Các hình thức tấn công bằng việc giả mảo các đang gia tăng vào năm 2022. Mới đây, các nhóm tin tặc Trung Quốc đã sử dụng bản sao của các cửa hàng trực tuyến có thương hiệu nổi tiếng, nhắm mục tiêu người dùng trên toàn thế giới để thực hiện và lừa đảo. Mục tiêu của chiến dịch lớn này là các cửa hàng trực tuyến nằm ở các quốc gia khác nhau, bao gồm Bồ Đào Nha, Pháp, Tây Ban Nha, Ý, Chile, Mexico, Columbia,... này bắt đầu hoạt động từ cuối năm 2020 nhưng và đã đạt được hiều quả cao vào đầu năm 2022, với hàng nghìn nạn nhân bị ảnh hưởng.
Hình 1. Số lượng các cửa hàng trực tuyến giả mạo có sẵn trên các máy chủ được định vị địa lý ở Hoa Kỳ, Hà Lan và Thổ Nhĩ Kỳ (dữ liệu tính đến ngày 21/3/2022)
Theo nghiên cứu đánh giá có tới 617 nền tảng mua sắm đang hoạt động được xác định trên toàn thế giới, trong đó 562 nền tảng được tạo ra vào năm 2022. Cụ thể, các máy chủ được đặt tại ba quốc gia: Mỹ, Hà Lan và Thổ Nhĩ Kỳ. Bên cạnh đó, các máy chủ và cửa hàng trực tuyến khác cũng đang được xác định trong quá trình nghiên cứu.
Sơ đồ tấn công của chiến dịch này được trình bày trong Hình 2, với các bước và hành động khác nhau mà tin tặc đang tiến hành thực hiện.
Hình 2. Sơ đồ chiến dịch tấn công của tin tặc Trung Quốc
Tin tặc thực hiện một chiến dịch mới thường bắt đầu bằng việc thực hiện thiết lập tên miền độc hại ở đầu danh sách tìm kiếm của Google thông qua quảng cáo kỹ thuật số (Google Ads), như trong Hình 2 có thể thấy được đường dẫn đến cửa hàng quần áo Lefties (một thương hiệu thời trang phổ biến ở Bồ Đào Nha). Sau một vài ngày, người dùng bị tấn công sẽ hiển thị URL độc hại ở đầu danh sách tìm kiếm. Trong một số trường hợp cụ thể, các đường dẫn độc hại cũng được tìm thấy trên các nền tảng truyền thông xã hội như Instagram và Facebook.
Nội dung của các trang web độc hại sẽ giống như của các cửa hàng chính thức - dựa trên Hệ thống quản lý nội dung tĩnh (CMS) và API PHP kết hợp với MySQL ở chế độ nền. Một số thông tin liên quan đến CMS tĩnh có thể được tìm thấy trên kho lưu trữ GitHub từ tin tặc. Cụ thể, tin tặc đã nỗ lực phát triển một nền tảng chung có thể phục vụ một hoạt động ở quy mô lớn, với việc có những chỉnh sửa nhỏ về hình ảnh và mẫu sẽ cho phép sử dụng lại cho các cửa hàng trực tuyến khác nhau. Khi đó, tất cả các cửa hàng được sử dụng cùng một mã nhưng với các mẫu khác nhau giống với nhãn hiệu mục tiêu. Như đã đề cập, cửa hàng cũng được trang bị một API giao tiếp với một cụm cơ sở dữ liệu MySQL, nơi lưu trữ tất cả dữ liệu của nạn nhân, bao gồm: Tên (họ và tên), địa chỉ đầy đủ (đường phố, mã zip, thành phố và quốc gia), số điện thoại di động, email, mật khẩu, thông tin thẻ tín dụng (số, ngày tháng và CVV), thông tin chi tiết về đơn đặt hàng và mã theo dõi của gói hàng.
Như thường lệ, Thông tin nhận dạng cá nhân (PII) này có thể được tin tặc sử dụng sau này để tận dụng trong các chiến dịch khác. Để ngăn chặn loại tình huống này, securityaffairs đã cung cấp một công cụ cho phép người dùng xác nhận xem thông tin của mình có nằm trong tay kẻ xấu hay không (link kiểm tra thông tin: ).
Hình 3. Công cụ kiểm tra thông tin do securityaffairs cung cấp
Ngoài ra, các trang web phần mềm trung gian được tin tặc lưu trữ trên một miền khác giúp nhận dữ liệu trong quá trình thanh toán và thực hiện hoàn tất giao dịch trực tuyến trên một số hệ thống thanh toán trực tuyến như Stripe. Nếu giao dịch được hoàn tất thành công, thông báo phản hồi từ hệ thống thanh toán sẽ được gửi đến nền tảng phần mềm trung gian chịu trách nhiệm gửi phản hồi lên địa chỉ web giả mạo để thực hiện giao dịch thanh toán. Sau đó, một mã theo dõi được gửi đến nạn nhân để theo dõi gói hàng.
Nền tảng theo dõi gói hàng cũng được tạo ra bởi tin tặc và nó được nhúng một phần vào nền tảng hợp pháp: 17track.net. Toàn bộ quá trình này nhằm tạo ra một kịch bản được kiểm soát hoàn toàn và rất gần với một hệ thống hợp pháp, nhưng cuối cùng, nạn nhân sẽ thực sự nhận được gói hàng không phải quần áo mà là hàng không sử dụng được.
Hiếu Luyện
(Theo securityaffairs)
14:00 | 24/08/2023
20:00 | 13/03/2022
13:00 | 24/03/2022
13:00 | 01/06/2022
15:00 | 13/04/2022
14:00 | 24/02/2022
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
15:00 | 12/11/2024
Theo các nhà nghiên cứu bảo mật, một trong những cuộc tấn công chuỗi cung ứng kỹ thuật số lớn nhất trong năm 2024 đã được thực hiện bởi một công ty ít tên tuổi, chuyển hướng một lượng lớn người dùng internet đến một mạng lưới các trang web cờ bạc nhái.
15:00 | 18/09/2024
Công ty an ninh mạng McAfee thông báo đã phát hiện 280 ứng dụng Android giả mà đối tượng lừa đảo dùng để truy cập ví tiền ảo.
10:00 | 14/08/2024
Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024