Tấn công Phishing Tinh vi: Nguy cơ Đánh cắp Dữ liệu
Một chiến dịch tấn công phishing tinh vi đang nhắm mục tiêu vào công dân Canada, sử dụng các cổng thanh toán phạt giao thông giả mạo để chiếm đoạt thông tin cá nhân và tài chính. Các kẻ tấn công đã triển khai nhiều kỹ thuật lừa đảo phức tạp để đảm bảo sự thành công của chiến dịch này.
Chiến dịch Tấn công Phishing Tinh vi Nhắm vào Công dân Canada
Chiến dịch này sử dụng các trang web giả mạo làm cổng thanh toán phạt giao thông, mục tiêu chính là đánh cắp dữ liệu nhạy cảm từ các nạn nhân không nghi ngờ.
Phương thức lừa đảo bắt đầu khi người dùng nhận được tin nhắn văn bản hoặc gặp quảng cáo độc hại tuyên bố họ có các khoản phạt giao thông chưa thanh toán.
Những thông báo này thường chứa các URL rút gọn hoặc tên miền typosquatted (đánh máy sai) để chuyển hướng nạn nhân đến các cổng thanh toán giả mạo.
Các trang web này được thiết kế để bắt chước một cách thuyết phục các trang web chính thức của chính phủ Canada, gây dựng lòng tin và sự tín nhiệm.
Kỹ thuật SEO Poisoning và Mạo danh Trang web Chính phủ
Kẻ tấn công sử dụng kỹ thuật SEO poisoning để thao túng kết quả của các công cụ tìm kiếm.
Mục đích là để đảm bảo các trang web lừa đảo của chúng xuất hiện hợp pháp khi người dùng tìm kiếm các tùy chọn thanh toán phạt giao thông của tỉnh.
Các cổng độc hại này mạo danh một cách đáng tin cậy các trang web chính phủ từ các tỉnh của Canada, bao gồm British Columbia, Ontario, và Quebec.
Chúng lừa nạn nhân nhập dữ liệu nhạy cảm bằng cách sử dụng logo tỉnh và thiết kế giống như chính thức, tạo cảm giác về một nền tảng hợp pháp.
Cơ chế Vận hành Sơ bộ của Tấn công Phishing
Toàn bộ quá trình lừa đảo dựa trên việc tạo ra một môi trường giả mạo, nơi nạn nhân tin rằng họ đang thực hiện giao dịch với một cơ quan chính phủ.
Các tin nhắn ban đầu và quảng cáo độc hại là điểm khởi đầu, kích thích sự tò mò và lo lắng về các khoản phạt không xác định.
Theo các nhà nghiên cứu của Unit 42, chiến dịch này là một phần của mạng lưới lừa đảo rộng lớn, hoạt động trên nhiều tên miền. Chi tiết về phát hiện này đã được chia sẻ công khai bởi Unit 42.
Phân tích Phishing Kit và Tính năng “Waiting Room”
Kẻ tấn công sử dụng một bộ công cụ phishing (phishing kit) chuyên biệt.
Bộ công cụ này bao gồm một tính năng “phòng chờ” (waiting room) lừa đảo.
Tính năng này tạo ra ảo giác về việc đang xử lý các tìm kiếm vé phạt hợp pháp.
Đây là một bước đệm tinh vi nhằm tăng cường độ tin cậy trước khi nạn nhân bị chuyển hướng đến các cổng thanh toán giả mạo hoàn toàn.
Mục tiêu cuối cùng của bộ công cụ này là thu thập Thông tin Nhận dạng Cá nhân (PII) và dữ liệu thẻ tín dụng.
Cơ sở hạ tầng Tấn công Phishing Đa giai đoạn
Hơn bảy mươi tên miền độc hại đã được phát hiện, tất cả đều phân giải về một địa chỉ IP duy nhất.
Các tên miền này được thiết kế để thu thập thông tin nhận dạng cá nhân và chi tiết thẻ thanh toán từ các nạn nhân.
Kẻ tấn công triển khai một cơ sở hạ tầng tấn công phishing đa giai đoạn, được lưu trữ trên các dải mạng con cụ thể.
Đặc biệt là khối mạng 45.156.87.0/24.
