Chiến dịch phishing các ngân hàng tại Việt Nam

1. Tổng quan

Trong quá trình săn tìm nguy cơ trên không gian mạng, Trung tâm Phân tích và Chia sẻ nguy cơ An ninh mạng Viettel (Viettel Threat Intelligence) đã phát hiện nhiều URL của các trang web lừa đảo, giả mạo thương hiệu doanh nghiệp và tổ chức thuộc lĩnh vực tài chính – dịch vụ tại Việt Nam.

  • Lĩnh vực: Tài chính – dịch vụ tại Việt Nam.
  • Mục tiêu: Người dùng kinh doanh trên nền tảng Facebook.
  • Thời gian hoạt động: Tháng 5/2022 đến nay

2. Kịch bản lừa đảo

Hình 1: Sơ đồ minh họa kịch bản lừa đảo

Trong vai người dùng có nhu cầu mua hàng từ những cửa hàng, người bán hàng trên Facebook; các đối tượng tiếp cận nạn nhân để thực hiện các hành vi lừa đảo theo các bước:

Bước 1: Đặt mua các sản phẩm, dịch vụ của người bán hàng trên Facebook; đề nghị thanh toán hoặc đặt cọc thông qua hình thức chuyển khoản cho người bán.

Bước 2: Gửi ảnh chụp màn hình biên lai giao dịch, thông báo chuyển tiền thành công (tuy nhiên; đây là những bức ảnh giả mạo, đã được chỉnh sửa thông tin để lừa người bán).

Hình 2: Thông báo chuyển khoản thành công giả mạo

Bước 3: Khi nạn nhân kiểm tra và thông báo chưa nhận được tiền, các đối tượng thường lấy lý do ngân hàng không làm việc vào cuối tuần, việc chuyển tiền liên ngân hàng bị chậm, ngân hàng đang bảo trì, … nhằm yêu cầu nạn nhân truy cập “ví điện tử” của ngân hàng để kiểm tra lại. Đồng thời, đối tượng cũng gửi kèm đường dẫn tới trang web lừa đảo.

Hình 3: Đối tượng dụ dỗ nạn nhân truy cập vào đường dẫn lừa đảo

Bước 4: Hướng dẫn nạn nhân nhập thông tin và mã OTP. Các thông tin đăng nhập vào tài khoản ngân hàng sẽ được gửi về cho các đối tượng này.

Bước 5:Các đối tượng sử dụng thông tin của nạn nhân (tài khoản, mật khẩu và mã OTP) để chiếm đoạt tài sản.

3. Phân tích trang web lừa đảo, giả mạo

Với mỗi ngân hàng, đối tượng tạo một đường dẫn để truy cập vào trang web lừa đảo, giả mạo. Đường dẫn này có dạng: hxxp://[phishingdomain].com/[banking_name]. Trung bình, mỗi tên miền (domain) có khoảng hơn 20 đường dẫn lừa đảo, tương ứng với hơn 20 ngân hàng.

Hình dưới đây là giao diện của trang web lừa đảo với logo thương hiệu và hình ảnh của một ngân hàng tại Việt Nam.

Hình 4: Giao diện trang web lừa đảo

Truy cập vào trang web, nạn nhân sẽ được yêu cầu đăng nhập với [Tên đăng nhập][Mật khẩu]là thông tin tài khoản ngân hàng trực tuyến của nạn nhân. Khi nạn nhân nhập thông tin, dữ liệu được gửi tới đối tượng trong hai biến FieldData1 FieldData2:

Hình 5: Thông tin đăng nhập của nạn nhân

Hàm PHP thực hiện việc gửi email có chứa thông tin đến đối tượng lừa đảo.

Hình 6: Thông tin đăng nhập được gửi tới địa chỉ email của nhóm lừa đảo

Nạn nhân sẽ tiếp tục được điều hướng tới trang login.php, trang web yêu cầu nạn nhân cung cấp mã OTP để xác minh. Thông tin về mã OTP sẽ được lưu vào trong biến FieldData0 và gửi email đến đối tượng lừa đảo.

Hình 7: Giao diện trang web yêu cầu nhập mã OTP
Hình 8: Thông tin về mã OTP của nạn nhân
Hình 9: Thông tin về mã OTP được gửi tới địa chỉ email của nhóm lừa đảo

Sau đó, trang web thông báo mã OTP không đúng và yêu cầu nạn nhân nhập lại thông tin. Dữ liệu về mã OTP sẽ tiếp tục được gửi về email của đối tượng lừa đảo.

4. Hạ tầng

Dựa trên điều tra của chúng tôi, Viettel Threat Intelligence nhận thấy nhóm đối tượng sử dụng 2 IP 42.112.30[.]3942.112.30[.]59 để làm IP lưu trữ các tên miền độc hại. Danh sách các tên miền lừa đảo có thể được tìm thấy trong phần IOC của bài phân tích.

