cyber security tips

Hàng loạt cuộc tấn công Phishing mạo danh ngân hàng dịp cuối năm

Những ngày cuối năm 2021, CyRadar ghi nhận chiến dịch tấn công nhắm đến người dùng thông qua tin nhắn giả mạo ngân hàng.

 

 

 

 

 

 

 

Tin nhắn SMS lừa đảo

Người dùng khi truy cập vào các đường link này sẽ điều hướng đến website giả mạo do hacker tạo ra

 

 

 

 

 

 

 

 

 

 

Giao diện Website lừa đảo các ngân hàng tại Việt Nam

Một số các tên miền mới được Hacker sử dụng trong vài ngày gần đây như

sacombank.vn-tbn[.]info

vpbank.vn-tp[.]xyz

shb.com-sl[.]info

tpbank.vn-tbc[.]info

vpbank.tb-vip[.]top

v.v.

Có thể thấy rằng các website trên đều có đặc điểm chung về cấu trúc với mục đích lừa đảo người dùng.

Kiểm tra nhanh cho thấy các domain trên đều được tạo và đăng ký mới đây thông qua các dịch vụ ở nước ngoài với thông tin người đăng ký, địa chỉ liên hệ đều bị ẩn danh.

Các tên miền này hiện đã được hệ thống của CyRadar phát hiện và tự động đưa vào blacklist.

Cách thức tấn công

Khi một tin nhắn gửi đến điện thoại người dùng sẽ hiển thị một dãy số thuê bao của người gửi ví dụ +849XXXXXXXX. Dịch vụ SMS brandname cho phép gửi bằng một chuỗi ký tự (chữ) thay vì số. Lợi dụng điều này, Hacker tiến hành gửi các tin nhắn giả mạo để đánh lừa người dùng là tin nhắn từ ngân hàng.

Khi nạn nhân click vào link đính kèm trong SMS, trình duyệt trên thiết bị sẽ được mở ra và truy cập đến website phishing mà hacker tạo ra để đánh cắp thông tin mà nạn nhân nhập vào.

Tinh vi hơn, trong chiến dịch tấn công lần này, hacker thiết kế website phishing có cơ chế kiểm tra User-Agent để xác định request đến từ điện thoại mới trả về nội dung -> Đối tượng mà hacker nhắm đến là người sử dụng mobile nhận SMS.

Ngoài ra, các request đến website thì sẽ được chuyển  tiếp qua CloudFlare Proxy, content được CloudFlare request tiếp ở Webserver rồi trả về cho browser, như thế vừa là được CloudFlare bảo vệ chống tấn công, vừa ẩn được IP gốc của Webserver (điều này vừa giúp hacker ẩn danh vừa gây khó khăn cho việc phát hiện website phishing).

Các kỹ thuật tấn công SMS brandname mà hacker có thể sử dụng như:

  • Hacker giả mạo các trạm thu phát sóng BTS
  • Hacker đăng ký domain chứa ký tự của ngân hàng, sau đó tiến hành đăng ký Brand Name với nhà mạng ở Việt Nam.
  • Hacker tấn công vào các công ty cung cấp dịch vụ Brand Name SMS của nhà mạng trong nước.
  • Các dịch vụ từ nước ngoài gửi tin nhắn về Việt Nam chưa được nhà mạng kiểm tra tốt -> hacker chỉ cần mua các dịch vụ này là có thể gửi tin nhắn giả mạo dễ dàng.

Giải pháp

Nhằm ngăn chặn tin nhắn giả mạo, các nhà mạng VN cấm tất cả luồng Brand Name SMS từ nước ngoài tuy nhiên hiệu quả chưa được kiểm chứng rõ ràng.

Từ phía các ngân hàng đã có các thông báo chính thức khuyến cáo người sử dụng

Tại Việt Nam, một số domain giả mạo đã bị chặn bởi trung tâm giám sát an toàn không gian mạng quốc gia.

Tuy nhiên, các chiến dịch lừa đảo với các tên miền mới vẫn liên tục xuất hiện

Khuyến cáo của CyRadar khi người dùng nhận được những tin nhắn SMS bất thường

  • Kiểm tra kỹ các đường link nhận được và không bấm vào khi chưa biết đó là đường link “sạch” hay không.
  • Tỉnh táo trước những nội dung liên quan đến tài chính. Kiểm tra lại với phía ngân hàng khi thực hiện các giao dịch bất thường. Không truy cập các đường link, tên miền, không cung cấp mã xác thực OTP cho bất kỳ ai kể cả nhân viên ngân hàng
  • Không tiến hành chia sẻ thông tin trong SMS lừa đảo đến bạn bè, người thân.
  • Tham khảo ý kiến từ những cá nhân, tổ chức về An toàn thông tin.
  • Cài đặt giải pháp bảo mật cho các thiết bị điện tử, đặc biệt là smartphone, ví dụ như CyRadar Safe Mobile.