tin tức an ninh mạng về fraud network cho thấy các nhóm gian lận đang tận dụng tài khoản fintech doanh nghiệp để chuyển tiền đánh cắp qua các mule account, trước khi hệ thống giám sát kịp phát hiện. Mô hình này xuất hiện trên các nền tảng freelancer fintech như Revolut, Wise và N26, nơi việc mở tài khoản nhanh, KYC gọn và hạ tầng thanh toán doanh nghiệp tạo điều kiện cho giao dịch xuyên biên giới.
Mô hình lỗ hổng vận hành trong hệ sinh thái fintech
Điểm đáng chú ý không nằm ở một giao dịch đơn lẻ, mà ở chuỗi vận hành được tổ chức để tránh bị phát hiện ở từng bước. Các tài khoản cá nhân kinh doanh đã xác minh có thể gửi thanh toán tức thời, xử lý giao dịch doanh nghiệp và di chuyển tiền qua nhiều quốc gia trong một dịch vụ tài chính hợp pháp bề ngoài.
Chính các đặc điểm phục vụ người dùng hợp pháp lại trở thành lợi thế cho mối đe dọa này. So với tài khoản ngân hàng tiêu dùng thông thường, tài khoản fintech doanh nghiệp có giá trị cao hơn vì cho phép luân chuyển tiền nhanh và khó truy vết hơn trong thời gian ngắn.
Cơ chế sử dụng mule account để rửa tiền
Dữ liệu nghiên cứu cho thấy các tài khoản mule đã được bán trên chợ dark web với giá từ 200 đến 1.000 USD mỗi tài khoản. Theo báo cáo tổng hợp về payment fraud, thiệt hại do credit transfer fraud trong Khu vực Kinh tế châu Âu đạt 2,5 tỷ USD trong năm 2023, tăng 25% so với năm trước.
Tiền bị đánh cắp thường được chuyển qua các đường thanh toán tức thì trong vòng vài phút. Khi dòng tiền đã đi qua nhiều lớp trung gian, khả năng thu hồi gần như bằng không.
Ba giai đoạn của chuỗi gian lận
- Giai đoạn 1: phishing để thu thập PII của nạn nhân.
- Giai đoạn 2: dùng PII đã thu thập để đăng ký tài khoản và vượt KYC.
- Giai đoạn 3: chuyển quyền kiểm soát tài khoản sang thiết bị Android giá rẻ để vận hành.
Ở giai đoạn đầu, các trang phishing được dựng dưới nhiều kịch bản giả mạo, bao gồm cả dịch vụ tư vấn thế chấp. Nạn nhân nhập thông tin cá nhân với niềm tin rằng đó là một quy trình xác minh hợp lệ.
Ở giai đoạn tiếp theo, hệ thống ghi nhận việc đăng ký tài khoản bằng hạ tầng SIM modem farm để tạo IP và số điện thoại mang dấu hiệu địa phương. Tín hiệu múi giờ thiết bị và hành vi phiên làm việc cho thấy người vận hành không ở cùng khu vực với danh tính được dùng để đăng ký.
Khi KYC hoàn tất, quyền truy cập được chuyển sang ứng dụng di động của nền tảng. Sự liên tục subnet giữa phiên đăng ký và phiên vận hành là dấu hiệu cho thấy đây là bước handover có chủ đích, không phải truy cập hợp lệ.
Lỗ hổng CVE, CVSS và IOC
Nội dung nguồn không đề cập lỗ hổng CVE, CVSS, mã khai thác exploit hay chuỗi IOC theo định dạng malware. Đây là một chiến dịch gian lận tài chính và lạm dụng quy trình KYC, không phải khai thác một CVE cụ thể.
- CVE: Không có.
- CVSS: Không có.
- IOC malware/APT/ransomware: Không có.
Dấu hiệu phát hiện xâm nhập và giám sát rủi ro
Để hỗ trợ phát hiện xâm nhập ở mức vận hành tài khoản, nền tảng fintech nên theo dõi các tín hiệu sau trên toàn bộ vòng đời tài khoản thay vì đánh giá tách rời từng phiên:
- IP thuộc MVNO xuất hiện trong các phiên đăng ký trên desktop.
- Tốc độ tạo tài khoản bất thường theo network, city và ISP.
- Chuyển đổi thiết bị từ giai đoạn KYC sang giai đoạn vận hành.
- Artifact của fingerprint spoofing trong phiên truy cập.
- Subnet continuity giữa sign-up infrastructure và thiết bị điều khiển sau KYC.
Trên góc độ rủi ro an toàn thông tin, mô hình này không phụ thuộc vào một điểm yếu phần mềm đơn lẻ. Nó khai thác sự kết hợp giữa PII bị lộ, social engineering, hạ tầng đăng ký phân tán và cơ chế thanh toán tức thời.
Khuyến nghị kỹ thuật cho hệ thống giám sát
Việc phát hiện tấn công cần liên kết dữ liệu session trên toàn bộ vòng đời tài khoản, thay vì chỉ kiểm tra đăng nhập riêng lẻ. Các tín hiệu mạng, thiết bị và hành vi nên được hợp nhất để đánh giá rủi ro theo chuỗi.
Tham khảo thêm tài liệu tổng quan về payment fraud và kiểm soát gian lận từ nguồn chuyên môn: Group-IB: French fintech mule accounts.
Điểm cần ưu tiên trong kiểm soát an toàn thông tin
an toàn thông tin trong bối cảnh này phụ thuộc vào khả năng phát hiện mối liên hệ giữa các phiên, thiết bị và mạng, không chỉ dựa trên xác minh danh tính. Các nền tảng tài chính cần ưu tiên:
- Đối chiếu hành vi đăng ký với hành vi vận hành sau KYC.
- Gắn cờ các phiên có dấu hiệu spoofing và device downgrade.
- Kiểm tra tương quan giữa IP, múi giờ và nguồn mạng.
- Đưa sign-up velocity vào mô hình đánh giá mối đe dọa.
- Phân tích tài khoản theo chuỗi vòng đời thay vì từng giao dịch đơn lẻ.
Các nền tảng thanh toán và nhóm chống gian lận cần xem đây là một dạng tin bảo mật mới nhất trong mảng fraud vận hành: dòng tiền bị di chuyển qua các tài khoản hợp pháp bề ngoài, nhưng được thiết kế để nhanh chóng rửa sạch trước khi có thể truy vết.
