoặc đặt cọc thông qua hình thức chuyển khoản cho người bán.
Bước 2: Gửi ảnh chụp màn hình biên lai giao dịch, thông báo chuyển tiền thành công (tuy nhiên; đây là những bức ảnh giả mạo, đã được chỉnh sửa thông tin để lừa người bán).
Bước 3: Khi nạn nhân kiểm tra và thông báo chưa nhận được tiền, các đối tượng thường lấy lý do ngân hàng không làm việc vào cuối tuần, việc chuyển tiền liên ngân hàng bị chậm, ngân hàng đang bảo trì, … nhằm yêu cầu nạn nhân truy cập “ví điện tử” của ngân hàng để kiểm tra lại. Đồng thời, đối tượng cũng gửi kèm đường dẫn tới trang web lừa đảo.
Bước 4: Hướng dẫn nạn nhân nhập thông tin và mã OTP. Các thông tin đăng nhập vào tài khoản ngân hàng sẽ được gửi về cho các đối tượng này.
Bước 5:Các đối tượng sử dụng thông tin của nạn nhân (tài khoản, mật khẩu và mã OTP) để chiếm đoạt tài sản.
3. Phân tích trang web lừa đảo, giả mạo
Với mỗi ngân hàng, đối tượng tạo một đường dẫn để truy cập vào trang web lừa đảo, giả mạo. Đường dẫn này có dạng: hxxp://[phishingdomain].com/[banking_name]. Trung bình, mỗi tên miền (domain) có khoảng hơn 20 đường dẫn lừa đảo, tương ứng với hơn 20 ngân hàng.
Hình dưới đây là giao diện của trang web lừa đảo với logo thương hiệu và hình ảnh của một ngân hàng tại Việt Nam.
Truy cập vào trang web, nạn nhân sẽ được yêu cầu đăng nhập với [Tên đăng nhập] và [Mật khẩu]là thông tin tài khoản ngân hàng trực tuyến của nạn nhân. Khi nạn nhân nhập thông tin, dữ liệu được gửi tới đối tượng trong hai biến FieldData1 và FieldData2:
Hàm PHP thực hiện việc gửi email có chứa thông tin đến đối tượng lừa đảo.
Nạn nhân sẽ tiếp tục được điều hướng tới trang login.php, trang web yêu cầu nạn nhân cung cấp mã OTP để xác minh. Thông tin về mã OTP sẽ được lưu vào trong biến FieldData0 và gửi email đến đối tượng lừa đảo.
Sau đó, trang web thông báo mã OTP không đúng và yêu cầu nạn nhân nhập lại thông tin. Dữ liệu về mã OTP sẽ tiếp tục được gửi về email của đối tượng lừa đảo.
4. Hạ tầng
Dựa trên điều tra của chúng tôi, Viettel Threat Intelligence nhận thấy nhóm đối tượng sử dụng 2 IP 42.112.30[.]39 và 42.112.30[.]59 để làm IP lưu trữ các tên miền độc hại. Danh sách các tên miền lừa đảo có thể được tìm thấy trong phần IOC của bài phân tích.
5. Khuyến nghị
Càng về dịp cuối năm 2022 và tết Nguyên đán 2023, Viettel Threat Intelligence dự báo số lượng các cuộc lừa đảo, giả mạo sẽ ngày càng tăng. Các nhóm đối tượng sẽ sử dụng nhiều hình thức lừa đảo tinh vi, khó phát hiện hơn. Viettel Threat Intelligence khuyến cáo người dùng, tổ chức cần cẩn trọng, nâng cao cảnh giác trước các thủ đoạn tinh vi của các đối tượng lừa đảo và nên thực hiện các biện pháp sau:
- Đối với tổ chức:
- Sử dụng các dịch vụ, giải pháp Threat Intelligence để phát hiện sớm các nguy cơ cũng như kịp thời cảnh báo, bảo vệ khách hàng của mình.
- Cảnh báo người dùng sử dụng dịch vụ của tổ chức về các chiến dịch, hình thức lừa đảo mới.
- Đối với người dùng:
- Không truy cập và thực hiện giao dịch tín dụng trên các đường dẫn, trang web lạ nhận được qua điện thoại, tin nhắn hoặc email.
- Liên hệ với ngân hàng để kiểm tra, tra soát các giao dịch.
- Không cung cấp thông tin đăng nhập, mã OTP với bất kỳ ai.
- Tuyệt đối không cung cấp thông tin cá nhân cho người lạ và không đăng tải các thông tin cá nhân (bao gồm giấy tờ tùy thân) lên mạng xã hội để tránh bị kẻ gian lấy cắp và sử dụng trái phép.
Tuyên bố miễn trừ trách nhiệm
Thông tin do hệ thống Viettel Threat Intelligence của Công ty An ninh mạng Viettel cung cấp được thu thập từ các nguồn khác nhau trên Internet, không nhằm mục đích tấn công hoặc gây tổn hại cho bất kỳ tổ chức hoặc cá nhân nào.
6. Phụ lục - Danh sách IP và Tên miền độc hại
IP
- 42.112.30[.]39
- 42.112.30[.]59
Tên miền:
mucnganhangso247[.]com
hethong-vidientu247[.]com
vidientu-online247[.]com
cong247online[.]com
trangchuvi247[.]com
mucvi-247[.]com
nganhangvietnam247[.]com
dichvuvi247[.]com
trangxacnhan247[.]com
trangnganhangso247[.]com
vidientunganhang247[.]com
trangvidientu-247[.]com
nganhangso-247[.]com
vitructuyen-247[.]com
dichvuvidientu247[.]com
muc-247[.]com
trangchuvidientu247[.]com
vi247online[.]com
congvi247[.]com
hethongnganhang247[.]com
vionline247[.]com
vi247vietnam[.]com
mucvidientu247[.]com
trangnganhangdientu[.]com
congthongtinnganhang[.]com
nganhangdientu24-7[.]com
nganhangdientu365[.]com
congvidientuplus[.]com
nhan-tienvidientu247[.]com
mucquanly-vidientu[.]com
vidientu-vietnam[.]com
vidientubank2022[.]com
vidientutrangtructuyen247[.]com
nhantienvidientuplus[.]com
trangvidientuonline247[.]com
hopthuvidientu[.]com
thanhtoanvidientu247[.]com
ividientu[.]com
mucvidientutructuyen247[.]com
mucvidientuvietnam247[.]com
muc247-vidientu[.]com
payvidientu[.]com
onlinevidientu[.]com
payonlinevidientu247[.]com
quantrividientu[.]com
trangvidientu24h[.]com
muc-vidientu[.]com
mucvidientu24-7[.]com
vidientunganhangso247[.]com
ipayvidientu[.]com
onlinevidientu247[.]com
congvidientupay[.]com
homevidientu247[.]com
quanlyvidientupay[.]com
vidientu247pay[.]com
payvidientu247[.]com
vidientu2022[.]com
trangvidientu247[.]com
congthongtinvidientu[.]com
trangchu247vidientu[.]com
nhantienvidientupay[.]com
vidientuvietnam247[.]com
banking-vidientu247[.]com
tructuyen-vidientu[.]com
mucvidientuonline247[.]com
trangthanhtoanvidientu247[.]com
247trangvidientu[.]com
lienketvidientu[.]com
mucgiaodich-vidientu[.]com
nhantien-banking247[.]com
nhantien-online247[.]com
trangnhantienvi[.]com
nhantienvipay[.]com