Tin tức bảo mật mới ghi nhận một chiến dịch lừa đảo đang dùng trang CAPTCHA giả để âm thầm kích hoạt hàng chục tin nhắn SMS quốc tế từ điện thoại nạn nhân, gây phát sinh chi phí ngoài dự kiến trên hóa đơn di động.
CAPTCHA giả và cơ chế SMS pumping fraud
Điểm đáng chú ý của chiến dịch này là nó không dựa vào mã độc hay việc cài đặt phần mềm lên thiết bị. Thay vào đó, kịch bản khai thác hành vi người dùng trên web và cơ chế tính cước viễn thông để tạo doanh thu từ lưu lượng SMS.
Hoạt động này được mô tả là International Revenue Share Fraud (IRSF), thường được biết đến với tên SMS pumping fraud. Mục tiêu là làm tăng số lượng SMS gửi tới các đầu số quốc tế có phí chấm dứt cao, sau đó một phần doanh thu được chia lại cho kẻ tấn công qua các thỏa thuận chia sẻ doanh thu trong hệ thống tính cước viễn thông toàn cầu.
Theo ghi nhận của nhà phân tích Pieter Arntz từ Malwarebytes, chiến dịch này nhắm vào người dùng di động phổ thông khi họ duyệt web. Bài phân tích gốc có thể tham khảo tại: Malwarebytes.
Cách chiến dịch tin bảo mật mới nhất này hoạt động
Người dùng thường bị dẫn đến trang CAPTCHA giả thông qua malvertising hoặc các chuyển hướng từ Traffic Distribution System (TDS). Nhiều liên kết chuyển hướng xuất phát từ các tên miền giả mạo, có cách đặt tên gần giống website của nhà mạng hoặc tổ chức viễn thông hợp pháp.
Khi vào trang giả, nạn nhân thấy giao diện giống CAPTCHA thông thường như chọn hình ảnh, chọn đèn giao thông, hoặc trả lời câu đố đơn giản. Đây là lớp ngụy trang để tạo cảm giác thao tác an toàn và hợp lệ.
Ngay khi người dùng nhấn nút “continue”, ứng dụng SMS gốc của điện thoại sẽ được mở ra với nội dung tin nhắn đã được điền sẵn và danh sách người nhận đã được nạp trước. Ở bước này, luồng tấn công thực sự bắt đầu.
Trang CAPTCHA giả dẫn nạn nhân qua nhiều bước khác nhau, mỗi bước có thể gửi tin nhắn đến hơn một chục số quốc tế thuộc 17 quốc gia có phí SMS cao, trong đó có Azerbaijan, Myanmar và Egypt.
Kỹ thuật giữ nạn nhân trong luồng tấn công
Để ngăn người dùng thoát trang, kẻ tấn công dùng kỹ thuật back-button hijacking. JavaScript trên trang lừa đảo ghi đè lịch sử trình duyệt, khiến thao tác nút Back chỉ tải lại trang độc hại thay vì đưa người dùng rời khỏi đó.
Cách này kéo dài thời gian nạn nhân ở lại trang đủ lâu để hoàn tất nhiều lượt gửi SMS liên tiếp. Trong thực tế, một lần tương tác có thể tạo ra khoảng 30 USD chi phí SMS quốc tế trên gói thuê bao tiêu dùng tiêu chuẩn.
cảnh báo CVE không liên quan, nhưng rủi ro bảo mật vẫn đáng chú ý
Đây không phải lỗ hổng CVE theo nghĩa truyền thống, vì chiến dịch không khai thác bug phần mềm, không có mã exploit, cũng không ghi nhận IOC dạng malware hay file độc hại cụ thể. Tuy nhiên, mức độ rủi ro bảo mật vẫn cao do chiến dịch khai thác sự thiếu cảnh giác của người dùng và cơ chế tính cước viễn thông.
Đặc trưng của kiểu tấn công này là chuyển chi phí trực tiếp sang thuê bao di động thay vì xâm nhập hệ thống. Do đó, các biện pháp an toàn thông tin cần tập trung vào phát hiện chuyển hướng bất thường, kiểm soát quảng cáo độc hại và nhận diện tên miền giả mạo.
Dấu hiệu nhận biết chiến dịch
- Trang web hiển thị CAPTCHA kiểu chọn ảnh hoặc câu đố đơn giản nhưng hành vi điều hướng khác thường.
- Điện thoại tự mở ứng dụng SMS với nội dung đã được điền sẵn.
- Danh sách người nhận chứa nhiều số quốc tế.
- Nút Back của trình duyệt không thoát khỏi trang mà chỉ tải lại trang.
- Nguồn truy cập đến từ quảng cáo độc hại, TDS hoặc tên miền gần giống website hợp pháp.
bảo mật thông tin và giảm thiểu rủi ro
Với loại mối đe dọa này, kiểm soát ở lớp trình duyệt và nhận biết lưu lượng chuyển hướng là quan trọng hơn việc tìm kiếm phần mềm độc hại trên thiết bị. Người dùng cần cảnh giác với mọi CAPTCHA yêu cầu mở ứng dụng nhắn tin hoặc xác nhận gửi SMS quốc tế.
Ở cấp vận hành, đội ngũ an ninh mạng có thể theo dõi các mẫu lưu lượng web dẫn tới trang xác thực giả, đặc biệt là các phiên có hành vi điều hướng bất thường và mở app SMS ngoài dự kiến. Đây là dạng phát hiện tấn công dựa trên hành vi thay vì dựa vào chữ ký mã độc.
Chiến dịch này cũng cho thấy an toàn dữ liệu không chỉ liên quan đến rò rỉ hay đánh cắp dữ liệu, mà còn bao gồm việc ngăn phát sinh thiệt hại tài chính từ các thao tác bị thao túng trên giao diện web.
Biện pháp giảm thiểu
- Không tiếp tục thao tác nếu CAPTCHA yêu cầu mở ứng dụng SMS hoặc gửi tin nhắn quốc tế.
- Kiểm tra kỹ URL, tránh các tên miền có dấu hiệu typosquatting.
- Giới hạn hoặc chặn quảng cáo từ nguồn không tin cậy.
- Theo dõi hóa đơn di động để phát hiện chi phí SMS bất thường.
- Triển khai chính sách bảo vệ người dùng trước các chuyển hướng TDS và trang giả mạo.
Góc nhìn threat intelligence từ chiến dịch tin tức an ninh mạng này
Chiến dịch cho thấy mô hình kiếm tiền từ lưu lượng web độc hại vẫn tiếp tục được vận hành dưới dạng các mạng affiliate. Nghiên cứu còn cho thấy có liên kết đến một mạng Click2SMS-style affiliate network, công khai chấp nhận “all kinds of traffic”, biến IRSF thành công cụ tạo doanh thu cho các nhà xuất bản web có hành vi đáng ngờ.
Vì không có file độc hại, IOC truyền thống ở cấp hash hoặc domain malware không được công bố trong mô tả này. Trọng tâm phân tích nằm ở hành vi: CAPTCHA giả, mở SMS app, danh sách số quốc tế, back-button hijacking và chuyển hướng qua TDS.
Để đối chiếu thêm về cách phân loại và theo dõi các hoạt động gian lận liên quan đến SMS, có thể tham khảo cơ sở dữ liệu cảnh báo từ NVD: nvd.nist.gov.
