Tấn công Phishing Ngân hàng: Nguy hiểm từ Chiến dịch Tinh vi

Một chiến dịch **tấn công phishing** phối hợp đã âm thầm nhắm mục tiêu vào khách hàng ngân hàng từ đầu năm 2024 và vẫn đang tiếp diễn. Các đối tượng tấn công không dựa vào những thủ đoạn thô sơ mà ẩn mình sau các nền tảng internet đáng tin cậy để đánh cắp thông tin đăng nhập ngân hàng và mật khẩu dùng một lần (OTP).

Sau đó, chúng sử dụng các thông tin này để rút tiền từ tài khoản của nạn nhân chỉ trong vài phút. Đây là một **chiến dịch lừa đảo** tinh vi gây ra rủi ro nghiêm trọng về tài chính.

Bản Chất Chiến Dịch và Đối Tượng Mục Tiêu

Chiến dịch này nhắm vào những người dùng ngân hàng trực tuyến thông thường, không phải các tổ chức tài chính trực tiếp. Nạn nhân nhận được email có vẻ như đến từ một người gửi hợp pháp.

Các email này thường cảnh báo về một giao dịch trái phép hoặc đăng nhập đáng ngờ từ một thiết bị không xác định. Những thông điệp này thúc đẩy người nhận nhấp vào một liên kết và nhập chi tiết ngân hàng của họ, một phương pháp **tấn công phishing** cổ điển nhưng cực kỳ thuyết phục ngay từ cái nhìn đầu tiên.

Nhóm Tác Giả Đe Dọa PHISLES và Quy Mô Ảnh Hưởng

Các nhà nghiên cứu từ Group-IB CERT đã xác định hoạt động phishing này, theo dõi dưới nhãn hiệu nhóm tác nhân đe dọa là **PHISLES**. Họ đã xác nhận chiến dịch này hoạt động liên tục kể từ **tháng 1 năm 2024**.

Cuộc điều tra của Group-IB phát hiện hơn **900 liên kết độc hại** đã được phân phối đến các nạn nhân tiềm năng. Trong đó, ít nhất **ba ngân hàng lớn** đã bị mạo danh trong chiến dịch này. Thông tin chi tiết có thể tham khảo thêm tại báo cáo của Group-IB CERT.

Hơn **400 người** đã được xác nhận bị ảnh hưởng trong khoảng thời gian từ **tháng 1 năm 2024** đến **tháng 1 năm 2026**. Chiến dịch vẫn đang tiếp diễn, cho thấy sự dai dẳng và khả năng thích nghi của nhóm tấn công.

Kỹ Thuật Đánh Cắp và Gian Lận Thời Gian Thực

Khi một nạn nhân nhập tên người dùng, mật khẩu và OTP vào một trang ngân hàng giả mạo, những kẻ tấn công sẽ hành động ngay lập tức. Tiền được rút chỉ trong vòng vài phút.

Điều này đã được xác nhận bởi các nạn nhân đã chia sẻ ảnh chụp màn hình trên mạng xã hội, cho thấy tốc độ nhanh chóng của việc đánh cắp. Chiến dịch được thiết kế để thực hiện gian lận tài chính theo thời gian thực.

Mục tiêu là thu thập thông tin đăng nhập và vượt qua xác thực đa yếu tố (MFA) trước khi bất kỳ cảnh báo nào có thể được kích hoạt. Điều này cho thấy sự phức tạp trong việc thực hiện **tấn công phishing** này.

Cơ Chế Phân Phối Tinh Vi và Lạm Dụng Nền Tảng Tin Cậy

Tận Dụng Tài Khoản Email Bị Chiếm Đoạt

Sức bền của chiến dịch này nằm ở việc sử dụng các tài khoản email bị chiếm đoạt để gửi tin nhắn lừa đảo. Người gửi không phải là địa chỉ giả mạo mà là các tài khoản thực được lấy từ **combolists**.

Các **combolists** này là cơ sở dữ liệu về thông tin đăng nhập bị đánh cắp, được trao đổi tự do trên các diễn đàn dark web và kênh Telegram. Điều này làm cho email lừa đảo trông đáng tin cậy hơn và giúp chúng vượt qua các bộ lọc thư rác và bảo mật email mà không bị phát hiện.

Chuỗi Chuyển Hướng qua Nền Tảng Uy Tín

Cơ chế phân phối trong chiến dịch này là nơi ẩn chứa mối nguy hiểm thực sự. Khoảng **giữa năm 2025**, những kẻ tấn công đã ngừng nhúng trực tiếp các liên kết phishing vào email.

