Photo by Kenny Eliason on Unsplash
Phân tích mối đe dọa mới từ các nhà nghiên cứu tại Kaspersky đã tiết lộ sự gia tăng đáng kể về số lượng các cuộc tấn công đánh cắp mật khẩu nhắm vào Amazon, Facebook và trên hết là người dùng Google. Sau đây là những điều bạn cần biết.
Amazon, Facebook và Gmail là nam châm thu hút tin tặc mật khẩu
Không có gì ngạc nhiên khi các thông tin đăng nhập tài khoản Gmail, Facebook và Amazon lại được các tin tặc độc hại săn đón đến vậy. Rốt cuộc, những tài khoản như vậy có thể được sử dụng để hoàn thành bộ ba tội phạm mạng gồm đánh cắp dữ liệu, phát tán phần mềm độc hại và gian lận thẻ tín dụng. Riêng tài khoản Google giống như một chiếc chìa khóa vạn năng có thể mở khóa kho báu thông tin đăng nhập tài khoản và thông tin cá nhân khác để thực hiện hành vi gian lận. Chỉ cần nghĩ về thông tin có trong hộp thư đến Gmail của bạn, khả năng cao là bạn có một tài khoản như vậy vì dịch vụ email miễn phí trên web này rất phổ biến. Và đó là trước khi bạn cân nhắc đến việc có bao nhiêu tổ chức vẫn gửi yêu cầu thay đổi mật khẩu và liên kết xác thực yếu tố thứ hai đến tài khoản email của bạn.
Kaspersky đã phân tích tổng cộng 25 thương hiệu toàn cầu lớn nhất và phổ biến nhất để xác định những thương hiệu bị tội phạm mạng nhắm đến nhiều hơn khi nói đến các cuộc tấn công lừa đảo. Các nhà nghiên cứu phát hiện ra rằng, Kaspersky cho biết, chỉ riêng trong nửa đầu năm 2024 đã có khoảng 26 triệu lượt truy cập vào các trang web độc hại ngụy trang thành bất kỳ thương hiệu nào trong số này. Con số này tăng khoảng 40% so với cùng kỳ năm 2023.
Các cuộc tấn công lừa đảo vào Google tăng 243%
Đứng đầu danh sách mục tiêu lừa đảo, vì tất cả các lý do đã nêu trên, là Google. Khi nói đến việc cố gắng đánh cắp thông tin đăng nhập như mật khẩu, Google vẫn là mục tiêu được yêu thích trên radar tấn công của tội phạm mạng. Kaspersky cho biết họ đã chứng kiến mức tăng 243% trong các nỗ lực tấn công trong sáu tháng đầu năm 2024, với khoảng 4 triệu nỗ lực như vậy đã bị các giải pháp bảo mật của Kaspersky chặn trong giai đoạn này.
Olga Svistunova, chuyên gia bảo mật tại Kaspersky, cho biết: “Năm nay chứng kiến sự gia tăng đáng kể các nỗ lực lừa đảo nhắm vào Google”, đồng thời xác nhận rằng tội phạm có quyền truy cập vào tài khoản Gmail “có khả năng truy cập vào nhiều dịch vụ, khiến tài khoản này trở thành mục tiêu chính”.
Theo nghiên cứu của Kaspersky, người dùng Facebook đã chứng kiến 3,7 triệu nỗ lực lừa đảo, vẫn chưa được công bố trực tuyến, trong khi Amazon đã chứng kiến 3 triệu nỗ lực. Microsoft, DHL, PayPal, Mastercard, Apple, Netflix và Instagram đã hoàn thành danh sách mười thương hiệu bị nhắm mục tiêu nhiều nhất. Mặc dù không lọt vào top mười, Kaspersky cho biết các thương hiệu khác chứng kiến sự gia tăng đáng kể trong mục tiêu trong sáu tháng đầu năm bao gồm HSBC, eBay, Airbnb, American Express và LinkedIn.
Tuy nhiên, điều quan trọng cần lưu ý là các nhà nghiên cứu bảo mật của Kaspersky đã đưa ra sự gia tăng này là do hoạt động gian lận gia tăng chứ không phải do người dùng mục tiêu giảm cảnh giác.
