Sử dụng hình ảnh xác thực để ngăn chặn quá trình phân tích
Tin tặc ngày càng sử dụng các công cụ hợp pháp để có thể đánh lừa được người dùng và khiến cho chiến dịch tấn công trở nên khả thi hơn. Giờ đây, các tin tặc đã tiến thêm một bước nữa bằng cách sử dụng các giải pháp bảo mật thực tế trong các cuộc tấn công của mình.
Trong một chiến dịch gần đây, các nhà nghiên cứu cho biết các tin tặc đã sử dụng Cyber Panel để tạo hàng trăm tên miền khó hiểu hàng ngày bằng thuật toán tạo miền ngẫu nhiên (RDGA). Các miền này lưu trữ các trang thu thập thông tin xác thực. Vì các miền có tính ngẫu nhiên cao nên các nhà cung cấp dịch vụ lưu trữ gặp khó khăn trong việc xác định và vô hiệu hóa chúng.
Các cuộc tấn công sử dụng hình ảnh xác thực thông thường được những kẻ tấn công nhắm mục tiêu thông qua nền tảng và sử dụng email spam làm vectơ ban đầu. Tin tặc dụ người dùng đăng nhập vào những gì có vẻ là phần mềm hợp pháp. Ví dụ Hình 1 dưới đây thể hiện các hình thức thu thập thông tin xác thực được ẩn phía sau dịch vụ Captcha của CloudFlare.
Hình 1. Hình thức thu thập thông tin xác thực thông qua mã Captcha
Bằng cách đặt hình ảnh xác thực hợp pháp của CloudFlare trước nội dung độc hại, về cơ bản, những kẻ tấn công đang đặt lớp bảo mật này chống lại lớp bảo mật khác, đó là do các giải pháp bảo mật tự động, như trình thu thập thông tin web được thiết kế để phát hiện mối đe dọa, bị hình ảnh xác thực chặn lại. Do đó, nội dung sẽ tránh bị gắn cờ là độc hại và các email có liên kết đến trang này sẽ vượt qua các bộ lọc thư rác.
Những kẻ tấn công thêm địa chỉ email của nạn nhân dưới dạng tham số GET sau khi mục tiêu hoàn thành hình ảnh xác thực. Sau đó, chúng thực thi một tập lệnh để trích xuất tên miền của tổ chức mục tiêu, sử dụng dữ liệu này để hiển thị trang đăng nhập tùy chỉnh mạo danh cổng đăng nhập thực tế của nạn nhân.
Sau khi nạn nhân truy cập trang đăng nhập, phần còn lại của cuộc tấn công sẽ tuân theo mô hình thu thập thông tin xác thực tiêu chuẩn. Khi nạn nhân nhập thông tin đăng nhập của họ, thông báo lỗi xác thực “wrong credentials” sẽ hiển thị. Tiếp đó, những kẻ tấn công nhanh chóng chuyển hướng nạn nhân đến một trang web hợp pháp, đồng thời lấy thông tin đăng nhập đến máy chủ chỉ huy ra lệnh và kiểm soát (C2) của chúng.
Quishing - biến thể của lừa đảo sử dụng mã QR để tránh bị phát hiện
Quishing được bắt nguồn từ việc kết hợp và các chiến thuật lừa đảo tinh vi, là một chiến lược lừa đảo mới đã trở nên phổ biến kể từ giữa năm 2023.
Kỹ thuật này liên quan đến việc kẻ tấn công gửi mã QR chuyển hướng mục tiêu đến một trang web độc hại. Việc nhúng liên kết độc hại vào mã QR giúp kẻ tấn công vượt qua các bộ lọc thư rác vì mã QR thường được coi là an toàn và nhiều công cụ bảo mật thiếu khả năng phân tích nội dung của chúng.
Email thường là điểm lây nhiễm ban đầu trong các chiến dịch tấn công. Trong Hình 2, những kẻ tấn công kết hợp email hóa đơn thanh toán giả và kỹ thuật Quishing.
Hình 2. Kết hợp email hóa đơn thanh toán giả với kỹ thuật Quishing
Kết hợp các kỹ thuật lẩn tránh
Trong một chiến dịch khác mà các nhà nghiên cứu quan sát gần đây, các tác nhân đe dọa kết hợp các phương pháp lừa đảo phổ biến theo cách thông minh để vượt qua khả năng phát hiện của sandbox tự động.