Hoạt động này liên quan đến việc tạo ra nhiều tên miền theo các mẫu đặt tên bao gồm các thuật ngữ như “ticket”, “traffic”, “portal”, và “violation”.
Điều này cho thấy khả năng tự động tạo tên miền quy mô lớn, giúp duy trì chiến dịch tấn công phishing bền vững.
Quy trình Đánh cắp Dữ liệu Cá nhân và Tài chính
Bộ công cụ phishing trước tiên trình bày cho nạn nhân một giai đoạn xác thực, nơi họ nhập số vé phạt hoặc mã định danh đặt chỗ.
Hệ thống chấp nhận bất kỳ thông tin đầu vào nào, thiết lập tính hợp lệ giả mạo trước khi chuyển sang các cổng thanh toán gian lận.
Giai đoạn Thu thập Thông tin Cá nhân (PII)
Khi nạn nhân tiến hành đến phần thanh toán, cổng giả mạo sẽ thu thập thông tin cá nhân đầy đủ.
- Họ và tên đầy đủ
- Địa chỉ nhà
- Địa chỉ email
- Số điện thoại
- Ngày sinh
Những thông tin này được thu thập trực tiếp, phục vụ mục đích đánh cắp dữ liệu cho các hoạt động gian lận sau này.
Giai đoạn Thu thập Thông tin Thẻ Tín dụng
Giai đoạn cuối cùng yêu cầu thông tin thẻ tín dụng đầy đủ, bao gồm:
- Số thẻ
- Ngày hết hạn
- Mã bảo mật CVV
Không giống như các bộ xử lý thanh toán hợp pháp thường chuyển hướng đến các cổng ngân hàng an toàn, các trang web lừa đảo này trực tiếp thu thập tất cả thông tin.
Điều này cho phép kẻ tấn công truy cập ngay lập tức vào thông tin tài chính để thực hiện các giao dịch trái phép, hoàn tất hành vi đánh cắp dữ liệu.
Chỉ số Nhận dạng (IOCs)
Các chỉ số nhận dạng sau đây có thể giúp phát hiện và ngăn chặn chiến dịch tấn công phishing này:
- Dải địa chỉ IP:
45.156.87.0/24 - Mẫu tên miền độc hại: Các tên miền chứa các từ khóa như “ticket”, “traffic”, “portal”, “violation” kết hợp với tên tỉnh hoặc các biến thể
# Ví dụ về mẫu tên miền (không đầy đủ, chỉ mang tính minh họa)canadianticketportal[.]comquebectrafficviolation[.]netbcontarioticket[.]infoBiện pháp Phòng ngừa và Tăng cường An ninh Mạng
Để bảo vệ bản thân khỏi các chiến dịch tấn công phishing như vậy, người dùng và tổ chức cần áp dụng các biện pháp phòng ngừa chặt chẽ.
Đối với người dùng cá nhân:
- Xác minh tính hợp pháp: Luôn xác minh tính hợp pháp của các thông báo phạt giao thông thông qua các trang web chính thức của chính phủ.
- Nhập URL trực tiếp: Thay vì nhấp vào các liên kết trong tin nhắn hoặc quảng cáo, hãy tự nhập URL của trang web chính thức vào trình duyệt.
- Cảnh báo giao dịch thẻ tín dụng: Kích hoạt tính năng cảnh báo giao dịch trên thẻ tín dụng và thường xuyên kiểm tra sao kê tài khoản để phát hiện hoạt động đáng ngờ.
Đối với tổ chức:
- Lọc DNS: Triển khai các giải pháp lọc DNS để chặn truy cập vào các tên miền độc hại đã biết. Điều này là một phần quan trọng của an ninh mạng toàn diện.
- Đào tạo nhận thức bảo mật: Đào tạo nhân viên về các mối đe dọa phishing và kỹ thuật lừa đảo để họ có thể nhận biết và báo cáo các nỗ lực tấn công.
- Cập nhật hệ thống: Đảm bảo tất cả hệ thống và phần mềm được cập nhật các bản vá bảo mật mới nhất để giảm thiểu rủi ro.
Việc nâng cao nhận thức và áp dụng các thực hành an ninh mạng tốt nhất là chìa khóa để chống lại các cuộc tấn công phishing ngày càng tinh vi.