Những kẻ tấn công đang sử dụng cuộc gọi trực tiếp và tin nhắn văn bản trong chiến dịch mới
Theo các nhà nghiên cứu Rui Ataide và Hermes Bojaxhi từ Nhóm nghiên cứu và tình báo GuidePoint, một chiến dịch lừa đảo mới và đáng lo ngại đang diễn ra nhắm vào hơn 130 tổ chức của Hoa Kỳ đã được xác định. Thuật ngữ “tác nhân đe dọa cực kỳ tinh vi” đã bị sử dụng sai quá nhiều đến mức giờ đây gần như vô giá trị, nhưng các chiến thuật và khả năng xâm nhập mà kẻ tấn công chưa được nêu tên này sử dụng đã thúc đẩy các nhà nghiên cứu GRIT gắn biệt danh này vào chiến dịch này.
Như thường lệ trong các chiến dịch lừa đảo có chủ đích, điểm khởi đầu cho cuộc tấn công này là nhắm vào các cá nhân trong tổ chức thay vì áp dụng phương pháp rải rác vào toàn bộ sổ địa chỉ doanh nghiệp. Các nhà nghiên cứu cho biết, kể từ tháng 6 năm nay, các tác nhân đe dọa đã đăng ký ít nhất tám tên miền được tạo giống với các công nghệ mạng riêng ảo hợp pháp được chính các tổ chức mục tiêu sử dụng. Đây là bằng chứng nữa cho thấy đây là một kẻ tấn công có động cơ cao đang làm bài tập về nhà để tấn công vào những người dùng cụ thể của các doanh nghiệp cụ thể. “Cuộc tấn công này bắt đầu bằng việc nhắm mục tiêu vào từng người dùng trong một tổ chức để thu thập thông tin xác thực cũng như mật mã một lần thông qua các phương pháp kỹ thuật xã hội”, các nhà nghiên cứu cho biết.
Mặc dù không phải là mới, nhưng việc sử dụng các kỹ thuật kỹ thuật xã hội nằm ngoài trọng tâm của hầu hết các công cụ bảo mật truyền thống như cuộc gọi và tin nhắn đến điện thoại thông minh của người dùng sẽ làm lu mờ thêm hoạt động lừa đảo. Như các nhà nghiên cứu đã chỉ ra, trừ khi những người dùng này thực sự báo cáo việc nhận được cuộc gọi hoặc tin nhắn thì các nhóm bảo mật sẽ không biết gì. Mặc dù điều này không quá đáng lo ngại nếu nó chỉ xảy ra một lần và người nhận nhận ra bản chất của nó, nhưng nó sẽ trở nên quan trọng nếu, như báo cáo đã lưu ý, nhiều cá nhân bị nhắm mục tiêu cho đến khi đạt được kết quả thành công. Các mẫu rất quan trọng khi nói đến phòng thủ an ninh mạng. Các cuộc gọi được tạo ra để xuất hiện như thể chúng xuất phát từ nhân viên CNTT trong doanh nghiệp mục tiêu và liên quan đến lỗi đăng nhập VPN. Sau đó, tác nhân đe dọa sẽ gửi cho người dùng đã thuyết phục thành công một liên kết qua tin nhắn văn bản đến một trang web độc hại bằng cách sử dụng tên miền VPN tùy chỉnh và giao diện có liên quan, nơi thông tin xác thực được nhập vào.
Các nhà nghiên cứu GRIT đề xuất rằng để giảm thiểu chiến dịch này, các nhóm bảo mật nên kiểm tra nhật ký để tìm hoạt động đáng ngờ cụ thể “từ các địa chỉ IP được VPN chỉ định trong 30 ngày qua kể từ ngày thông báo này”. Nếu có bất kỳ dấu hiệu xâm phạm nào, điều này có nghĩa là có mối đe dọa ngay lập tức về cuộc tấn công ransomware tiềm ẩn. “Bạn nên ngay lập tức tuyên bố sự cố và tiến hành điều tra kỹ lưỡng”, họ cho biết. Giáo dục cũng rất quan trọng, vì vậy, việc nâng cao nhận thức của người dùng về kỹ thuật xã hội/lừa đảo nói chung là điều hiển nhiên, nhưng cần phải cập nhật nhận thức này. “Thông báo cho người dùng của bạn về loại phương pháp kỹ thuật xã hội này để nâng cao nhận thức và báo cáo ngay các cuộc gọi từ số không xác định tự xưng là nhân viên CNTT hoặc bộ phận trợ giúp”, các nhà nghiên cứu kết luận.
