Luận bàn về trào lưu Phishing trong ngành tài chính, ngân hàng cuối năm 2019
Năm 2019 đang dần tới kết thúc với chuỗi ngày mưa gió của cơn bão số 8 đang càn quét Philippines đổ bộ vào biển Đông mạnh mẽ cũng như sóng gió giữa J và K-ICM vậy. Và hệt như những ngày này, mảng An toàn thông tin (ATTT) của ngành tài chính, ngân hàng Việt Nam cũng đối diện nhiều sóng gió khi nhìn lại các sự kiện toàn cảnh trong năm qua.
Ngoảnh lên màn hình, nổi bật và chiếm tâm điểm lớn trên truyền thông, trên mặt báo là sự cố tai tiếng về việc lộ lọt hai triệu dữ liệu của người dùng ngân hàng MSB tạo ra vô số cơ hội cho những kẻ với ý đồ xấu. Ngoảnh đầu về vòng tròn hẹp của những người anh trong giới “giang hồ”, năm 2019 không nằm ngoại lệ so với 2018, 2017, chúng ta cũng thường nghe loáng thoáng đâu đó về sự cố tấn công có chủ đích của những người anh em từ phương Bắc đang nhắm vào ngân hàng X nọ, ngân hàng Y kia với mức thiệt hại đáng sợ. Ngoảnh lên mạng xã hội, Facebook lại tràn ngập những thông tin về người dùng ngân hàng nọ bị lừa mất cả tình lẫn tiền chỉ vì thủ đoạn Phishing tưởng như cũ không tưởng mà lại mới không thể ngờ.
Trong vai những “phóng viên” cần mẫn bất kể đêm hay ngày, nhóm phóng viên chúng tôi thường xuyên tác nghiệp và chạm trán với muôn hình vạn trạng của các thể loại “giăng lưới” bình cũ rượu mới, bình mới rượu cũ, bình cũ rượu cũ trong năm 2019 đầy sóng gió.
Chút lưu ý nhỏ cho độc giả:
· Những tên miền đã được “uncensored” trong bài là từ những case cũ, case phổ biến, những trường có thể dễ dàng tìm thấy trên báo chí chính thống, nhưng case được xác định Suspicious.
· Những thông tin được “censored” là các trường hợp còn đang theo dõi phức tạp, chưa lên mặt báo chí truyền thông.
Kịch bản của phishing có tựa chung chung sẽ luôn là
Ngày đẹp trời đầy nắng yêu đời trong chiều lạnh nhiều nắng thu, chị P nhận được tin nhắn từ tổng đài của người “giăng lưới” từ một tổng đài Viiet[A-Za-z?*]bank (Viiet với hai chữ “i”) có nội dung thẳng thừng:
Hoảng hốt, chị click vội vào đường dẫn trong tin nhắn và nhập thông tin E-banking vào form đăng nhập. Hồi sau của câu chuyện độc giả cũng đã quá rõ trên các mặt báo, trang tin, người viết sẽ không cần đi vào chi tiết nữa. Mọi câu chuyện Phishing thành công luôn dẫn tới hệ quả giống nhau.
Và mọi câu chuyện “giăng lưới” thành công luôn đi kèm theo nguyên tắc: “Bàn tay con người” – không có bàn tay con người tác động, chiến thuật của dân “giăng lưới” chẳng còn giá trị.
“Bàn tay ta làm nên tất cả
Có sức người vài chữ mất sạch cơm”
Western Union – chủ đề quốc dân trong nghề “giăng lưới” ngân hàng
Hơn 90% trường hợp “giăng lưới” ngân hàng đều dựa trên kịch bản sử dụng qua dịch vụ Western Union. Với kịch bản nhập thông tin đăng nhập với mã giao dịch để được nhận tiền từ nước ngoài, rất nhiều người đã mất tiền oan ức chỉ sau vài thao tác đơn giản.
So với các chiến dịch “giăng lưới” vào người dùng ngân hàng với chủ đích rõ ràng, các form phishing Western Union thường được xây dựng với giao diện đơn giản nhưng hiệu quả cao.
