Cách thức lừa đảo email doanh nghiệp (Business email compromise - BEC) được sử dụng ngày nay hầu như không phát triển, mặc dù có những tiến bộ đáng kể trong công nghệ và kỹ thuật tấn công. Tuy nhiên, chúng vẫn có hiệu quả khi dựa vào một điểm yếu khó thay đổi được đó là “yếu tố con người”.
Trong các trò gian lận BEC ngày nay, tin tặc sử dụng các cuộc tấn công lừa đảo trực tuyến và đánh cắp thông tin đăng nhập để xâm nhập tài khoản email và giành quyền truy cập vào thông tin liên lạc nội bộ. Sau đó, chúng thao túng tâm lý con người và các chức năng kinh doanh để lừa nhân viên gửi những dữ liệu nhạy cảm hoặc tiền cho những tài khoản mà họ tin tưởng nhưng thực chất là những tài khoản giả mạo.
Người dùng có thể dễ dàng hiểu được cách thức tấn công của BEC, nhưng việc ngăn chặn chúng lại không hề đơn giản. Năm 2020, theo báo cáo của Barracuda Networks (một trong những công ty công nghệ hàng đầu của Mỹ về bảo mật hỗ trợ đám mây) thì chỉ có 12% các cuộc tấn công lừa đảo trực tuyến có liên quan đến BEC. Tuy nhiên, con số 12% này lại đem lại thiệt hại về tài chính vô cùng lớn và là một thách thức lớn đối với các doanh nghiệp. Dưới đây là 05 ví dụ về các cuộc tấn công BEC tiêu biểu để bạn đọc có thể hiểu rõ hơn về chúng.
Vụ lừa đảo của Tập đoàn Toyota Boshoku năm 2019 đã trở thành cuộc tấn công BEC nổi tiếng. Bởi nạn nhân là một tập đoàn lớn và khoản thanh toán cho thiệt hại này là một con số khổng lồ. Điều này cho thấy các kỹ thuật xã hội của BEC có thể vượt qua được cả những chương trình bảo mật phức tạp vì nó nhắm mục tiêu vào con người thay vì cơ sở hạ tầng.
Trong vụ việc này, tin tặc đã liên hệ với bộ phận tài chính kế toán của một công ty con thuộc Toyota Boshuku, chúng đóng giả là một đối tác kinh doanh của công ty và yêu cầu thanh toán. Nội dung email tạo cảm giác cấp bách với lý do giao dịch cần được hoàn thành càng sớm càng tốt, nếu không sẽ có nguy cơ làm chậm quá trình sản xuất của Toyota. Đây là một cách thức điển hình của BEC và thật không may nó đã có hiệu quả. Một nhân viên của công ty đã chuyển hơn 37 triệu USD trong một đơn đặt hàng linh kiện cho tin tặc. Đây là một trong những khoản tiền lừa đảo cao nhất của BEC từ trước đến nay.
Cách thức tấn công BEC
Giáo xứ Công giáo Saint Ambrose ở Brunswick, Ohio đã mất 1,75 triệu USD trong một cuộc tấn công BEC vào năm 2019. Theo điều tra của FBI, tin tặc đã xâm nhập hai tài khoản email của giáo xứ và mạo danh một nhà thầu xây dựng (công ty Marous Brothers) để thực hiện lừa đảo.
Khi xâm nhập hai tài khoản email của giáo xứ, tin tặc đã tìm ra cuộc trò chuyện liên quan đến người nhận thanh toán, ngày đến hạn và số tiền. Sau đó, chúng sử dụng thông tin này để gọi điện đến giáo xứ và giải thích rằng thông tin thanh toán của họ gần đây đã thay đổi và họ đã không nhận được thanh toán cho các chi phí xây dựng trong hai tháng trước đó. Đây là một cách thức lừa đảo điển hình của BEC, chúng nhắm đến những mục tiêu có sự tin tưởng cao và dựa trên niềm tin của nạn nhân để đạt được mục đích.
Trung tâm khiếu nại tội phạm Internet của FBI đã ban hành một cảnh báo về trò gian lận thẻ quà tặng, sau khi số lượng đơn khiếu nại nhận được từ tháng 1/2017 đến tháng 9/2018 tăng 240%. Các nạn nhân nhận được một email từ tin tặc giả mạo là người có thẩm quyền yêu cầu họ mua thẻ quà tặng với lý do cá nhân hoặc kinh doanh.
Kỹ nghệ xã hội là chìa khóa để lừa đảo BEC liên quan đến thẻ quà tặng hiệu quả. Một chuỗi các cuộc tấn công tương tự nhắm vào các đền thờ và giáo đường Do Thái vào năm 2019. Các giáo sĩ Do Thái ở Virginia, Tennessee, California và Michigan đã bị mạo danh trong email và gửi yêu cầu đến các thành viên trong giáo hội yêu cầu mua thẻ quà tặng cho một cuộc gây quỹ.
Hình thức lừa đảo BEC này hiện đang gia tăng, đặc biệt là trong các ngày lễ và Black Friday. Theo báo cáo từ Anti-Phishing Working Group, 66% các cuộc tấn công BEC có yêu cầu thanh toán bằng thẻ quà tặng trong Quý II/2020.
