Phát hiện chiến dịch lừa đảo quy mô lớn nhắm vào khách hàng của các ngân hàng tại Việt Nam

• Bộ Công an vạch trần 6 kịch bản, phương thức hoạt động của tội phạm mạng
• Giảm 9,7% số vụ tấn công mạng trong tháng 5-2022

1. Tin nhắn được gửi đối tượng lừa đảo gửi tới người dùng ngân hàng

Theo Group-IB, đây là một vụ tấn công lừa đảo chưa từng có tiền lệ tại Việt Nam. Chiến dịch mạo danh 27 tổ chức tài chính quen thuộc của Việt Nam hiện vẫn đang duy trì hoạt động. Theo đó, hacker tìm cách thu thập chi tiết thông tin cá nhân của các khách hàng, thậm chí là đánh cắp tài khoản ngân hàng của họ, sử dụng các kỹ thuật cho phép chúng vượt qua bước xác minh OTP.

Chiến dịch nói trên được khởi động vào tháng 5-2019, với việc đăng ký tên miền đầu tiên. Đến ngày 1-6-2022, tên miền lừa đảo mới nhất đã được kích hoạt.

Theo Group- IB, chỉ tính từ đầu năm 2021, 44 trang web giả mạo trong số này đã có ít nhất 7.800 người dùng truy cập, có nguy cơ trở thành nạn nhân. Trên thực tế, số lượng nạn nhân có thể lớn hơn.

Kế hoạch lừa đảo này sử dụng tin nhắn SMS, Telegram và WhatsApp giả mạo, và thậm chí cả bình luận trên các trang Facebook của các công ty dịch vụ tài chính hợp pháp của Việt Nam để lôi kéo nạn nhân vào các trang lừa đảo. Các tin nhắn lừa đảo được ngụy trang giống như các thông tin chính thức đến từ các ngân hàng, sàn giao dịch hoặc công ty thương mại điện tử.

Một trong những tin nhắn SMS lừa đảo được CERT-GIB truy xuất có nội dung thông báo cho nạn nhân rằng họ đã được tặng quà và cần đăng nhập vào trang của ngân hàng để nhận quà, đồng thời cho biết cơ hội này sẽ sớm hết hạn, từ đó tạo động lực thôi thúc người dùng.

Hacker cũng sử dụng các URL rút gọn khiến người dùng bình thường không thể phân biệt được tính hợp pháp của URL. Khi nhấp vào các liên kết đó, nạn nhân sẽ được chuyển tiếp đến một trang web giả mạo có logo của 27 ngân hàng và tổ chức tài chính uy tín, dưới dạng một trang độc lập hoặc dưới dạng tùy chọn thả xuống, theo đó nạn nhân có thể chọn ngân hàng mà họ đã đăng ký.

Khi nạn nhân chọn một ngân hàng từ danh sách, họ sẽ được chuyển hướng đến một trang lừa đảo khác, trông giống như trang hợp pháp của ngân hàng. Sau bước nhập tên người dùng và mật khẩu, người dùng sẽ được đưa đến trang web giả mạo tiếp theo yêu cầu cung cấp mật khẩu dùng một lần (OTP).

Tại thời điểm này, những kẻ lừa đảo sử dụng thông tin đăng nhập đã bị đánh cắp để đăng nhập vào tài khoản thực của nạn nhân.

Sau khi nạn nhân nhận được mã OTP từ ngân hàng của họ (theo yêu cầu của những kẻ lừa đảo) và nhập mã vào trang xác thực giả mạo, những tên tội phạm mạng có thể toàn quyền truy cập vào tài khoản ngân hàng của người dùng, bắt đầu các giao dịch bất hợp pháp.

Sau khi nạn nhân “đăng nhập” vào trang web giả mạo, họ sẽ nhận được một thông báo cho biết “giao dịch vẫn đang được xử lý”.

Phương pháp trùng lặp này cho phép những hacker đánh cắp tiền từ tài khoản của nạn nhân và thu thập một lượng lớn dữ liệu cá nhân (như tên, địa chỉ, số chứng minh nhân dân hoặc căn cước công dân, số điện thoại, ngày sinh và nghề nghiệp) và mua đi bán lại trong cộng đồng tội phạm mạng hoặc được bán cho những kẻ xấu, phục vụ các cuộc tấn công tiếp theo nhắm vào nạn nhân.

Trên các thị trường ngầm, Group-IB phát hiện những lời chào bán thông tin của công dân Việt Nam được thu thập từ các chiến dịch lừa đảo. Mặc dù vẫn chưa biết liệu thông tin có xác thực và được lấy trực tiếp từ chiến dịch lừa đảo này hay không, các nhà phân tích của CERT-GIB cũng đã bắt gặp các trường hợp rao bán trực tiếp dữ liệu về chủ tài khoản ngân hàng ở Việt Nam.

Theo Group-IB, chiến dịch này đến nay dường như chỉ giới hạn ở Việt Nam. Do đó, người dùng cần cảnh giác với những thông tin đến từ các tổ chức tài chính có nội dung mang tính hối thúc hoặc đe dọa. Điều quan trọng là cần chú ý đến tên miền của URL trong trình duyệt và cảnh giác với các trang web khả nghi, hoặc liên tục điều hướng.

Người dùng cũng nên tránh mua hàng từ những đại lý trái phép hoặc nhấp vào các liên kết đưa ra mức chiết khấu hấp dẫn, bởi đó có thể là dấu hiệu lừa đảo, phải xác nhận độ tin cậy của trang nguồn, xác định xem đó có phải là trang web chính thức của tổ chức tài chính của bạn hay không, xem đánh giá, hoặc gọi cho bộ phận hỗ trợ khách hàng nếu bạn cảm thấy nghi ngờ; Bật xác thực hai yếu tố bất cứ khi nào có thể và thường xuyên thay đổi mật khẩu cũng là những thói quen tốt.