“Giăng lưới” có chủ đích để bắt mẻ cá lớn
Trong thời gian qua, các ngân hàng tại Việt Nam thường xuyên thông báo các trường hợp giả mạo tổ chức để lừa người dùng nộp tiền nhận quà tặng. Kịch bản thường sẽ diễn ra như dưới đây:
Các đối tượng “giăng lưới” kết hợp với tin nhắn SMS sẽ gọi điện thông báo chúc mừng, thuyết phục người dùng nhập thông tin vào đường dẫn để nhận thưởng (thường thì thông tin số điện thoại và địa chỉ nạn nhân đã bị bán ra thị trường trước đó, VD gần đây nhất: https://vtv.vn/chuyen-dong-24h/bat-3-nhan-vien-ngan-hang-ban-thong-tin-tai-khoan-cua-doanh-nghiep-20191208193630046.htm).
Đặc biệt trong chiến dịch này ghi nhận sự xuất hiện của nhiều tên miền liên tục được thay mới ngay trong ngày với mục đích để tránh bị phát hiện. Tất cả các tên miền này đều được trỏ về máy chủ IP Việt Nam nhưng được đăng ký với thông tin giả. Trong toàn bộ chiến dịch “giăng lưới” diễn ra, hệ thống ghi nhận nhóm tấn công này chỉ lấy một ngân hàng duy nhất làm mục tiêu cụ thể.
Cho đến khi đã lấy cắp tiền thành công và được báo chí rầm rộ đưa tin về chiến dịch này, các “phóng viên 247” không ghi nhận thêm trường hợp “giăng lưới” tương tự vào ngân hàng này. Tổng quan toàn bộ chiến dịch được tóm gọn trong mô hình graph forensic dưới đây:
Diễn ra cả trước, sau và song song với chiến dịch ”giăng lưới” trên, các “phóng viên 247” cũng ghi nhận trường hợp các tên miền đuôi .vip, .top có nội dung đến từ những người anh em phía Bắc. Trong chiến dịch này, các đối tượng cũng trực tiếp nhắm tới một ngân hàng cụ thể.
Theo đánh giá của các “phóng viên 247”, chiến dịch “giăng lưới” đến từ những người anh em phía Bắc diễn ra thành công, hoàn toàn nằm ngoài tâm điểm truyền thông báo chí. Chiến dịch “giăng lưới” ngân hàng .vip được ghi nhận kéo dài hơn 1 tháng.
Ăn mạnh, đánh nhanh nhưng bền bỉ
Những kẻ “giăng lưới” muốn đánh nhanh, làm gọn với hiệu quả tốt thường sẽ sử dụng các dịch vụ tạo form bên thứ ba vốn được sử dụng ban đầu trong marketing hoặc quảng cáo.
Với nhu cầu như vậy, Weebly.com dễ dàng đáp ứng nhanh chóng được các nhu cầu của những người “giăng lưới”:
· Hoàn toàn Free.
· Dựng nhanh, dễ dùng. Chỉ mất 10 phút là có thể deploy một form phishing hoàn chỉnh.
· Giao diện dễ tùy chỉnh ưa nhìn.
· Dễ dàng ẩn danh.
Các chiến dịch “giăng lưới” sử dụng tên miền Weebly thường kéo dài trong khoảng thời gian 2 tháng liên tục hướng tới nhiều ngân hàng với số lượng kết nối lớn. Cho đến thời điểm hiện tại, nhiều tên miền phishing liên quan tới weebly vẫn còn sôngs và cần mẫn gửi vào tin nhắn SMS của nhiều khách hàng.
Tổng quan toàn bộ chiến dịch được tóm gọn trong mô hình dưới đây theo trang cyberintel.io:
Những thách thức mới cho năm 2020
Không gian mạng luôn là nơi trú ngụ hành vi hiểm ác cho nhiều động cơ khó lường của nhiều kẻ xấu. Luôn có những nguy cơ chưa thể xác định rõ ràng, luôn có những mảng tối phát sinh chưa thể chứng minh động cơ cụ thể. Trong quá trình tác nghiệp, nhóm “phóng viên 247” luôn
Ví dụ về một trường hợp các tên miền ngân hàng có tính chất nhạy cảm được “gom rồi để đó” tại một máy chủ “phương Bắc”. Có lẽ một ngày đẹp trời nào đó nó sẽ có mục đích cụ thể chăng?
Và có lẽ một ngày đẹp trời hơn nữa, liệu ông hosting đang bán tên miền này sẽ cho ra những domain “đẹp” như V[A-Za-z^*]bank.vn.com hay Viet[A-Za-z^*]bank.vn.com, lúc đó thì ai dám lường trước được?
Có lẽ cũng không xa lắm đâu...