Khi nhu cầu về thông tin đại dịch COVID-19 tăng cao trong năm qua, thì số lượng các cuộc tấn công lừa đảo có chủ đề liên quan đến đại dịch này cũng tăng theo. Những tin tặc BEC tận dụng cơ hội này để tạo ra các email lừa đảo với những nội dung liên quan đến sự lây truyền của dịch bênh, các thiết bị bảo vệ, chính sách tiêm chủng,… Các email thường mạo danh các nguồn đáng tin cậy như Tổ chức Y tế Thế giới, nội dung email chứa nhiều phần mềm độc hại và thông tin sai lệch (ví dụ như cung cấp các mặt hàng liên quan đến máy thở, PPE và các vật tư hạn chế khác). Chúng cũng có thể giả mạo và yêu cầu thông tin thẻ tín dụng của nạn nhân để mua một liều vắc xin COVID-19 hạn chế.
Cứ vào mỗi dịp quyết toán thuế trong năm, thì các vụ lừa đảo W-2 BEC lại gia tăng. Các cuộc tấn công BEC này thường sử dụng kỹ nghệ xã hội như mạo danh một Giám đốc điều hành để gửi email yêu cầu đến bên nhân sự cung cấp bản sao W-2 (báo cáo thu nhập hàng năm của nhân viên và khoản khấu trừ thuế) của nhân viên. Khi đó, các thông tin như số an sinh xã hội, tên địa chỉ, thu nhập,… sẽ bị tin tặc thu thập và sử dụng để khai thuế gian lận hoặc bán các thông tin đó trên darkweb.
Sau một đợt tấn công gia tăng đột biến vào năm 2017, các cơ quan thuế và các cơ quan liên quan đã đưa ra những cảnh báo về xu hướng này. Chính vì vậy tình trạng lừa đảo W-2 BEC đến năm 2019 đã giảm xuống còn 2,5% trong tổng số các cuộc tấn công BEC.
Một email mạo danh Giám đốc điều hành trong tấn công BEC
- Yêu cầu thông tin nhận dạng cá nhân qua email.
- Yêu cầu thanh toán đột ngột hoặc thay đổi thông tin cá nhân.
- Sử dụng các ngôn ngữ thúc giục, khẩn cấp yêu cầu về các vấn đề quan trọng như: thanh toán hóa đơn điện nước, đáo hạn thẻ,…
- Yêu cầu các khoản phí ứng trước.
- Nội dung email gửi tới người nhận chung chung. Ví dụ như: Kính gửi khách hàng.
- Các giao dịch tài chính cần được xác nhận trực tiếp hoặc thông qua điện thoại.
- Người dùng cần hiểu được các rủi ro bảo mật email đối với doanh nghiệp và vai trò của họ trong việc giảm thiếu tấn công BEC.
- Thực hiện các kiểm thử xâm nhập để giúp các tổ chức xác định được hành vi của các nhân viên có nguy cơ cao dẫn đến bị tấn công BEC để thực hiện đào tạo nâng cao nhận thức về bảo mật.
- Xây dựng văn hóa an ninh mạng lành mạnh, nhân viên có thể đặt câu hỏi và báo cáo các sự cố an ninh mạng mà ko sợ bị kỷ luật.
- Nắm bắt những yếu tố cơ bản về bảo mật như xác thực đa yếu tố (có thể áp dụng khung an ninh mạng NIST).
- Lập kế hoạch phòng ngừa và ứng phó khi xảy ra tấn công BEC.
- Triển khai các sản phẩm bảo mật email.
- Hạn chế số lượng nhân viên xử lý các giao dịch thanh toán và đảm bảo họ hiểu cách nắm bắt được các yêu cầu và hóa đơn bất thường, cũng như các quy trình phải làm nếu phát hiện ra một cuộc tấn công BEC.
Quốc Trường
(theo searchsecurity)
16:00 | 13/01/2021
14:00 | 17/08/2020
10:00 | 27/04/2021
08:40 | 22/01/2016
14:00 | 31/05/2024
Song hành cùng với sự phát triển của công nghệ thông tin thì việc phòng, chống tội phạm cũng đã có những bước tiến mạnh mẽ về công nghệ. Đồng thời cũng tồn tại nhiều bài toán khó và một trong số đó là việc nhận diện nhanh chóng tội phạm, đối tượng tình nghi ở những địa điểm công cộng như bến xe, bến tàu, nhà ga, sân bay,… Giải quyết được bài toán này càng sớm càng tốt sẽ mang lại rất nhiều ý nghĩa trong công tác phòng, chống tội phạm. Bài báo sẽ giới thiệu một giải pháp nhận dạng mặt người dựa trên giải thuật Adaboost và các đặc trưng Haar-like qua đó giúp quá trình phát hiện tội phạm chính xác và nhanh chóng hơn.
14:00 | 23/05/2024
Trình duyệt Chrome đang được rất nhiều người tin dùng bởi độ ổn định và khả năng bảo mật. Tuy nhiên, sự phổ biến này cũng khiến nó trở thành mục tiêu của tin tặc.
16:00 | 14/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024