Tin bảo mật mới nhất cho thấy các chiến dịch phishing quy mô lớn đang tận dụng dịch vụ nền tảng nói tiếng Trung để nhắm mục tiêu người dùng trên toàn cầu, thông qua ứng dụng nhắn tin phổ biến nhằm đánh cắp thông tin đăng nhập và dữ liệu tài chính. Đây là một dạng phishing-as-a-service (PhaaS) đang mở rộng nhanh và làm gia tăng rủi ro bảo mật trong các chiến dịch tấn công mạng dựa trên SMS và OTT.
Phishing-as-a-Service Và Mô Hình Vận Hành
PhaaS thay đổi cách thực hiện gian lận bằng việc cho thuê bộ công cụ phishing hoàn chỉnh thay vì tự xây dựng từ đầu. Các bộ kit này thường bao gồm template trang giả mạo, bảng điều khiển backend và cả hỗ trợ kỹ thuật.
Với mô hình này, ngay cả tác nhân có kỹ năng hạn chế cũng có thể triển khai chiến dịch đánh cắp thông tin trên diện rộng. Các nền tảng PhaaS nói tiếng Trung đã trở thành một phần đáng kể trong hệ sinh thái này, cho phép vận hành nhiều chiến dịch đồng thời ở nhiều quốc gia.
Phân tích từ urlscan.io ghi nhận nhiều hệ sinh thái PhaaS hoạt động tích cực trong thời gian gần đây, với kết quả công bố ngày 27/04/2026. Nguồn tham khảo: urlscan.io.
Cách Các Chiến Dịch Smishing Được Mở Rộng
Điểm nổi bật của các chiến dịch này là sự kết hợp giữa SMS-based smishing và các nền tảng nhắn tin OTT như Apple iMessage và Rich Communication Services (RCS). Việc sử dụng kênh hợp pháp làm cho việc phát hiện và chặn lọc trở nên khó hơn, đồng thời tăng xác suất thành công của mỗi chiến dịch.
Đây là lý do khiến các chiến dịch phishing và credential theft dựa trên tin nhắn tiếp tục gia tăng về quy mô và tần suất.
Điểm Kỹ Thuật Đáng Chú Ý
- Phishing-as-a-service (PhaaS): mô hình cho thuê hạ tầng và bộ kit phishing.
- Smishing: phishing qua SMS.
- OTT messaging: kênh nhắn tin ngoài nhà mạng truyền thống.
- RCS và iMessage: được lạm dụng để phát tán liên kết giả mạo.
Cảnh Báo Phishing: Hạ Tầng Và Quy Mô
Dữ liệu từ các tổ chức như APWG và Microsoft cho thấy số lượng domain liên quan đến các framework này tăng mạnh, song song với mức tăng của các đợt triển khai phishing kit và lưu lượng quét phishing trên phạm vi toàn cầu.
Các đơn vị như Group-IB, Resecurity và GSMA cũng ghi nhận sự tăng trưởng nhanh của các ecosystem này. Mô hình vận hành của chúng tương tự affiliate-based business model, cho phép nhiều đối tác triển khai cùng một hạ tầng theo cách phân tán.
Do đó, cảnh báo phishing không chỉ phụ thuộc vào nội dung tin nhắn mà còn phải theo dõi sự xuất hiện của domain mới, template giả mạo và cơ chế phân phối liên kết.
SIM Box: Hạ Tầng Phát Tán Tin Nhắn Gian Lận
Một phương thức phân phối quan trọng là SIM box infrastructure. Thiết bị này chứa nhiều SIM vật lý, kết nối Internet và có thể gửi số lượng lớn SMS dường như xuất phát từ số di động thông thường thay vì cổng gửi tin nhắn thương mại.
Cách triển khai này giúp tin nhắn dễ vượt qua bộ lọc spam và cơ chế phát hiện ở cấp nhà mạng, vốn thường chỉ đánh dấu các luồng gửi hàng loạt từ gateway thương mại đã biết.
Các node SIM box thường được triển khai ở nhiều quốc gia để chia tải và tránh tạo mẫu phát hiện rõ ràng. Khi một node bị vô hiệu hóa, kẻ vận hành có thể chuyển sang nguồn SIM mới và tuyến định tuyến thay thế để duy trì chiến dịch.
Tác Động Đến Phát Hiện Xâm Nhập
Trong bối cảnh phát hiện tấn công, SIM box làm giảm hiệu quả của các quy tắc lọc dựa trên nguồn gửi. Điều này khiến đội ngũ an ninh mạng cần bổ sung giám sát domain mới đăng ký và các mẫu nội dung giả mạo thương hiệu.
Việc phát hiện sớm hạ tầng phishing có thể chặn chiến dịch trước khi nó tiếp cận số lượng lớn mục tiêu.
Dấu Hiệu Nhận Biết Và Kiểm Soát Rủi Ro Bảo Mật
Người dùng không nên nhấp vào liên kết trong SMS hoặc tin nhắn OTT không mong muốn, đặc biệt khi nội dung yêu cầu đăng nhập, thanh toán hoặc cung cấp thông tin định danh cá nhân. Bất kỳ tin nhắn nào có vẻ chính thức nhưng xuất hiện bất ngờ qua ứng dụng di động đều cần được xác minh qua kênh chính thức trước khi phản hồi.
Đối với tổ chức, việc giám sát domain mới đăng ký có tên gần giống thương hiệu là một biện pháp quan trọng để giảm rủi ro an toàn thông tin. Các đội bảo mật nên kết hợp phân tích DNS, theo dõi IOC và kiểm tra lưu lượng liên quan đến link ngắn hoặc landing page giả mạo.
IOC Cần Theo Dõi
- Domain mới đăng ký có tên gần giống thương hiệu hoặc dịch vụ tài chính.
- Trang phishing giả mạo ngân hàng, bưu chính, hệ thống thu phí, cơ quan dịch vụ công.
- Liên kết trong SMS/OTT trỏ đến landing page yêu cầu thông tin đăng nhập.
- Hạ tầng SIM box gửi tin nhắn hàng loạt từ số di động thông thường.
Khuyến Nghị Giám Sát Hạ Tầng Phishing
Để giảm thiểu mối đe dọa mạng dạng smishing, cần duy trì giám sát liên tục đối với domain mới, template phishing và xu hướng gia tăng số lượng kit triển khai. Các chỉ báo cần ưu tiên là domain đăng ký gần đây, mẫu trang đăng nhập sao chép và số lượng lớn liên kết được phát tán qua SMS hoặc OTT.
Tham chiếu thêm về cảnh báo và theo dõi threat intelligence có thể xem trên CISA.
Trong môi trường doanh nghiệp, việc tích hợp dữ liệu từ nguồn quét URL, phân tích domain và telemetry từ kênh nhắn tin sẽ hỗ trợ phát hiện xâm nhập sớm hơn, đặc biệt khi chiến dịch chưa kịp mở rộng diện tấn công.