Cuộc tấn công này bắt đầu bằng một email lừa đảo được ngụy trang dưới dạng thông báo của Tòa án tư pháp từ Cộng hòa Colombia. Đính kèm với email là nội dung có vẻ là nhưng thực tế là một hình ảnh được thiết kế để mạo danh một tệp, như trong ví dụ Hình 3.
Hình 3. Email đính kèm giả mạo
Khi được nhấp vào, hình ảnh sẽ chuyển hướng người dùng đến một tệp được lưu trữ trực tuyến, tệp này được mã hóa và bảo vệ bằng . Trong đó, mật khẩu được cung cấp trong phần nội dung của email (Hình 4).
Hình 4. Thông tin mật khẩu được cung cấp trong email giả mạo
Sử dụng hình ảnh làm tệp đính kèm giả mạo là một chiến thuật đã có từ giữa những năm 2010 và việc phân phối payload trong các kho lưu trữ được bảo vệ bằng mật khẩu thậm chí còn là một thủ thuật cũ hơn. Tuy nhiên, việc kết hợp chúng lại với nhau như thế này là một cách mạnh mẽ để tránh bị phân tích tự động.
Hồng Đạt
(Tổng hợp)
10:00 | 07/11/2023
10:00 | 26/10/2023
15:00 | 13/04/2022
17:00 | 13/05/2024
Sáng ngày 13/5, tại Hà Nội, dưới sự bảo trợ của Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an, Hiệp hội An ninh mạng Quốc gia tổ chức Hội thảo “Phòng, chống lừa đảo trên không gian mạng”, nhằm đẩy mạnh công tác tuyên truyền, phổ biến kiến thức về các hành vi lừa đảo chiếm đoạt tài sản và các quy định của pháp luật có liên quan để nâng cao ý thức cảnh giác của người dân, doanh nghiệp; tăng cường sự phối hợp đồng bộ giữa các cơ quan, tổ chức, doanh nghiệp và người dân trong công tác phòng, chống lừa đảo trên không gian mạng.
14:00 | 10/05/2024
Ngày nay, trong bối cảnh thế giới an toàn, an ninh mạng đang được định hình rõ ràng hơn, việc gắn kết và chia sẻ thông tin về các sự kiện bảo mật, nền tảng, công nghệ, giải pháp mới hay chương trình đào tạo rất quan trọng. Nhận thức được điều này, nhiều hội nghị, hội thảo và triển lãm về lĩnh vực bảo mật và an toàn thông tin đã được tổ chức trên toàn cầu, hướng tới nhiều đối tượng khác nhau như các chuyên gia bảo mật, sinh viên, nhà nghiên cứu, các lãnh đạo, nhà quản lý,… Tạp chí An toàn thông tin sẽ gửi tới quý độc giả thông tin tổng hợp về 10 hội nghị và sự kiện bảo mật tiêu biểu trong năm 2024.
08:00 | 09/05/2024
Trước yêu cầu cấp thiết về việc đào tạo nguồn nhân lực chất lượng cao về an toàn thông tin trong bối cảnh chiến tranh thông tin, chiến tranh không gian mạng là vấn đề lớn quan tâm của toàn cầu, Tạp chí An toàn thông tin đã có buổi phỏng vấn đồng chí Đại tá Hoàng Văn Thức, Giám đốc Học viện kỹ thuật mật mã về vấn đề này.
12:00 | 06/05/2024
Theo báo cáo của Cơ quan Phòng chống tội phạm quốc gia của Anh (NCA), số lượng trẻ em là nạn nhân của các băng nhóm tội phạm đã tăng 266% trong 2 năm, từ 243 trẻ vào năm 2020 lên 890 trẻ trong năm 2022. NCA cảnh báo về tình trạng các băng nhóm tội phạm nước ngoài đang tống tiền hàng trăm trẻ em bằng những bức ảnh thân mật.
Thời gian gần đây qua công tác nắm tình hình, lực lượng Công an phát hiện tình trạng một số đối tượng lừa đảo đã lập các nhóm chat (Group), giả danh các chuyên gia dụ dỗ nhà đầu tư tham gia hội nhóm kín trên mạng xã hội, cài đặt Website, App, gửi tiền đầu tư chứng khoán. Khi nạn nhân không còn khả năng gửi thêm tiền hoặc phát giác, nghi ngờ thì các đối tượng khóa tài khoản, chiếm đoạt số tiền của bị hại.
14:00 | 20/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 8/5, Intel cho biết doanh số bán hàng của công ty sẽ bị ảnh hưởng sau khi Mỹ thu hồi một số giấy phép xuất khẩu của nhà sản xuất chip này đối với một khách hàng ở Trung Quốc.
16:00 | 18/05/2024