Microsoft bị nhắm đến bởi sự gia tăng mới trong lừa đảo mã QR
Microsoft có thể chỉ đứng thứ tư trong danh sách các cuộc tấn công nhắm vào các thương hiệu của Kaspersky, nhưng một kỹ thuật lừa đảo đã khiến gã khổng lồ Redmond này tăng vọt trong những tháng gần đây. Theo báo cáo mới của Jan Michael Alcantara, một kỹ sư nghiên cứu mối đe dọa tại Netskope, “lượng truy cập vào các trang lừa đảo được phân phối thông qua Microsoft Sway đã tăng gấp 2.000 lần” chỉ trong tháng 7 năm 2024. Microsoft Sway được cung cấp miễn phí cho người dùng Microsoft 365 dưới dạng ứng dụng dựa trên đám mây để cho phép tạo tài liệu, bản tin và bản trình bày trực quan phong phú. Alcantara lưu ý rằng khi mở trang Sway, nạn nhân tiềm năng đã đăng nhập vào tài khoản Microsoft 365 của họ, điều này làm tăng thêm tính hợp pháp cho các nỗ lực lừa đảo. Các nỗ lực, ít nhất là được Netskope theo dõi, nhắm mục tiêu vào thông tin đăng nhập Microsoft Office bằng cách sử dụng mã QR. Mục tiêu được khuyên nên quét mã QR trên điện thoại thông minh của họ để dễ sử dụng, nhưng lý do chính là để vượt qua các biện pháp bảo mật nghiêm ngặt hơn được tìm thấy trên máy tính xách tay của công ty. Chiến dịch cụ thể này sử dụng một số kỹ thuật thú vị để tránh gây nghi ngờ, chẳng hạn như kiểm tra CAPTCHA để bảo vệ chống lại các trình quét URL tĩnh và kỹ thuật tấn công ở giữa, trong đó các URL đăng nhập thực sự sẽ được thay thế cho các URL lừa đảo để thu thập thông tin đăng nhập cho phép kẻ tấn công đăng nhập với tư cách là nạn nhân.
Lừa đảo mã QR Unicode tránh bị phát hiện theo những cách mới lạ
Một biến thể mới của lừa đảo mã QR đã được J Stephen Kowski, giám đốc công nghệ tại SlashNext, phác thảo chi tiết trong một bài viết trên LinkedIn. Trong khi loại tấn công lừa đảo mã QR quen thuộc hơn dựa vào mã QR nhúng dựa trên hình ảnh để chuyển hướng người dùng đến một trang web độc hại, thì lừa đảo mã QR Unicode lại có cách tiếp cận hoàn toàn khác. Kowski cho biết: “Những kẻ tấn công hiện đã bắt đầu tạo mã QR bằng các ký tự văn bản Unicode thay vì hình ảnh”, khiến những người bảo vệ phải đối mặt với ba vấn đề chính: tránh phân tích hình ảnh, hiển thị màn hình hoàn hảo và tính hai mặt của giao diện giữa hiển thị màn hình và văn bản thuần túy khiến việc phát hiện trở nên phức tạp hơn nữa. Kowski cho biết: “Sự phát triển này nhấn mạnh một điểm quan trọng mà chúng tôi đã nhấn mạnh từ lâu, lừa đảo không còn giới hạn trong email nữa”.
Lời khuyên để ngăn ngừa trở thành nạn nhân của một cuộc tấn công lừa đảo, bao gồm các phương pháp báo cáo mọi nỗ lực, có sẵn trực tuyến tại đây từ Google, Facebook, Amazon và Microsoft.
Theo Forbes