Viettel Threat Intelligence (VTI) cảnh báo về nguy cơ tấn công lừa đảo có chủ đích tại Việt Nam đang tiếp diễn từ năm khoảng năm 2018 đến nay. Trong quá trình điều tra, nhóm VTH (Threat Hunting team từ VTI) đánh giá kĩ thuật sử dụng và hình thức khai thác luôn được cập nhật và cải tiến nhằm nâng cao tỉ lệ thành công. Loạt bài viết sau đây sẽ là một cái nhìn tổng quan về nhóm lừa đảo này.

Tóm lược:

·       Hình thức tấn công: lừa đảo, lừa đảo có chủ đích/mạo danh các ngân hàng, cổng thanh toán, ví điện tử tại Việt Nam.

·       Nạn nhân ảnh hưởng: người dùng ngân hàng/các thương hiệu có liên quan bị ảnh hưởng.

·       Thời gian hoạt động của nhóm lừa đảo: khoảng 2018 – hiện nay.

Xem phần 1 bài viết TẠI ĐÂY

Xem phần 2 bài viết TẠI ĐÂY

4. Các chiến dịch “nguy hiểm” tiếp theo.

Sau khi để lộ nhiều thông tin quan trọng cũng như đang biết bị theo dõi, nhóm Lừa đảo đã trả lại IP 167.114.2[.]51 đang sử dụng và bắt đầu chuyển hạ tầng IP mới.

IP sau khi trả lại sẽ được OVH trỏ về các domain đặc trưng

Ngoài ra khi nhận thấy IP “bãi rác” 127.3.6[.]9 không mang lại nhiều giá trị thực sự có thể chúng đã từ bỏ hoặc chuyển sang một IP có chức năng mục đích tương tự.

Trong một số trường hợp lừa đảo, chúng tôi phát hiện ra vào tháng 2 đã tình cờ nhận thấy nhiều điểm khả nghi từ tên miền có phân giải tới IP 51.79.173[.]73. Sau khi tra soát các thông tin bao gồm cả source code từ hạ tầng IP cũ và kết hợp với thời gian phân giải tên miền mới ở IP này chúng tôi đã khẳng định rằng đây là hạ tầng mới của nhóm lừa đảo.

Một chiến dịch mới vào tháng 2

Các tên miền lừa đảo được sử dụng gần giống với thương hiệu các ngân hàng, áp dụng kỹ thuật Typosquatting. Nhóm cũng sử dụng các tên miền vay vốn dễ bị các hệ thống chống lừa đảo bỏ qua và sử dụng nhiều tên miền lạ, dựng kịch bản lừa đảo tra soát giao dịch/biến động số dư. Đối với hình thức này người dùng phải cẩn thận và chú ý khi có yêu cầu tra soát vì ngân hàng chỉ được quyền thực hiện tra soát khi nhận được yêu cầu từ chính khách hàng và cần thông qua nhiều bước xác thực.

Form mới trong mã nguồn chúng tôi tìm từ IP chiến dịch cũ cũng đã được hoàn thiện và đưa vào hoạt động

Ngoài ra, nhằm nâng cao tỉ lệ thành công ổ nhóm này cũng đã cải tiến các Feature page được chăm chút tỉ mỉ, code lại rất giống với các trang chính thức của các ngân hàng kết hợp việc sử dụng Form lừa đảo mới.

Một số trang lừa đảo "nhìn uy tín" hơn hẳn
Cải tiến trong các Feature page - trang lừa đảo và trang thật khá giống nhau

Nhóm lừa đảo thường cập nhật đồng bộ hàng loạt các trang mới với tính năng giao diện giống nhau trên các tên miền còn “sống”. Trong quá trình theo dõi, chúng tôi nhận thấy các Feature page của các trang lừa đảo vẫn luôn được cải tiến liên tục.

