Kaspersky giải thích cách hoạt động của chiến dịch lừa đảo

Ông Adrian Hia, Giám đốc Điều hành Kaspersky Châu Á Thái Bình Dương cho biết: “Tội phạm mạng cũng chạy theo xu hướng. Chúng biết những chủ đề mới nhất có thể khai thác một cách hiệu quả. Kỹ thuật xã hội đánh vào tâm trí con người chúng ta, đó là lý do tại sao thật khó để ngăn bản thân nhấp vào một liên kết, mà cuối cùng có thể trở thành liên kết độc hại”.

Kaspersky đã hé lộ cách hoạt động của chiến dịch lừa đảo.

Giai đoạn 1: Những kẻ tấn công gửi email dưới tên của một tổ chức thương mại yêu cầu thêm thông tin về các sản phẩm của công ty nạn nhân. Văn bản email có vẻ hợp lý và không có yếu tố đáng ngờ, chẳng hạn như liên kết lừa đảo hoặc tệp đính kèm. Nhưng địa chỉ email của người gửi từ một miền miễn phí, như gmail.com, có thể gây nghi ngờ. Email trên ảnh chụp màn hình bên dưới được gửi từ địa chỉ sử dụng tên miền này, tên công ty ở mục “Đến” lại khác với tên ở chữ ký.

Thông thường, trong các cuộc tấn công có mục tiêu, kẻ tấn công có thể giả mạo tên miền của tổ chức hoặc đăng ký tên miền tương tự như tên miền hợp pháp. Ngoài ra, Google và Microsoft khá nhanh chóng trong việc chặn các địa chỉ email gửi thư rác. Đây là lý do rất có thể khiến những kẻ tấn công sử dụng các địa chỉ khác nhau trong tiêu đề Từ (nơi gửi email) và tiêu đề Trả lời (nơi trả lời sẽ đến khi nhấp vào “Trả lời” trong ứng dụng email).

Điều này có nghĩa là nạn nhân sẽ phản hồi đến một địa chỉ khác (có thể nằm trong một miền miễn phí khác, chẳng hạn như outlook.com). Địa chỉ trong tiêu đề Trả lời không được sử dụng cho thư rác và việc tương tác với nó được bắt đầu bởi nạn nhân, do đó ít có khả năng bị chặn nhanh chóng.

Giai đoạn 2: Sau khi nạn nhân trả lời email đầu tiên, những kẻ tấn công sẽ gửi một tin nhắn mới, yêu cầu họ truy cập trang web chia sẻ tệp và xem tệp PDF có đơn đặt hàng đã hoàn thành, có thể tìm thấy tệp này qua liên kết.

Giai đoạn 3: Bằng cách nhấp vào liên kết, người dùng được đưa đến một trang web giả mạo do bộ công cụ lừa đảo tạo ra. Đây là một công cụ khá đơn giản tạo ra các trang lừa đảo để đánh cắp thông tin xác thực từ các tài nguyên cụ thể. Các giải pháp của chúng tôi đã chặn các trang WeTransfer và Dropbox giả mạo được tạo bằng bộ công cụ này.

Trong chiến dịch lừa đảo được mô tả ở trên, trang web lừa đảo giả mạo trang Dropbox với hình ảnh tệp tĩnh và nút tải xuống. Sau khi nhấp vào bất kỳ thành phần nào của giao diện, người dùng sẽ được đưa đến trang đăng nhập Dropbox giả mạo yêu cầu thông tin đăng nhập hợp lệ của công ty.

Giai đoạn 4: Khi nạn nhân cố gắng đăng nhập, tên đăng nhập và mật khẩu của họ được gửi đi.

Phía Kaspersky cũng công bố xu hướng lừa đảo 2023. Theo đó, thời kỳ khủng hoảng tạo điều kiện cho tội phạm phát triển, bao gồm cả trực tuyến. Các chuyên gia của Kaspersky dự đoán các vụ lừa đảo hứa hẹn bồi thường và thanh toán từ các cơ quan chính phủ, tập đoàn lớn và ngân hàng có thể sẽ vẫn phổ biến trong giới tội phạm mạng vào năm tới.

Tính chất “không thể đoán trước” của thị trường tiền tệ và việc các công ty riêng lẻ rời khỏi thị trường của các quốc gia sẽ có thể ảnh hưởng đến số vụ lừa đảo liên quan đến mua sắm trực tuyến. Ngoài ra, Kaspersky cũng nhận thấy sự gia tăng các cuộc tấn công lừa đảo có chủ đích khi những kẻ lừa đảo không lập tức chuyển sang tấn công lừa đảo mà chỉ sau một vài email giới thiệu có liên hệ tích cực với nạn nhân. Xu hướng này có thể sẽ tiếp tục. Các mánh khóe mới cũng có khả năng xuất hiện trong khu vực doanh nghiệp vào năm 2023, với các cuộc tấn công tạo ra lợi nhuận đáng kể cho những kẻ tấn công.