Hình 11: IP 42.112.30[.]39 trên hệ thống Viettel Threat Intelligence
Hình 12: IP 42.112.30[.]59 trên hệ thống Viettel Threat Intelligence

5. Khuyến nghị

Càng về dịp cuối năm 2022 và tết Nguyên đán 2023, Viettel Threat Intelligence dự báo số lượng các cuộc lừa đảo, giả mạo sẽ ngày càng tăng. Các nhóm đối tượng sẽ sử dụng nhiều hình thức lừa đảo tinh vi, khó phát hiện hơn. Viettel Threat Intelligence khuyến cáo người dùng, tổ chức cần cẩn trọng, nâng cao cảnh giác trước các thủ đoạn tinh vi của các đối tượng lừa đảo và nên thực hiện các biện pháp sau:

  • Đối với tổ chức:

- Sử dụng các dịch vụ, giải pháp Threat Intelligence để phát hiện sớm các nguy cơ cũng như kịp thời cảnh báo, bảo vệ khách hàng của mình.

- Cảnh báo người dùng sử dụng dịch vụ của tổ chức về các chiến dịch, hình thức lừa đảo mới.

  • Đối với người dùng:

- Không truy cập và thực hiện giao dịch tín dụng trên các đường dẫn, trang web lạ nhận được qua điện thoại, tin nhắn hoặc email.

- Liên hệ với ngân hàng để kiểm tra, tra soát các giao dịch.

- Không cung cấp thông tin đăng nhập, mã OTP với bất kỳ ai.

- Tuyệt đối không cung cấp thông tin cá nhân cho người lạ và không đăng tải các thông tin cá nhân (bao gồm giấy tờ tùy thân) lên mạng xã hội để tránh bị kẻ gian lấy cắp và sử dụng trái phép.

Tuyên bố miễn trừ trách nhiệm

Thông tin do hệ thống Viettel Threat Intelligence của Công ty An ninh mạng Viettel cung cấp được thu thập từ các nguồn khác nhau trên Internet, không nhằm mục đích tấn công hoặc gây tổn hại cho bất kỳ tổ chức hoặc cá nhân nào.

6. Phụ lục - Danh sách IP và Tên miền độc hại

IP

  • 42.112.30[.]39
  • 42.112.30[.]59

Tên miền:

mucnganhangso247[.]com

hethong-vidientu247[.]com

vidientu-online247[.]com

cong247online[.]com

trangchuvi247[.]com

mucvi-247[.]com

nganhangvietnam247[.]com

dichvuvi247[.]com

trangxacnhan247[.]com

trangnganhangso247[.]com

vidientunganhang247[.]com

trangvidientu-247[.]com

nganhangso-247[.]com

vitructuyen-247[.]com

dichvuvidientu247[.]com

muc-247[.]com

trangchuvidientu247[.]com

vi247online[.]com

congvi247[.]com

hethongnganhang247[.]com

vionline247[.]com

vi247vietnam[.]com

mucvidientu247[.]com

trangnganhangdientu[.]com

congthongtinnganhang[.]com

nganhangdientu24-7[.]com

nganhangdientu365[.]com

congvidientuplus[.]com

nhan-tienvidientu247[.]com

mucquanly-vidientu[.]com

vidientu-vietnam[.]com

vidientubank2022[.]com

vidientutrangtructuyen247[.]com

nhantienvidientuplus[.]com

trangvidientuonline247[.]com

hopthuvidientu[.]com

thanhtoanvidientu247[.]com

ividientu[.]com

mucvidientutructuyen247[.]com

mucvidientuvietnam247[.]com

muc247-vidientu[.]com

payvidientu[.]com

onlinevidientu[.]com

payonlinevidientu247[.]com

quantrividientu[.]com

trangvidientu24h[.]com

muc-vidientu[.]com

mucvidientu24-7[.]com

vidientunganhangso247[.]com

ipayvidientu[.]com

onlinevidientu247[.]com

congvidientupay[.]com

homevidientu247[.]com

quanlyvidientupay[.]com

vidientu247pay[.]com

payvidientu247[.]com

vidientu2022[.]com

trangvidientu247[.]com

congthongtinvidientu[.]com

trangchu247vidientu[.]com

nhantienvidientupay[.]com

vidientuvietnam247[.]com

banking-vidientu247[.]com

tructuyen-vidientu[.]com

mucvidientuonline247[.]com

trangthanhtoanvidientu247[.]com

247trangvidientu[.]com

lienketvidientu[.]com

mucgiaodich-vidientu[.]com

nhantien-banking247[.]com

nhantien-online247[.]com

trangnhantienvi[.]com

nhantienvipay[.]com