Thay vào đó, chúng bắt đầu chuyển hướng nạn nhân qua một chuỗi các nền tảng nổi tiếng trước khi đưa họ đến một trang ngân hàng giả mạo. Chiến lược này được thiết kế để lừa các cổng email bảo mật (Secure Email Gateways – SEG).

Các SEG là công cụ bảo mật chặn các liên kết đáng ngờ hoặc có uy tín thấp. Bằng cách sử dụng chuỗi chuyển hướng, mọi liên kết hiển thị đều trông hoàn toàn hợp pháp, giúp cuộc **tấn công phishing** vượt qua các hàng rào bảo mật ban đầu.

Các Nền Tảng Bị Lạm Dụng Cụ Thể

Một số nền tảng đã bị lạm dụng đặc biệt trong chiến dịch này:

• Các liên kết **Google Business Profile** được sử dụng vì chúng mang danh tiếng tên miền đáng tin cậy của Google và hiếm khi bị gắn cờ là độc hại.
• Các URL phishing cũng được gói gọn trong **Google’s AMP CDN** (cdn.ampproject.org), khiến liên kết hiển thị trông giống một địa chỉ của Google.
• Các dịch vụ rút gọn URL như **loom.ly** và **shorturl.at** đã che giấu các đích đến đáng ngờ đằng sau các liên kết “sạch”.
• **Google Cloud Workstations** đã tạo ra các bộ chuyển hướng tạm thời với chứng chỉ SSL hợp lệ, tăng thêm tính hợp pháp cho các trang lừa đảo.
• Các tên miền được quản lý bởi **Cloudflare**, đặc biệt là **workers.dev** và **pages.dev**, cũng bị lạm dụng rộng rãi. Các nền tảng này cung cấp HTTPS tự động và định tuyến toàn cầu. Kẻ tấn công có thể tạo ngay lập tức các tên miền phụ mới khi các tên miền cũ bị chặn.

Chiếm Quyền Tên Miền Tổ Chức Giáo Dục

Khám phá đáng báo động nhất là việc chiếm quyền một tên miền hợp pháp của một tổ chức giáo dục. Kẻ tấn công đã tạo ra các tên miền phụ ẩn, thu được chứng chỉ SSL hợp lệ và chuyển hướng tất cả lưu lượng truy cập đến máy chủ của chúng.

Đáng chú ý, việc này diễn ra mà không làm gián đoạn các hoạt động bình thường của trường học. Điều này cho thấy mức độ tinh vi cao trong việc che giấu cơ sở hạ tầng của cuộc **tấn công phishing**.

Chỉ Số Đánh Dấu Sự Xâm Nhập (IOCs)

Mặc dù các URL độc hại cụ thể thường thay đổi linh hoạt, nhưng chiến dịch này đã liên tục lạm dụng các loại nền tảng và dịch vụ sau:

• Liên kết Google Business Profile
• URL được gói gọn qua Google AMP CDN (cdn.ampproject.org)
• Các dịch vụ rút gọn URL: loom.ly, shorturl.at
• Google Cloud Workstations
• Các tên miền Cloudflare: workers.dev, pages.dev
• Tên miền bị chiếm quyền của tổ chức giáo dục hợp pháp (các tên miền phụ ẩn)

Khuyến Nghị Bảo Mật và Biện Pháp Đối Phó

Đối Với Người Dùng Cá Nhân

• Hãy thận trọng với tất cả các email khẩn cấp. Luôn xác minh đầy đủ URL trước khi nhập bất kỳ thông tin đăng nhập nào.
• Tránh sử dụng lại cùng một mật khẩu cho các dịch vụ khác nhau và thường xuyên cập nhật thông tin đăng nhập.
• Bật **xác thực đa yếu tố (MFA)** cho tất cả các tài khoản để tăng cường **bảo mật tài khoản ngân hàng**.

Đối Với Tổ Chức Tài Chính

• Chủ động thông báo cho khách hàng về các chiến dịch lừa đảo đang diễn ra thông qua các kênh chính thức của mình.
• Các đội ngũ bảo mật nên cấu hình hệ thống để phát hiện các tiêu đề Referer trái phép từ các tên miền phụ đám mây khi các tài sản ngân hàng như hình ảnh hoặc script được tải từ bên ngoài.

Đối Với Tổ Chức Giáo Dục và Chủ Sở Hữu Tên Miền

• Thực thi **xác thực đa yếu tố (MFA)** trên tất cả các tài khoản đăng ký tên miền.
• Thường xuyên kiểm tra bản ghi DNS để phát hiện và xóa các tên miền phụ trái phép trỏ đến các địa chỉ IP không xác định hoặc bên ngoài. Đây là biện pháp quan trọng để ngăn chặn việc lạm dụng tên miền cho các cuộc **tấn công phishing** trong tương lai.