Đầy đủ các ngân hàng mà chúng đã liệt kê xây dựng ở chiến dịch cũ ( 167.114.2[.]51 )

Trong quá trình xây dựng chức năng cho các trang lừa đảo hoặc tinh chỉnh tính năng/code để hạn chế việc bị phát hiện và “chết yểu”, nhóm này sử dụng Blank Page không có nội dung rõ ràng hoặc Landing page để ẩn mình.

Nội dung không rõ ràng, khó bị đánh giá và dễ bị bỏ qua

IP sử dụng trong chiến dịch mới này bắt đầu từ tháng 2 và đang được tiếp tục sản sinh ra nhiều tên miền giả mạo/lừa đảo mới.

Dự kiến trong thời gian tới khi việc khai thác không còn hiệu quả (Vì IP sử dụng sẽ vào danh sách Blacklist của nhiều tổ chức), nhóm này có thể sẽ ngưng sử dụng hạ tầng IP 51.79.173[.]73 và chuyển sang hạ tầng khác với nội dung và kỹ thuật đa dạng hơn.

Để tiếp tục theo dõi và xem những nội dung chi tiết hơn nữa của chiến dịch này, độc giả có thể đăng ký tài khoản tại trang cyberintel.io để sử dụng dịch vụ Viettel Threat Intelligence.

5. Phần kết

Tình trạng lừa đảo/giả mạo thương hiệu nhằm đánh cắp thông tin người dùng gây ảnh đến chính người dùng nói chung và tới các thương hiệu bị giả mạo nói riêng là rất lớn. Do các đối tượng nhằm vào người dùng Việt Nam rất nhiều nên đội ngũ VTI cũng đã nghiên cứu, điều tra nhiều phương diện và cho rằng nhóm lừa đảo sinh hoạt theo khung giờ Việt Nam (GMT +7) hoặc các khung giờ GMT +6 / GMT +8 (của các nước láng giềng trong khu vực).

Số lượng domain trung bình được tạo trong 1-2 ngày Tết
Lịch “Nghỉ Tết” của ổ nhóm này trong năm 2021

Phân bố số lượng tên miền Phishing đăng ký theo giờ Việt Nam trong ngày của chiến dịch cũ và mới rất đặc trưng:

Phân bố số lượng tên miền Phishing đăng ký theo giờ trong ngày của chiến dịch cũ và mới

Dựa vào các thông tin thu thập được và đánh giá, so sánh, chúng tôi đưa ra một số kết luận về nhóm lừa đảo này như sau:

Dấu hiệu tấn công (IOCs):

IP Phishing:

·       51.79.173[.]73 ( Khuyến nghị Blacklist và theo dõi 3 tháng trở lên )

·       127.3.6[.]9 ( Tracking điều tra )

IP sử dụng trong các chiến dịch Targeted:

·       152.32.250[.]127

·       152.32.250[.]126

·       152.32.250[.]2

·       152.32.223[.]240

·       152.32.250[.]81

Một số chiến dịch đã kết thúc mang tính tham khảo

·       167.114.2[.]51

·       162.144.144.238

·       174.136.14[.]96

·       174.136.14[.]212

·       174.136.14[.]106

·       174.136.14[.]218

·       174.136.14[.]95

·       174.136.14[.]8

·       174.136.15[.]153

·       174.136.15[.]241

·       174.136.15[.]95

·       172.107.32[.]76

·       143.95.63[.]79

·       143.95.102[.]155

·       143.95.62[.]9

·       142.44.160[.]84

·       139.99.43[.]219

·       158.69.193[.]139

·       104.161.94[.]163

·       207.210.202[.]185

·       207.210.192[.]64

·       Chiến dịch năm 2018-2019:

o   27.120.113[.]34

o   207.210.203[.]251

Một số domain phishing lừa đảo ( từ đầu năm 2021 )

·       vaynhanhvn.com

·       saokegiaodich86.com

·       tindung-online.com

·       bcdeas.com

·       ebank-digibank.com

·       ….

Tác giả: Nguyễn Tuấn Anh - Team Viettel Threat Intelligence

Cùng đón đọc những thông tin khác về an toàn, an ninh mạng trên blog của Viettel Cyber Security TẠI ĐÂY!